Systemy IDS oraz IPS (ang.: Intrusion Detection Systems, Intrusion Prevention Systems) to sprzętowe lub programowe narzędzia do detekcji, identyfikacji i powiadamiania (IDS) oraz zapobiegania włamaniom (IPS, firewall). Najczęściej wchodzą w skład zapór sieciowych, stanowiąc jedną z warstw ochrony.

Co to jest IDS?

System IDS filtruje ruch wewnątrz sieci firmowej, rozpoznając anomalie sieciowe (opiera się często na technologii uczenia maszynowego) lub sygnatury zagrożeń (albo jedno i drugie, jako hybrydowe systemy IDS). W razie wystąpienia incydentu system wysyła do zapory sieciowej informacje o pochodzeniu zagrożenia, dzięki czemu możliwe jest zablokowanie konkretnego adresu IP, który może przynieść potencjalne szkody.

Systemy IDS możemy podzielić na dwie główne grupy, biorąc pod uwagę ich umiejscowienie w sieci wewnętrznej:

• HIDS (Host Based IDS) – hostowe systemy IDS analizują ruch w jednym systemie operacyjnym (domyślnie – na serwerze sieciowym lub komputerze pełniącym rolę serwera). Tak skonstruowany system może zbierać dane z różnych komputerów w obrębie sieci firmowej i analizować potencjalne zagrożenie. Tego rodzaju architektura ma jednak swoje wady - działa niewydajnie w przypadku bardziej rozległych sieci z większą liczbą podłączonych urządzeń, a w przypadku odłączenia serwera z zainstalowanym systemem IDS, zabezpieczenie staje się bezużyteczne.

• NIDS (Network Base IDS) – sieciowe systemy IDS mogą być rozproszone po całej firmowej sieci i tym samym odporne na odcięcie serwera-hosta wraz z systemem zabezpieczeń. Taki sposób zastosowania IDS ma też większą wydajność w wykrywaniu ataków DoS i DDoS, dzięki możliwości analizowania ruchu pochodzącego z zewnątrz. Dodatkowym atutem jest nieobciążanie serwera hostującego, jak ma to miejsce w przypadku rozwiązania HIDS.

Co ważne, rolą systemów IDS jest detekcja i ostrzeżenie o potencjalnym niebezpieczeństwie, a nie neutralizacja zagrożenia.

Co to jest IPS?

W przeciwieństwie do systemów IDS, system IPS oprócz wykrywania zagrożeń potrafi blokować ataki w czasie rzeczywistym. Jest doskonałym uzupełnienie dla IDS oraz stanowi nieodłączny element współczesnych zapór sieciowych. Dzięki dynamicznie aktualizowanej bazie sygnatur i wzorców zachowań oraz wykrywaniu innych odchyleń od normy, systemy mogą w porę reagować, blokując pakiety pochodzące z podejrzanego adresu IP.

System IPS może pracować w dwóch topologiach:

• w formie sondy analizującej pakiety danych we wskazanym segmencie sieci,


• inline – pomiędzy dwoma segmentami sieci jako most sieciowy bez adresu IP, monitorując przepływające pakiety danych z możliwością ich natychmiastowego zablokowania.

Połączenie pasywnego monitoringu sieci w ramach systemów IDS wraz z możliwością kontroli i reakcji systemu IPS, realizującego zdefiniowaną przez administratora politykę bezpieczeństwa, jest bardzo skutecznym sposobem ochrony firmowej sieci przed zagrożeniami z zewnątrz oraz wewnątrz (np. pracownicy przekraczający swoje uprawienia lub niepowołane osoby logujące się do sieci). Oba systemy, dzięki wczesnej detekcji anomalii, sygnatur i monitorowaniu plików, w celu wykrycia potencjalnych nieautoryzowanych modyfikacji, potrafią w porę udaremnić nawet najlepiej przemyślane ataki wymierzone w organizację.

Poprawnie skonfigurowany system IDS/IPS zapobiega:

• przeprowadzaniu ataków typu brute-force,
• instalacji i rozprzestrzenianiu się malware,
• uwikłaniu komputerów firmowych w tak zwany botnet i wykorzystaniu sieci do przeprowadzania ataków na inne organizacje,
• przeprowadzaniu ataków DoS/DDoS,
• oszustwom typu cryptojacking i wielu innym zagrożeniom.