IPS ve IDS

IPS ve IDS Arasındaki Fark


Saldırı Tespit Sistemi (IDS) ve Saldırı Önleme Sistemi (IPS), ağ altyapısının bileşenleridir. IPS ve IDS’nin her ikisi de, ağ paketlerini eşleşen bir bayrakla siber tehditlerle karşılaştıran, bilinen siber Saldırı İmzalarını içeren veritabanıdır. Temel fark, IDS’in izleme amaçlı bir sistem olması, IPS’nin ise düzenleme amaçlı bir sistem olmasıdır. IPS, paket içeriğine bağlı olarak paketin iletilmesini engellerken, IDS, güvenlik duvarlarının trafiği IP adresine göre engellemesi gibi, ağ paketini hiçbir şekilde değiştirmez.

IPS ve IDS nedir?

IPS – Bu araç harekete geçer ve yöneticilerin herhangi bir veri paketinin IPS aracı tarafından tehdit olarak tanımlanmasını engelleme kararı almasını gerektirmez. Ayrıca IPS, ağa otomatik olarak ulaşan tüm paketler için sistematik olarak değerlendirilip uygulanır. Ayrıca IPS’nin İstatistiksel Anomali Tespiti ve İmza Tabanlı Tespit olmak üzere iki türü vardır.

İstatistiksel Anormallik Tespiti: Ağ trafiği örneklerini rastgele kullanır ve bunları karşılaştırırlar. Bağlantı noktaları, bant genişliği, protokoller ve araçlarla birbirine bağlanırlar.
İmza Tabanlı Tespit: Her saldırı türü tanınabilir önemli modeller kullanır. İmza, depolanan istismar saldırısı dosyanızda bir eşleşme bularak paketlerin izlenebildiği, saldırgana yönelik bir imza olabilir.

IDS – IDS, pakete izinsiz girişleri tespit eden ve hangi paketlerin tehdit altında olup olmayacağını sınıflandıran bir araç olarak tanımlanır. Sadece engellememeye dikkat edilmelidir. Harici ve dahili tehditleri ele alan ve gerçek zamanlı ağ etkinliğini izleyen hibrit bir donanım/yazılım koruma platformudur. IDS’in ayrıca aşağıdaki gibi iki türü vardır.

Ana Bilgisayar Tabanlı Saldırı Tespit Sistemi: Bu, yazılımın iş istasyonlarında aracı olarak kullanılmasını içeren ana bilgisayar tabanlı bir sensördür. HIDS bu tür ajanları takip etti. Aracılar yüklendiğinde, aracılar belirli bir işletim sisteminin dosyalarını izler ve günlüğe kaydeder.
Etkinlik olağandışı bir şekilde değiştirildiyse ve etkinlik izleme kurulur kurulmaz iş başlıyorsa. Dahili sistem etkinliklerindeki değişikliklere dayalı saldırıları izleyebilirler.
Ağ Tabanlı Saldırı Tespit Sistemi: Segment noktalarında veya sınırlarında konumlanan ve takip edilen cihaz ve sistem veri paketlerini aktaran ağ tabanlı bir sensördür (Ethernet veya WIFI).
Bunlar gerçek zamanlı gözetimi kullanır, böylece saldırganlar artık bir saldırının kanıtlarını gizleyemez, değiştiremez veya silemez. Bunlar adli analiz için son derece faydalıdır.

IPS ve IDS arasındaki temel farklar


IPS ve IDS arasındaki bazı önemli farkları aşağıdaki noktalarda tartışalım:

IDS ve IPS, ağ paketlerini hem okur hem de bilinen tehditlerin içerikleriyle karşılaştırır. IDS, kendi başına hiçbir işlem yapmayan tespit ve gözetim araçlarıdır.
IPS, kayıtlı bir paketi kabul eden veya reddeden bir kontrol sistemidir. IDS, bir kişinin veya başka bir cihazın, günlük olarak oluşturulan ağ trafiğinin miktarına bağlı olabilecek sonraki adımları incelemesini ve karar vermesini gerektirir.
IPS ise tehlikeli paketleri hedefe ulaşmadan önce toplayıp bırakmayı hedefliyor. Veritabanının yeni tehdit verileriyle düzenli olarak güncellenmesine ihtiyaç duyan IDS’den daha proaktiftir.
Bir IPS sisteminin arızalanması beklenmedik saldırılara yol açar. Bağlantı noktalarını, adresleri ve işlemleri filtrelemek, engellemek ve bunlara izin vermek için bir güvenlik duvarı kullanmayı unutmayın, ancak bunların bazılarına ağ üzerinden de erişilebilir. Teknoloji tek bir cihaza entegre edilmediği sürece, yöneticinin hat içi IPS olarak kullanma veya yalnızca ağ trafiğini pasif olarak izlemek için stratejik olarak yerleştirilmiş sensörleri tanımlama seçenekleri vardır.
Bir ağda IDS, güvenlik duvarından sonra yerleştirilmelidir, IPS ise güvenlik duvarı aygıtından sonra yerleştirilmelidir.
IDS’de konfigürasyon modu, genellikle katman 2’deki satır içi moddur. Öte yandan, IPS’de, konfigürasyon modu, satır içi moddur veya uç ana bilgisayardır.

IPS ve IDS Karşılaştırma Tablosu
Aşağıdaki tablo IPS ve IDS arasındaki karşılaştırmaları özetlemektedir:

IPS

  • IPS, kural setine dayalı olarak bir paketi kabul eden ve reddeden bir kontrol sistemidir.
  • IPS, veritabanının yeni tehdit verileriyle düzenli olarak güncellenmesini gerektirir.
  • Bir ağda güvenlik duvarı aygıtının arkasına yerleştirilmelidir.
  • IPS algılama ve reaksiyon desteği sağlar.
  • IPS’de yapılandırma modu, satır içi moddur veya uç ana bilgisayardır.

IDS

  • IDS, kendi başına harekete geçmeyen bir tespit ve izleme aracıdır.
  • IDS, sonuçları incelemek için insan veya başka bir sistem gerektirir.
  • IDS güvenlik duvarından sonra yerleştirilmelidir.
  • IDS, ayırma tespiti ve reaksiyon işlevleri sağlar.
  • IDS’de yapılandırma modu, genellikle katman 2’deki satır içi moddur.

SONUÇ

Kurumsal altyapınız veya eviniz için bir güvenlik çözümü değerlendirirken internet güvenliği tehditlerinin daha sessiz ve tehlikeli hale geldiğini unutmayın. İmza ve hesaplama teknolojisini diğer araçlarla entegre eden katmanlı bir güvenlik sistemi, tehditlere ve onların saldırı yöntemlerine dahil olan aktörlere karşı oyun alanını eşitlemenize olanak tanır. Kurumsal ağ altyapısının ve kişisel bilgisayarların korunmasında hayati bir role sahip olan bu önemli araçlardan biri, ister ağ ister ana bilgisayar tabanlı olsun, izinsiz giriş önleme programının entegre işlevselliğidir.

 

 

Kaynak: educba.com

STPWALL örnek şüpheli hareketler WAN tarafında

LOG Alarmları müşteri WiFi – Safehotspot tarafında

Bloklanan Şüpheli IP’ler