IDS en IPS
Een IDS (Intrusion Detection System) monitort netwerkverkeer of systeemactiviteit op verdacht gedrag en genereert een melding. Een IPS (Intrusion Prevention System) doet hetzelfde, maar blokkeert het verdachte verkeer ook actief.
Verschil
| IDS | IPS |
|---|
| Detectie | Ja | Ja |
| Blokkering | Nee | Ja |
| Risico | Geen valse positieven die blokkeren | Legitiem verkeer kan geblokkeerd worden |
| Positie | Parallel aan het netwerk | In lijn in het netwerk |
Detectiemethoden
- Signature-based — vergelijkt verkeer met bekende aanvalspatronen
- Anomalie-based — detecteert afwijkingen van normaal gedrag
HIDS vs. NIDS
- NIDS (Network IDS) — monitort het volledige netwerkverkeer
- HIDS (Host IDS) — monitort activiteit op één systeem (bestanden, processen, logs)
Zie ook
- firewall — verkeer blokkeren op basis van regels
- siem — centraal verzamelen en correleren van beveiligingsgebeurtenissen
- fail2ban — eenvoudige vorm van IPS op hostniveau
- monitoring — observeren van systeemgedrag