Преимущества и недостатки IDS и IPS

Преимущества и недостатки IDS

На рисунке показан список преимуществ и недостатков технологий IDS и IPS.

Основное преимущество платформы IDS состоит в том, что она разворачивается в автономном режиме. Так как сенсор IDS не является внутренним, он не оказывает влияния на производительность сети. Он не является источником задержки, джиттера или других проблем с потоком трафика. Кроме того, сбой сенсора не влияет на функционирование сети. Такой сбой сказывается только на возможности IDS анализировать данные.

Однако развертывание платформы IDS имеет также многие недостатки. Сенсор IDS в основном предназначен для определения возможных инцидентов, внесения в журнал информации об инцидентах и передачи сообщений об инцидентах. Сенсор IDS не может остановить вызвавший тревогу пакет и не гарантирует разрыва подключения. Вызвавший тревогу пакет предупреждает IDS о возможной угрозе. Сенсоры IDS также менее полезны для остановки почтовых вирусов и автоматических атак, таких как интернет-черви.

Пользователи, внедряющие действия реагирования сенсора IDS, должны иметь хорошо разработанную политику безопасности и хорошо понимать свои развертывания IDS. Пользователи должны потратить время на настройку сенсоров IDS для достижения ожидаемых уровней обнаружения вторжений.

Наконец, поскольку сенсоры IDS не являются встроенными, реализация IDS более уязвима к методам обхода системы сетевой безопасности в виде различных сетевых атак.

Преимущества и недостатки IPS

Сенсор IPS можно настроить для выполнения удаления пакетов, чтобы останавливать вызвавшие тревогу пакеты, пакеты, связанные с конкретным подключением, или пакеты из определенного IP-адреса источника. Кроме того, так как сенсоры IPS являются встроенными, они могут использовать нормализацию потока. Нормализация потока — метод, используемый для воссоздания потока данных, когда атака происходит по нескольким сегментам данных.

Недостаток IPS заключается в том, что, так как эти сенсоры встроенные, ошибки, сбой и перегрузка сенсора IPS слишком большим объемом трафика может отрицательно повлиять на производительность сети. Сенсор IPS может быть источником задержки и джиттера, вызывающих снижение производительности сети. Датчик IPS должен иметь соответствующие размеры и должен быть реализован таким образом, чтобы не оказывать негативного влияния на работу чувствительных к задержкам приложений, таких как VoIP.

Вопросы развертывания

Использование одной из этих технологий не отрицает использования другой. Фактически технологии IDS и IPS могут дополнять друг друга. Например, можно реализовать IDS для проверки работы IPS, так как IDS можно настроить для более глубокого изучения пакетов в автономном режиме. Это позволяет IPS сосредоточиться на небольшом количестве более важных шаблонов трафика.

Выбор конкретной реализации зависит от целей организации в сфере обеспечения безопасности, определенных в ее политике сетевой безопасности.