Key Differences Between IDS & IPS




Download 2,67 Mb.
Pdf ko'rish
bet6/25
Sana14.05.2024
Hajmi2,67 Mb.
#233760
1   2   3   4   5   6   7   8   9   ...   25
4.Key Differences Between IDS & IPS
 
 
Intrusion detection and intrusion prevention are similar concepts but there are 
distinct differences, unique concerns, and benefits inherent with deploying either 
one, or both as we will see later. Let's start our dissection with intrusion detection.
Network intrusion detection systems allow analysts the ability to peer into 
network traffic and gain an in-depth understanding of protocols belonging to 
network stacks, applications and operating systems. While intrusion detection 
systems can be placed inline, they are commonly connected to the spanning port of 
a switch, attached to a hub, or make use of network taps. The intent here is to allow 
a designated network interface to process all traffic analysts want to inspect.
If an intrusion detection system is out-of-band, the opposite of inline, then 
the monitored network will not be at the mercy of the IDS failure potential. If the 
system is placed inline and it fails, network packets will no longer be processed thus 
ceasing all connectivity the system is designed to monitor. This is a benefit over 
intrusion prevention systems which are always configured inline.
Detection systems connected to a spanning port or hub have the potential to 
send a reset packet, to both the source and target of malicious sessions. This being 
an example of utilizing an IDS as a defensive measure. However, this will typically 
stop an attack already underway. Intrusion prevention systems, while connected 
inline, can stop or redirect attacks preemptively in most cases (Baker, 2004). Of 
course this extra control comes with a price.
Nicholas Pappas
9
@ 2021 SANS Institute
Author Retains Full Rights

© SANS Institute 200
8
,
Author retains full rights.
© SANS Institute 200
8
, Author retains full rights.
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
Network IDS & IPS Deployment Strategies
As mentioned previously, the risk introduced with placing either an IDS or IPS 
inline is related to the likelihood of the system failing resulting in the link being 
brought down. Some commercial systems will go into failsafe mode where they 
default to being open and minimize risk of a device failure causing network outage. 
Security and network analysts should know outage caused by system failure must be 
avoided if at all possible. The mission of deploying security controls is defeated 
when the controls themselves are excessively prone to failure. Especially when their 
failure unintentionally brings down large scale network connectivity.

Download 2,67 Mb.
1   2   3   4   5   6   7   8   9   ...   25




Download 2,67 Mb.
Pdf ko'rish