Perché abbiamo bisogno di IDS / IPS se è presente un firewall?
Funzionalmente, sono due applicazioni diverse, ma sono spesso combinate tra loro perché il processo di monitoraggio tende ad essere al limite della rete. Molte volte vedi UTM (Unified Threat Management) che sono firewall con servizi IPS / IDS integrati come abbonamento.
I firewall servono a controllare le connessioni in entrata / uscita in un ambiente basato su regole statiche (Stateful Firewall). I firewall più avanzati possono funzionare a livello di applicazione (Application Firewall), motivo per cui in alcune aziende puoi sfogliare gli FB, ma non giocare a nessuno dei suoi giochi.
IPS / IDS servono a monitorare le connessioni per attività dannose principalmente attraverso il rilevamento basato su firma (simile a AV). Gli attacchi hanno determinati schemi e, in base alla configurazione, puoi essere avvisato o far intervenire il sistema su questi modelli.
È possibile generalizzarlo, suppongo, ai firewall che limitano i tipi di connessioni consentite nella rete in base a regole statiche e IPS / IDS monitorano tali connessioni per attività dannose basate sulle firme e sulla comprensione degli attacchi.
Come hanno detto CoverosGene e Xander, fa parte dell'utilizzo di Defense in Depths, ma tecnicamente sono due diversi servizi che tendono ad operare in tandem.
Firewall, IDS e IPS non sono le stesse creature. E come detto, la difesa in profondità è la cosa che stai cercando di fornire.
Un firewall è un meccanismo di controllo usato per limitare i protocolli che attraversano tra due reti ai livelli 3 e 4 - questa è la sua funzione principale (vedi la risposta di Shane). In alcuni casi, il firewall può eseguire ispezioni limitate dei livelli 5, 6 e 7. Ma in quei casi, sta semplicemente tentando di fare il doppio lavoro - che potrebbe non funzionare bene perché i firewall non hanno il muscolo di elaborazione per fare analisi del protocollo . Alla fine, puoi pensare a un firewall come strumento per controllare i protocolli.
Un IDS non è un meccanismo di controllo. Ha molta più potenza di elaborazione rispetto a un tipico firewall, ma in genere meno throughput poiché sta eseguendo molto più lavoro. Un IDS può rilevare le intrusioni ma non può controllarle. Non può funzionare come firewall e non può funzionare come IPS. Un IDS può eseguire il rilevamento nei livelli da 2 a 7.
Un IPS è un meccanismo di controllo - è un "Sistema di prevenzione delle intrusioni". È un IDS con la capacità di controllare frame e pacchetti nei livelli da 2 a 7. Di nuovo, ha molta più potenza di elaborazione di un Firewall, ma generalmente meno throughput a causa dell'ispezione che deve eseguire. Un IPS può avere la capacità di eseguire molte funzioni simili a Firewall, ma l'IPS è generalmente più difficile da amministrare quando implementato per quella funzione poiché è progettato per rilevare gli exploit e prevenire gli attacchi, non agire come un firewall.
Una distribuzione tipica potrebbe essere simile a questa:
internet < - > firewall < - > IPS < - > DMZ < - > Firewall < - > IPS < - > rete aziendale
Presumibilmente, il tuo firewall farà entrare e uscire del traffico. Altrimenti, scollegati dalla rete e avrai molto meno da preoccuparti.
Una volta che il traffico entra nella tua rete oltre il firewall, sarebbe prudente tenerlo d'occhio per assicurarti che non sia dannoso.
A meno che le regole del firewall non siano perfette, lascerai intendere qualcosa che non hai inteso o, più probabilmente, non hai previsto. Scratch che, anche con le regole perfette del firewall, avresti bisogno di avere anche degli utenti perfetti.
Fidati, ma verifica . Abbi fiducia che il tuo firewall ti protegga. Ma verifica che ti protegga.