4
Unterschied IDS und IPS
Hallo @all,
mich interessiert der konkrete Unterschied zwischen Intrusion Detection und Intrusion Prevention Systemen.
Für mich war es eigentlich immer so:
IDS - entdeckt Angriffe, gibt Meldung an Admin
IPS - entdeckt Angriffe, kann sie verhindern/blockieren
Ich habe in den letzten Tagen etwas mehr zu dem Thema gelesen und stoße immer wieder darauf, dass es IDS gibt, die auf Angriffe reagieren können. Selbst in einem Dokument vom BSI von 2002 steht etwas von einer Intrusion-Response-Funktion bei IDS (Regeländerung Firewall, Unterbrechung Kommunikationsverbindungen...).
Ich habe auch schon etwas von passiven (nur Alarmfunktion) IDS und aktiven IDS (mit Angriffsabwehr) gelesen, ebenso, wie ich auf die Aussage gestoßen bin, der Begriff IPS wäre nur zu Marketingzwecken eingeführt worden.
Ich wüsste nun gern, was richtig ist.
Gibt es einen Unterschied zwischen aktiven IDS (also die Angriffe abwehren können) und IPS? Kann IPS vielleicht mehr in Punkto Reaktion auf Angriffe?
Oder sind IDS, die Angriffe abwehren können, eigentlich doch immer IPS?
Oder sollte man zwischen aktiven/passiven IDS unterscheiden und den Begriff IPS vergessen?
Würde mich freuen, wenn es jemand weiß und mir erklären kann.
Vielen Dank im Voraus.
Viele Grüße
lindi
mich interessiert der konkrete Unterschied zwischen Intrusion Detection und Intrusion Prevention Systemen.
Für mich war es eigentlich immer so:
IDS - entdeckt Angriffe, gibt Meldung an Admin
IPS - entdeckt Angriffe, kann sie verhindern/blockieren
Ich habe in den letzten Tagen etwas mehr zu dem Thema gelesen und stoße immer wieder darauf, dass es IDS gibt, die auf Angriffe reagieren können. Selbst in einem Dokument vom BSI von 2002 steht etwas von einer Intrusion-Response-Funktion bei IDS (Regeländerung Firewall, Unterbrechung Kommunikationsverbindungen...).
Ich habe auch schon etwas von passiven (nur Alarmfunktion) IDS und aktiven IDS (mit Angriffsabwehr) gelesen, ebenso, wie ich auf die Aussage gestoßen bin, der Begriff IPS wäre nur zu Marketingzwecken eingeführt worden.
Ich wüsste nun gern, was richtig ist.
Gibt es einen Unterschied zwischen aktiven IDS (also die Angriffe abwehren können) und IPS? Kann IPS vielleicht mehr in Punkto Reaktion auf Angriffe?
Oder sind IDS, die Angriffe abwehren können, eigentlich doch immer IPS?
Oder sollte man zwischen aktiven/passiven IDS unterscheiden und den Begriff IPS vergessen?
Würde mich freuen, wenn es jemand weiß und mir erklären kann.
Vielen Dank im Voraus.
Viele Grüße
lindi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 236009
Url: https://administrator.de/contentid/236009
Printed on: April 19, 2024 at 22:04 o'clock
4 Comments
Latest comment
Hallo lindi,
IPS = IDS mit Abwehr. Da die Betitelung immer ein "Draft" ist solltest du hier nicht Dokumente von 2002 zu Rate ziehen, das ist in etwa, wie wenn man den Holocaust mit Dokumenten aus dem 18 und 19 Jhdt definiert.
Grüße
IPS = IDS mit Abwehr. Da die Betitelung immer ein "Draft" ist solltest du hier nicht Dokumente von 2002 zu Rate ziehen, das ist in etwa, wie wenn man den Holocaust mit Dokumenten aus dem 18 und 19 Jhdt definiert.
Grüße
1
Hallo,
es kommt darauf an, was man als dediziertes System betrachtet. Der Normalfall sind heute IPS, da IDS zunehmend auf Firewalls gehostet werden und deren typische Funktionen mit beanspruchen und steuern. Darüber hinaus wird eine dedizierte IDS-Appliance gewissermaßen auch Bestandteil eines (organisatorischen) IPS, wenn sie mit einer dedizierten Firewall in einer steuernden Rolle vernetzt wird.
Insofern besteht zwar ein semantischer Unterschied, aber durchaus auch eine Korrelation zu jüngeren Marketing-Tendenzen: nämlich zur Verdichtung von (idealerweise dedizierten) Netzwerksicherheitsmaßnahmen auf ein und derselben Appliance (UTM...), um für KMU kostengünstigere Angebote mit vorgeblich der gleichen Sicherheit zu schneidern.
Grüße
Richard
es kommt darauf an, was man als dediziertes System betrachtet. Der Normalfall sind heute IPS, da IDS zunehmend auf Firewalls gehostet werden und deren typische Funktionen mit beanspruchen und steuern. Darüber hinaus wird eine dedizierte IDS-Appliance gewissermaßen auch Bestandteil eines (organisatorischen) IPS, wenn sie mit einer dedizierten Firewall in einer steuernden Rolle vernetzt wird.
Insofern besteht zwar ein semantischer Unterschied, aber durchaus auch eine Korrelation zu jüngeren Marketing-Tendenzen: nämlich zur Verdichtung von (idealerweise dedizierten) Netzwerksicherheitsmaßnahmen auf ein und derselben Appliance (UTM...), um für KMU kostengünstigere Angebote mit vorgeblich der gleichen Sicherheit zu schneidern.
Grüße
Richard
Sie haben es schon sehr gut gesagt, was kann ich noch addieren? :D
Hallo,
ich danke euch für eure Erklärungen. Dann ist es jetzt klarer für mich.
Grüße Lindi
ich danke euch für eure Erklärungen. Dann ist es jetzt klarer für mich.
Grüße Lindi
