IDS oraz IPS to rozwiązania podwyższające poziom bezpieczeństwa sieci. Powinny być stosowane jako kolejny – po firewallu - poziom zabezpieczania infrastruktury teleinformatycznej. IDS jest rozwiązaniem służącym do monitorowania zagrożeń oraz incydentów naruszenia bezpieczeństwa i powiadamiania o nich. Z kolei IPS podejmuje dodatkowo działania mające na celu powstrzymanie ataku, minimalizację jego skutków lub aktywną odpowiedź na naruszenie bezpieczeństwa. System IPS to bardzo zaawansowany technologicznie, a zarazem najbardziej skuteczny system zabezpieczeń IT - coraz częściej doceniany i wykorzystywany przez administratorów. Wykorzystuje on wielopoziomowe mechanizmy analizy i zabezpieczeń, np.: analizy protokołów, wykrywanie anomalii w ruchu sieciowym oraz korelacje zdarzeń. Pozwala również na tworzenie własnych reguł opartych o porównanie wzorców ataków.
IDS zazwyczaj działa na zasadzie sniffera wykrywającego próbę naruszenia bezpieczeństwa z opcją informowania firewall o miejscu (adresie IP), z którego przeprowadzany jest atak. Najczęściej w konsekwencji firewall blokuje podany adres. IDS reaguje znacznie bardziej elastycznie – po wykryciu ataku blokuje jedynie te pakiety, które biorą udział w ataku.
|
