it-swarm-eu.dev

Differenza tra IDS e IPS e Firewall

Le differenze tra un IDS e un firewall sono che quest'ultimo impedisce il traffico dannoso, mentre l'IDS:

  • ID passivo: l'IDS segnala solo che si è verificata un'intrusione.
  • IDS attivi: l'IDS inoltre intraprende azioni contro il problema per risolverlo o almeno ridurne l'impatto.

Tuttavia, qual è la differenza tra un IPS e un firewall? Entrambi sono un controllo tecnico preventivo il cui scopo è garantire che il traffico di rete in entrata sia legittimo.

38
eez0

La linea si sta decisamente sfocando all'aumentare della capacità tecnologica, alle piattaforme integrate e al panorama delle minacce che cambia. Al loro centro abbiamo

  • Firewall - Un dispositivo o un'applicazione che analizza le intestazioni dei pacchetti e applica la politica in base al tipo di protocollo, indirizzo di origine, indirizzo di destinazione, porta di origine e/o porta di destinazione. I pacchetti che non corrispondono ai criteri vengono rifiutati.
  • Intrusion Detection System - Un dispositivo o un'applicazione che analizza interi pacchetti, sia intestazione che payload, alla ricerca di eventi noti. Quando viene rilevato un evento noto, viene generato un messaggio di registro che descrive in dettaglio l'evento.
  • Intrusion Prevention System - Un dispositivo o un'applicazione che analizza interi pacchetti, sia intestazione che payload, alla ricerca di eventi noti. Quando viene rilevato un evento noto, il pacchetto viene rifiutato.

La differenza funzionale tra un IDS e un IPS è abbastanza sottile e spesso non è altro che una modifica alle impostazioni di configurazione. Ad esempio, in un modulo IDP Juniper, passare da Rilevamento a Prevenzione è come facile come modificare una selezione a discesa da LOG a LOG/DROP. A livello tecnico a volte può richiedere una riprogettazione dell'architettura di monitoraggio.

Data la somiglianza tra tutti e tre i sistemi, nel tempo si è verificata una certa convergenza. Il modulo IDP Juniper sopra menzionato, ad esempio, è effettivamente un componente aggiuntivo di un firewall. Dal punto di vista del flusso di rete e amministrativo, il firewall e l'IDP sono funzionalmente indistinguibili anche se tecnicamente sono due dispositivi separati.

C'è anche molta discussione di mercato su qualcosa chiamato Firewall di nuova generazione (NGFW). Il concetto è ancora abbastanza nuovo che ogni fornitore ha una propria definizione su ciò che costituisce un NGFW ma per la maggior parte tutti concordano sul fatto che si tratta di un dispositivo che applica la politica unilateralmente su più di semplici informazioni di intestazione del pacchetto di rete. Questo può far funzionare un singolo dispositivo sia come Firewall tradizionale sia come IPS. Occasionalmente vengono raccolte informazioni aggiuntive, ad esempio da quale utente ha avuto origine il traffico, consentendo un'applicazione della politica ancora più completa.

50
Scott Pack

spiegazione per i manichini

  • firewall -> portiere; tiene fuori tutti quelli che cercano di intrufolarsi da finestre aperte ecc., ma una volta che qualcuno entra dalla porta ufficiale, fa entrare tutti, esp. quando il proprietario della casa porta gli ospiti; * n firewall non impedisce mai il traffico dannoso *, consente o blocca il traffico in base alla porta/ip

  • IDS (passivo)/IPS (attivo): il tipo che cerca gli ospiti in cerca di armi, ecc; mentre non può correre in giro e impedire alle persone di intrufolarsi, è in grado di cercare ciò che le persone stanno introducendo

  • IDS attivo vs passivo: in modalità attiva -> calcia il culo ed è in grado di bloccare per un determinato periodo di tempo, in modalità passiva -> invia solo avvisi

l'unico motivo per cui alcuni vorrebbero chiamare un IPS diverso dagli ID attivi è per scopi di marketing.

Un IDS attivo è sostanzialmente chiamato IPS.

4
Lucas Kauffman

L'IDS è un sistema di rilevamento delle intrusioni. An IPS è un sistema di prevenzione delle intrusioni.

L'IDS monitora solo il traffico. L'IDS contiene un database di firme di attacco note. E confronta il traffico in entrata rispetto al database. Se viene rilevato un attacco, l'IDS segnala l'attacco. Ma spetta all'amministratore agire. Il principale difetto è che producono molti falsi positivi.

il IPS si trova tra il firewall e il resto della rete. Per questo motivo può impedire al traffico sospetto di raggiungere il resto della rete. Il IPS = monitora i pacchetti in entrata e ciò per cui vengono realmente utilizzati prima di decidere di far entrare i pacchetti nella rete.

2
JGallardo

Oltre alle risposte esistenti, sto pensando a tre differenze aggiuntive:

  • Un firewall (di solito) si trova sul perimetro della rete del sistema, dove un IDS/IPS può funzionare non solo a livello di rete, ma anche a livello di host . Tali sistemi IDS/IPS sono chiamati IDS/IPS basati su host. Possono monitorare e agire contro processi in esecuzione, tentativi di accesso sospetti, ecc. Esempi includono OSSEC e osquery. Forse il software antivirus può anche essere considerato come una sorta di IDS/IPS.

  • Un firewall è probabilmente più facile da capire e da implementare. Può anche funzionare da solo. Ma un IDS/IPS è più complesso e probabilmente deve essere integrato con altri servizi. Ad esempio, il risultato di IDS andrà in SIEM per l'analisi di correlazione, per gli analisti umani, ecc.

  • Almeno per il firewall "tradizionale", il core è un motore basato su regole. Ma IDS/IPS potrebbe anche utilizzare metodi basati sul rilevamento basati su anomalie per rilevare le intrusioni.

2
ZillGate

Un firewall bloccherà il traffico in base a informazioni di rete quali indirizzo IP, porta di rete e protocollo di rete. Prenderà alcune decisioni in base allo stato della connessione di rete.

Un IPS ispezionerà il contenuto della richiesta e sarà in grado di eliminare, avvisare o potenzialmente pulire una richiesta di rete dannosa in base a tale contenuto. La determinazione di ciò che è dannoso si basa sull'analisi del comportamento o attraverso l'uso delle firme.

Una buona strategia di sicurezza è di farli lavorare insieme come una squadra. Entrambi i dispositivi si completano a vicenda.

2
Rohit Gera