I would like to know can an Network Intrusion Prevention System[IPS] be used as an Network Intrusion Detection System[IDS] and vice versa.
Tipicamente un IDS significa semplicemente che è stato progettato per non essere in linea, o che è impostato in "modalità monitor". Esistono IPS non in linea, ma non funzionano come ci si aspetterebbe in genere.
Ad esempio, se disponi di un IPS non in linea e rileva una sorta di comunicazione che desidera interrompere tra due dispositivi, ciò che fa la maggior parte dei venditori è lo spoofing di due pacchetti TCP con il flag RST su entrambi i lati ( per maggiori dettagli, vai qui ). Si penserebbe che i dispositivi smetterebbero di comunicare a causa dell'RST, ma spesso si vedrà che il server interrogato (tipicamente il proprio server) fornirà comunque la risposta a causa di una sorta di supervisione con il pacchetto TCP (nel collegamento che ho fornito , era a causa di un errore che il venditore aveva fatto con il numero di sequenza sul pacchetto TCP RST sul server web).
Ci sono alcuni prodotti sul mercato che sono fatti per essere uno e non l'altro. Un esempio che posso dare è TippingPoint di HP; È progettato per essere un NIP in linea ma non per un dispositivo NIDS. Tutto ciò che riguarda il dispositivo è fatto per essere veloce e spietato, prendendo decisioni divise. Ciò significa che non è in grado di competere bene (anche se può funzionare come dispositivo NIDS) nello spazio NIDS perché altri fornitori di NIDS possono fare cose come aggiungere contesto (SourceFire e McAfee lo fanno) come informazioni importate dagli scanner di vulnerabilità.
Can the Host based IPS be used as a host based IDS and vice versa ?
Questa è una domanda molto diversa.
Una cosa da tenere a mente è che IDS / IPS non sono gli unici meccanismi di sicurezza basati su host disponibili. C'è anche whitelist dell'applicazione , che è estremamente efficace (e probabilmente più efficace), crittografia a riposo (se sei preoccupato per l'estrazione dei dati, questa non è crittografia completa del disco ), anti-virus (che è notoriamente obsoleto e sempre meno efficace), TCP Wrapper , HBSS , e altro .
Ma per rispondere alla tua domanda, in genere esiste una funzionalità "modalità monitor" integrata nei prodotti HIPS. Non esiste sempre una "modalità di prevenzione" incorporata nei prodotti HIDS (e in alcuni c'è una modalità di prevenzione, ma non è molto buona).
Is it necessary to have both IPS and IDS ?
Tipicamente no, ma dipende da cosa intendi per IPS e IDS. Intendi HIPS e NIDS? Se è così, avrebbe senso avere entrambi. Supponendo che si intenda NID e NIP, potrebbe aiutare, ma solo in situazioni di estrema sicurezza di nicchia. Ad esempio, potrebbe essere utile quando non si desidera fare affidamento sulle firme di un singolo fornitore. Ciò segue la best practice generale di difesa approfondita , anche se sosterrei che stai solo sbagliando tipo di tecnologia alla soluzione.
Con molti fornitori di Network IDPS, puoi creare le tue firme e importarle se la firma non esiste già, ma questo richiede molto tempo e conoscenza che molti team non hanno.
Per questo motivo stai iniziando a vedere i venditori in uno spazio creato per difendersi da "Minacce persistenti avanzate" o APT. Alcuni chiamano questa protezione da malware di rete e i fornitori comuni includono Damballa , Fidelis e FireEye .
Which one is more reliable Network based IPS /IDS or host based IPS/IDS
Questa non è una domanda facile a cui rispondere in modo generale. Dipende dal venditore, dall'architettura e dal motivo per cui stai implementando i tuoi diversi meccanismi di sicurezza. L'affidabilità è relativa a ciò che stai cercando di realizzare.
Se la domanda è, è una migliore dell'altra, quindi dipende dal meccanismo che stanno utilizzando per il rilevamento (firme, euristiche, anomalie, ecc.) e come ciò si applica al tuo traffico individuale e ai tuoi schemi di attacco.