IDS və IPS nədir?

IDS və IPS Sistemləri: Giriş və Fərqlər
İnformasiya təhlükəsizliyi sahəsində hücumların aşkar edilməsi və qarşısının alınması üçün tətbiq edilən əsas texnologiyalardan biri IDS və IPS sistemləridir. Bu iki mexanizm kibertəhlükələrə qarşı ilk müdafiə səviyyəsini təşkil edir. IDS (Intrusion Detection System) – İzləmə Sistemi, IPS (Intrusion Prevention System) – Qarşısınıalma Sistemi adlanır. Hər ikisi şəbəkə və ya sistem fəaliyyətlərini izləyərək zərərli davranışları müəyyən etməyə yönəlib, lakin tətbiq və reaksiyaları baxımından fərqlənirlər.
IDS (Intrusion Detection System) əsasən passiv təhlükəsizlik texnologiyasıdır. O, sistemdə və ya şəbəkədə baş verən hərəkətləri qeydə alır, şübhəli və ya anormal fəaliyyətləri analiz edir, sonra isə bu fəaliyyətlər barədə administratoru xəbərdar edir. IDS zərərli fəaliyyəti bloklamır, sadəcə onu aşkarlayır. Sistem administratoru hadisəni təhlil etdikdən sonra müdaxilə edə bilər. IDS sistemləri qaydaya əsaslanan (signature-based), anomaliyaya əsaslanan (anomaly-based) və hibrid yanaşmalarla işləyə bilər.
IPS (Intrusion Prevention System) isə aktiv müdaxilə edən bir sistemdir. IPS zərərli və ya icazəsiz fəaliyyətləri aşkar etdikdən sonra avtomatik olaraq həmin trafiki bloklayır, sessiyanı dayandırır və ya digər müdaxilə tədbirləri görür. IPS real vaxtda müdaxilə etdiyi üçün daha proaktiv qoruma təklif edir. Bu sistem firewall-lara bənzəyir, lakin daha dərin təhlil imkanları ilə fərqlənir.
Əsas fərqlərə nəzər salaq
- IDS yalnız aşkarlayır, IPS həm aşkarlayır, həm də qarşısını alır.
- IDS xəbərdarlıq göndərir, IPS avtomatik müdaxilə edir.
- IDS passiv sistemdir, IPS aktiv sistemdir.
Hansı saəhələrə istifadə olunur?
Hər iki texnologiya şəbəkə əsaslı (NIDS/NIPS) və host əsaslı (HIDS/HIPS) şəkildə qurula bilər. NIDS/NIPS şəbəkə trafikinə nəzarət edir, HIDS/HIPS isə birbaşa server və kompüterlərdə tətbiq olunur. Müasir təhlükəsizlik arxitekturalarında IDS və IPS birgə istifadə olunur.
Nümunə üçün aşağıdakı tool-ları nümunə göstərə bilərik.
- Snort: Həm IDS, həm də IPS kimi istifadə edilə bilən açıq mənbəli sistem.
- Suricata: Yüksək performanslı və çox funksiyalı IDS/IPS aləti.
- Zeek (Bro): Trafik analizinə əsaslanan qabaqcıl IDS sistemi.
- Cisco Firepower: Ticarət məqsədli IPS platforması.
- OSSEC: Host əsaslı IDS alətidir, fayl dəyişikliklərini və loq qeydlərini izləyir.