Informatyka antywłamaniowa
- Kamil Folga,
- 10.06.2013
Co wybrać?
Odpowiedź jest dość łatwa - jeżeli potrzebujesz produktu pozwalającego monitorować i badać bezpieczeństwo sieci, należy wybrać IDS. Jeżeli natomiast zamierzasz kontrolować sieć, należy wybrać IPS. W wielu przypadkach otrzymasz jednak rozwiązanie hybrydowe, łączące funkcje zapory sieciowej, systemu IDS oraz IPS.
IDS jest systemem, który przyniesie korzyści dla administratorów z dużym doświadczeniem. Konieczne jest nadzorowanie systemu i reagowanie na pojawiające się komunikaty. Jeżeli zakładasz bezobsługowość systemu, IDS nie jest rozwiązaniem dostosowanym do twoich potrzeb. IPS z punktu widzenia administratora jest produktem, który potrafi działać samodzielnie, po uprzednio wykonanej konfiguracji, a efekty jego pracy są szybko widoczne. IPS nie jest jednak urządzeniem, o którym po pierwotnej konfiguracji można zapomnieć. System trzeba dostroić pod kątem wykorzystywanych aplikacji oraz urządzeń.
Jeżeli szukasz systemu stanowiącego uzupełnienie standardowej zapory, dodatkowo kontrolującego sieć, należy skupić się na IPS. Gdy potrzebujesz narzędzia pozwalającego wizualizować procesy bezpieczeństwa w sieci, warto wybrać IDS. Jest także jeszcze jedna istotna różnica. IPS monitoruje i pracuje na ruchu rzeczywistym. IDS z kolei pracuje głównie opierając się na kopii rzeczywistego ruchu.
Jeżeli chodzi o wybór sprzętu, to wszystko zależy od sposobu implementacji. Wiele urządzeń pracuje wyłącznie jako IDS. Z kolei systemy IPS integrowane są najczęściej z zaporami sieciowymi i, coraz częściej, systemami IDS. Ważniejsze jest jednak upewnienie się, czy sprzęt wytrzyma obciążenie. Brak odpowiednich zasobów sprzętowych może powodować problemy z siecią. Na rynku istnieją rozwiązania komercyjne oraz darmowe, sprzętowe oraz programowe. Rozwiązania komercyjne przeważnie stanowią spory wydatek. Bardzo popularnym bezpłatnym rozwiązaniem, łączącym funkcje IPS i IDS, jest oprogramowanie Snort. Jest to jeden z najczęściej wdrażanych systemów, który stanowi bardzo dobrą alternatywę dla systemów komercyjnych. To także dobre rozwiązanie na start, umożliwiające poznanie zasad funkcjonowania systemów IPS/IDS, zebrania doświadczeń oraz wypracowania oczekiwań w przypadku przymiarek do bardzo zaawansowanych systemów komercyjnych.