Co wybrać?

Odpowiedź jest dość łatwa - jeżeli potrzebujesz produktu pozwalającego monitorować i badać bezpieczeństwo sieci, należy wybrać IDS. Jeżeli natomiast zamierzasz kontrolować sieć, należy wybrać IPS. W wielu przypadkach otrzymasz jednak rozwiązanie hybrydowe, łączące funkcje zapory sieciowej, systemu IDS oraz IPS.

IDS jest systemem, który przyniesie korzyści dla administratorów z dużym doświadczeniem. Konieczne jest nadzorowanie systemu i reagowanie na pojawiające się komunikaty. Jeżeli zakładasz bezobsługowość systemu, IDS nie jest rozwiązaniem dostosowanym do twoich potrzeb. IPS z punktu widzenia administratora jest produktem, który potrafi działać samodzielnie, po uprzednio wykonanej konfiguracji, a efekty jego pracy są szybko widoczne. IPS nie jest jednak urządzeniem, o którym po pierwotnej konfiguracji można zapomnieć. System trzeba dostroić pod kątem wykorzystywanych aplikacji oraz urządzeń.

Jeżeli szukasz systemu stanowiącego uzupełnienie standardowej zapory, dodatkowo kontrolującego sieć, należy skupić się na IPS. Gdy potrzebujesz narzędzia pozwalającego wizualizować procesy bezpieczeństwa w sieci, warto wybrać IDS. Jest także jeszcze jedna istotna różnica. IPS monitoruje i pracuje na ruchu rzeczywistym. IDS z kolei pracuje głównie opierając się na kopii rzeczywistego ruchu.

Implementacja IPS/IDS w środowisku fizycznym infrastruktury IT nie jest też tak oczywista. Istnieje kilka metod na wdrożenie systemów, z których każda ma określone wady i zalety. System IPS musi pracować w sposób, który umożliwia przesłanie całego ruchu sieciowego przez to urządzenie. System IPS blokuje wykryte problemy i często uzupełnia rozwiązania standardowych zapór ogniowych. Implementacja IPS w standardowym środowisku powinna zapewniać monitorowanie całego ruchu przechodzącego przez interesujący nas segment sieci. Implementacja IDS może być trochę bardziej skomplikowana. IDS pracuje w środowisku sieciowym, jako narzędzie głównie monitorujące. Kwestią zasadniczą jest takie rozmieszczenie sensorów IDS, aby widziały cały interesujący administratora ruch. Powtórzmy: IPS został stworzony do modyfikowania niektórych ustawień bezpieczeństwa, jeżeli zagrożenie zostaje wykryte. IDS z kolei wykrywa zagrożenia i tworzy komponenty wykorzystywane przez IPS. Problem z wykorzystaniem IPS/IDS pojawia się w nowoczesnych rozwiązaniach wirtualizacyjnych. Tradycyjne rozwiązanie IDS można tu zsynchronizować kopiując zawartość portów przełącznika.

Jeżeli chodzi o wybór sprzętu, to wszystko zależy od sposobu implementacji. Wiele urządzeń pracuje wyłącznie jako IDS. Z kolei systemy IPS integrowane są najczęściej z zaporami sieciowymi i, coraz częściej, systemami IDS. Ważniejsze jest jednak upewnienie się, czy sprzęt wytrzyma obciążenie. Brak odpowiednich zasobów sprzętowych może powodować problemy z siecią. Na rynku istnieją rozwiązania komercyjne oraz darmowe, sprzętowe oraz programowe. Rozwiązania komercyjne przeważnie stanowią spory wydatek. Bardzo popularnym bezpłatnym rozwiązaniem, łączącym funkcje IPS i IDS, jest oprogramowanie Snort. Jest to jeden z najczęściej wdrażanych systemów, który stanowi bardzo dobrą alternatywę dla systemów komercyjnych. To także dobre rozwiązanie na start, umożliwiające poznanie zasad funkcjonowania systemów IPS/IDS, zebrania doświadczeń oraz wypracowania oczekiwań w przypadku przymiarek do bardzo zaawansowanych systemów komercyjnych.