it-swarm.com.de

Unterschied zwischen IDS und IPS und Firewall

Die Unterschiede zwischen einem IDS und einer Firewall bestehen darin, dass letztere böswilligen Datenverkehr verhindert, während das IDS:

  • Passives IDS: Das IDS meldet nur einen Eingriff.
  • Aktives IDS: Das IDS ergreift auch Maßnahmen gegen das Problem, um es zu beheben oder zumindest seine Auswirkungen zu verringern.

Was ist jedoch der Unterschied zwischen einem IPS und einer Firewall?). Beide sind eine vorbeugende technische Kontrolle, deren Zweck es ist, sicherzustellen, dass eingehender Netzwerkverkehr legitim ist.

38
eez0

Die Linie verwischt definitiv etwas, wenn die technologische Kapazität zunimmt, Plattformen integriert werden und sich die Bedrohungslandschaft verschiebt. In ihrem Kern haben wir

  • Firewall - Ein Gerät oder eine Anwendung, die Paket-Header analysiert und Richtlinien basierend auf Protokolltyp, Quelladresse, Zieladresse, Quellport und/oder Zielport erzwingt. Pakete, die nicht mit der Richtlinie übereinstimmen, werden abgelehnt.
  • Intrusion Detection System - Ein Gerät oder eine Anwendung, die ganze Pakete, sowohl Header als auch Payload, auf bekannte Ereignisse untersucht. Wenn ein bekanntes Ereignis erkannt wird, wird eine Protokollnachricht generiert, in der das Ereignis detailliert beschrieben wird.
  • Intrusion Prevention System - Ein Gerät oder eine Anwendung, die ganze Pakete, sowohl Header als auch Payload, auf bekannte Ereignisse untersucht. Wenn ein bekanntes Ereignis erkannt wird, wird das Paket zurückgewiesen.

Der funktionale Unterschied zwischen einem IDS und einem IPS ist ein ziemlich subtiler und ist oft nichts anderes als eine Änderung der Konfigurationseinstellungen. In einem Juniper IDP-Modul ist beispielsweise der Wechsel von Erkennung zu Prävention wie folgt So einfach wie das Ändern einer Dropdown-Auswahl von LOG in LOG/DROP. Auf technischer Ebene kann es manchmal erforderlich sein, Ihre Überwachungsarchitektur neu zu gestalten.

Angesichts der Ähnlichkeit zwischen allen drei Systemen gab es im Laufe der Zeit eine gewisse Konvergenz. Das oben erwähnte Juniper IDP-Modul ist beispielsweise effektiv eine Zusatzkomponente zu einer Firewall. Aus Sicht des Netzwerkflusses und der Verwaltung sind Firewall und IDP funktional nicht unterscheidbar, selbst wenn es sich technisch gesehen um zwei separate Geräte handelt.

Es gibt auch viele Marktdiskussionen über eine sogenannte Next Generation Firewall (NGFW). Das Konzept ist noch neu genug, dass jeder Anbieter seine eigene Definition hat, was eine NGFW ausmacht, aber zum größten Teil sind sich alle einig, dass es sich um ein Gerät handelt, das Richtlinien einseitig über mehr als nur Netzwerkpaket-Header-Informationen erzwingt. Dadurch kann ein einzelnes Gerät sowohl als herkömmliche Firewall als auch als IPS fungieren. Gelegentlich werden zusätzliche Informationen gesammelt, z. B. von welchem ​​Benutzer der Datenverkehr stammt, was eine noch umfassendere Durchsetzung von Richtlinien ermöglicht.

50
Scott Pack

erklärung für die Dummies

  • firewall -> Portier; Er hält jeden fern, der versucht, sich durch offene Kellerfenster usw. einzuschleichen, aber sobald jemand durch die offizielle Tür hereinkommt, lässt er jeden herein, insb. wenn der Hausbesitzer Gäste hereinbringt; * eine Firewall verhindert niemals böswilligen Verkehr *, sie erlaubt oder blockiert nur Verkehr, basierend auf Port/IP

  • IDS (passiv)/IPS (aktiv): Der Typ, der Gäste nach Waffen usw. durchsucht. Er kann zwar nicht herumlaufen und verhindern, dass sich Leute einschleichen, aber er kann suchen, was die Leute hereinbringen

  • IDS aktiv gegen passiv: im aktiven Modus -> tritt in den Arsch und kann für eine bestimmte Zeitspanne blockieren, im passiven Modus -> sendet nur Warnungen

der einzige Grund, warum manche ein IPS anders als aktives IDS) nennen möchten, ist für Marketingzwecke.

Ein aktives IDS wird grundsätzlich als IPS bezeichnet.

4
Lucas Kauffman

Das IDS ist ein Intrusion Detection System. Ein IPS ist ein Intrusion Prevention System.

Das IDS überwacht nur den Verkehr. Das IDS enthält eine Datenbank mit bekannten Angriffssignaturen. Und es vergleicht den eingehenden Verkehr mit der Datenbank. Wenn ein Angriff erkannt wird, meldet das IDS den Angriff. Es ist dann aber Sache des Administrators, Maßnahmen zu ergreifen. Der Hauptfehler ist, dass sie viele Fehlalarme erzeugen.

das IPS befindet sich zwischen Ihrer Firewall und dem Rest Ihres Netzwerks. Aus diesem Grund kann verhindert werden, dass der vermutete Datenverkehr zum Rest des Netzwerks gelangt. Das IPS = überwacht die eingehenden Pakete und deren Verwendung, bevor entschieden wird, die Pakete in das Netzwerk einzulassen.

2
JGallardo

Zusätzlich zu den vorhandenen Antworten denke ich über drei zusätzliche Unterschiede nach:

  • Eine Firewall befindet sich (normalerweise) am Netzwerkumfang des Systems, wo ein IDS/IPS nicht nur auf Netzwerkebene, sondern auch auf Hostebene arbeiten kann. Solche IDS/IPS-Systeme werden als hostbasierte IDS/IPS bezeichnet. Sie können laufende Prozesse, verdächtige Anmeldeversuche usw. überwachen und Maßnahmen ergreifen. Beispiele hierfür sind OSSEC und osquery. Möglicherweise kann Antivirensoftware auch als eine Art IDS/IPS betrachtet werden.

  • Eine Firewall ist wahrscheinlich einfacher zu verstehen und bereitzustellen. Es kann auch alleine arbeiten. Ein IDS/IPS ist jedoch komplexer und muss wahrscheinlich in andere Dienste integriert werden. Zum Beispiel wird das Ergebnis von IDS zur Korrelationsanalyse, für menschliche Analysten usw. in SIEM eingehen.

  • Zumindest für die "traditionelle" Firewall ist der Kern eine regelbasierte Engine. IDS/IPS verwendet jedoch möglicherweise auch anomaliebasierte Erkennungsmethoden, um das Eindringen zu erkennen.

2
ZillGate

Eine Firewall blockiert den Datenverkehr basierend auf Netzwerkinformationen wie IP-Adresse, Netzwerkport und Netzwerkprotokoll. Es werden einige Entscheidungen basierend auf dem Status der Netzwerkverbindung getroffen.

Ein IPS) überprüft den Inhalt der Anforderung und kann eine böswillige Netzwerkanforderung basierend auf diesem Inhalt löschen, alarmieren oder möglicherweise bereinigen. Die Feststellung, was böswillig ist, basiert entweder auf einer Verhaltensanalyse oder durch die Verwendung von Signaturen.

Eine gute Sicherheitsstrategie besteht darin, dass sie als Team zusammenarbeiten. Beide Geräte ergänzen sich.

2
Rohit Gera