Differenza tra IDS e IPS e Firewall

La linea si sta decisamente offuscando mentre la capacità tecnologica aumenta, le piattaforme sono integrate e il panorama delle minacce cambia. Nel loro nucleo abbiamo

• Firewall : una periferica o un'applicazione che analizza le intestazioni dei pacchetti e applica i criteri in base al tipo di protocollo, all'indirizzo di origine, all'indirizzo di destinazione, alla porta di origine e / o alla porta di destinazione. I pacchetti che non corrispondono alla politica vengono rifiutati.
• Sistema di rilevamento delle intrusioni : un dispositivo o un'applicazione che analizza interi pacchetti, sia di intestazione che di carico utile, alla ricerca di eventi noti. Quando viene rilevato un evento noto, viene generato un messaggio di registro che specifica l'evento.
• Sistema di prevenzione delle intrusioni - Un dispositivo o un'applicazione che analizza interi pacchetti, sia di intestazione che di carico utile, alla ricerca di eventi noti. Quando viene rilevato un evento noto, il pacchetto viene rifiutato.

La differenza funzionale tra un IDS e un IPS è abbastanza sottile e spesso non è altro che una modifica alle impostazioni di configurazione. Ad esempio, in un modulo IDP Juniper, passare da Rilevazione a Prevenzione è facile come modificare una selezione a discesa da LOG a LOG / DROP. A livello tecnico a volte può richiedere la riprogettazione della tua architettura di monitoraggio.

Data la somiglianza tra tutti e tre i sistemi, c'è stata una certa convergenza nel tempo. Il modulo IDP Juniper menzionato sopra, ad esempio, è effettivamente un componente aggiuntivo di un firewall. Dal punto di vista amministrativo e del flusso di rete, il firewall e l'IDP sono funzionalmente indistinguibili anche se tecnicamente sono due dispositivi separati.

C'è anche molta discussione sul mercato di qualcosa chiamato Next Generation Firewall (NGFW). Il concetto è ancora abbastanza nuovo che ogni fornitore ha la propria definizione di ciò che costituisce un NGFW, ma per la maggior parte tutti concordano sul fatto che si tratta di un dispositivo che impone un criterio unilaterale su più di una semplice informazione di intestazione del pacchetto di rete. Ciò può far sì che un singolo dispositivo funga sia da firewall tradizionale che da IPS. Occasionalmente vengono raccolte informazioni aggiuntive, ad esempio da quale utente ha avuto origine il traffico, consentendo un'applicazione ancora più completa delle norme.

spiegazione per i manichini

• firewall - > portiere; tiene fuori tutti quelli che cercano di entrare di soppiatto attraverso finestre seminterrato, ecc., ma una volta che qualcuno entra dalla porta ufficiale, lascia entrare tutti, esp. quando il padrone di casa porta gli ospiti; * un firewall non impedisce mai il traffico malevolo * , semplicemente consente o blocca il traffico, in base a port / ip

• IDS (passivo) / IPS (attivo): il ragazzo che cerca gli ospiti per le armi, ecc; mentre non può correre in giro e impedire alle persone di entrare di nascosto, è in grado di cercare ciò che le persone stanno portando in

• IDS attivo vs passivo: in modalità attiva - > prende il culo ed è in grado di bloccare per una certa quantità di tempo, in modalità passiva - > invia solo avvisi

l'unica ragione per cui alcuni vorrebbero chiamare un IPS diverso da IDS attivo è a scopo di marketing.

Un IDS attivo è fondamentalmente chiamato IPS.

L'IDS è un sistema di rilevamento delle intrusioni. Un IPS è un sistema di prevenzione delle intrusioni.

L'IDS controlla solo il traffico. L'IDS contiene un database di firme di attacco conosciute. E confronta il traffico in entrata con il database. Se viene rilevato un attacco, l'IDS segnala l'attacco. Ma spetta all'amministratore agire. Il principale difetto è che producono molti falsi positivi.

l'IPS si trova tra il firewall e il resto della rete. Per questo motivo può impedire al traffico sospetto di raggiungere il resto della rete. L'IPS monitora i pacchetti in entrata e il loro reale utilizzo prima di decidere di consentire l'ingresso dei pacchetti nella rete.

Un firewall bloccherà il traffico in base alle informazioni di rete quali indirizzo IP, porta di rete e protocollo di rete. Prenderà alcune decisioni in base allo stato della connessione di rete.

Un IPS ispezionerà il contenuto della richiesta e sarà in grado di rilasciare, avvisare o potenzialmente pulire una richiesta di rete malevola basata su quel contenuto. La determinazione di ciò che è dannoso si basa sull'analisi del comportamento o attraverso l'uso delle firme.

Una buona strategia di sicurezza è farli lavorare insieme come una squadra. Entrambi i dispositivi si completano a vicenda.

Oltre alle risposte esistenti, sto pensando a tre ulteriori differenze:

• Un firewall (di solito) si trova sul perimetro della rete del sistema, dove come IDS / IPS non può funzionare solo a livello di rete, ma anche funziona a livello di host . Tali sistemi IDS / IPS sono chiamati IDS / IPS basati su host. Possono monitorare e intervenire contro processi in esecuzione, tentativi di accesso sospetti, ecc. Esempi includono OSSEC e osquery. Forse il software antivirus può anche essere considerato come una sorta di IDS / IPS.

• Un firewall è probabilmente più facile da capire e da distribuire. Può anche funzionare da solo. Ma un IDS / IPS è più complesso e probabilmente deve essere integrato con altri servizi. Ad esempio, il risultato di IDS andrà in SIEM per analisi di correlazione, per analisti umani, ecc.

• Almeno per il firewall "tradizionale", il core è un motore basato su regole. Ma IDS / IPS potrebbero anche utilizzare metodi basati sul rilevamento basati sull'anomalia per rilevare l'intrusione.