Die Linie verwischt definitiv etwas, wenn die technologische Kapazität steigt, Plattformen integriert werden und sich die Bedrohungslandschaft verschiebt. Im Kern haben wir

• Firewall - Ein Gerät oder eine Anwendung, die Paket-Header analysiert und Richtlinien basierend auf Protokolltyp, Quelladresse, Zieladresse, Quellport und erzwingt / oder Zielhafen. Pakete, die nicht mit der Richtlinie übereinstimmen, werden abgelehnt.
• Intrusion Detection System - Ein Gerät oder eine Anwendung, die ganze Pakete, sowohl Header als auch Payload, auf bekannte Ereignisse untersucht. Wenn ein bekanntes Ereignis erkannt wird, wird eine Protokollnachricht generiert, in der das Ereignis detailliert beschrieben wird.
• Intrusion Prevention System - Ein Gerät oder eine Anwendung, die ganze Pakete, sowohl Header als auch Nutzdaten, nach bekannten analysiert Veranstaltungen. Wenn ein bekanntes Ereignis erkannt wird, wird das Paket zurückgewiesen.

Der Funktionsunterschied zwischen einem IDS und einem IPS ist ziemlich subtil und häufig nur eine Änderung der Konfigurationseinstellungen. In einem Juniper IDP-Modul ist der Wechsel von Erkennung zu Prävention so einfach wie das Ändern einer Dropdown-Auswahl von LOG zu LOG ​​/ DROP. Auf technischer Ebene kann es manchmal erforderlich sein, Ihre Überwachungsarchitektur neu zu gestalten.

Angesichts der Ähnlichkeit zwischen allen drei Systemen gab es im Laufe der Zeit eine gewisse Konvergenz. Das oben erwähnte Juniper IDP-Modul ist beispielsweise effektiv eine Zusatzkomponente zu einer Firewall. Aus Sicht des Netzwerkflusses und der Verwaltung sind Firewall und IDP funktional nicht unterscheidbar, selbst wenn es sich technisch gesehen um zwei separate Geräte handelt.

Es gibt auch viele Marktdiskussionen über eine sogenannte Next Generation Firewall (NGFW). Das Konzept ist noch neu genug, dass jeder Anbieter seine eigene Definition hat, was eine NGFW ausmacht, aber zum größten Teil sind sich alle einig, dass es sich um ein Gerät handelt, das Richtlinien einseitig über mehr als nur Netzwerkpaket-Header-Informationen erzwingt. Dadurch kann ein einzelnes Gerät sowohl als herkömmliche Firewall als auch als IPS fungieren. Gelegentlich werden zusätzliche Informationen gesammelt, z. B. von welchem ​​Benutzer der Datenverkehr stammt, was eine noch umfassendere Durchsetzung von Richtlinien ermöglicht.

Erklärung für die Dummies

Der einzige Grund, warum manche ein anderes IPS als aktives IDS aufrufen möchten, ist für Marketing-Zwecke.

Ein aktives IDS wird grundsätzlich als IPS bezeichnet.

Das IDS ist ein Intrusion Detection System. Ein IPS ist ein Intrusion Prevention System.

Das IDS überwacht nur den Datenverkehr. Das IDS enthält eine Datenbank mit bekannten Angriffssignaturen. Und es vergleicht den eingehenden Verkehr mit der Datenbank. Wenn ein Angriff erkannt wird, meldet das IDS den Angriff. Es ist dann aber Sache des Administrators, Maßnahmen zu ergreifen. Der Hauptfehler besteht darin, dass sie viele Fehlalarme erzeugen.

Das IPS befindet sich zwischen Ihrer Firewall und dem Rest Ihres Netzwerks. Aus diesem Grund kann verhindert werden, dass der vermutete Datenverkehr zum Rest des Netzwerks gelangt. Das IPS überwacht die eingehenden Pakete und deren Verwendung, bevor es sich entscheidet, die Pakete in das Netzwerk einzulassen.

Eine Firewall blockiert den Datenverkehr basierend auf Netzwerkinformationen wie IP-Adresse, Netzwerkport und Netzwerkprotokoll. Es werden einige Entscheidungen basierend auf dem Status der Netzwerkverbindung getroffen.

Ein IPS überprüft den Inhalt der Anforderung und kann eine böswillige Netzwerkanforderung basierend auf diesem Inhalt löschen, alarmieren oder möglicherweise bereinigen. Die Feststellung, was bösartig ist, basiert entweder auf einer Verhaltensanalyse oder auf der Verwendung von Signaturen.

Eine gute Sicherheitsstrategie besteht darin, dass sie als Team zusammenarbeiten. Beide Geräte ergänzen sich.

Zusätzlich zu den vorhandenen Antworten denke ich über drei zusätzliche Unterschiede nach:

• Eine Firewall befindet sich (normalerweise) am Netzwerkumfang des Systems, wo als IDS / IPS kann nicht nur auf Netzwerkebene arbeiten, sondern auch auf Hostebene . Solche IDS / IPS-Systeme werden als hostbasierte IDS / IPS bezeichnet. Sie können laufende Prozesse, verdächtige Anmeldeversuche usw. überwachen und Maßnahmen ergreifen. Beispiele hierfür sind OSSEC und osquery. Möglicherweise kann Antivirensoftware auch als eine Art IDS / IPS betrachtet werden.

• Eine Firewall ist wahrscheinlich einfacher zu verstehen und bereitzustellen. Es kann auch alleine arbeiten. Ein IDS / IPS ist jedoch komplexer und muss wahrscheinlich in andere Dienste integriert werden. Beispielsweise wird das Ergebnis von IDS für die Korrelationsanalyse, für menschliche Analysten usw. in SIEM eingegeben.

• Zumindest für die "traditionelle" Firewall ist der Kern regelbasiert Motor. IDS / IPS verwendet jedoch möglicherweise auch auf Anomalien basierende Erkennungsmethoden, um das Eindringen zu erkennen.