الفرق بين IDS و IPS
إذا كان نظام IDS هو نظام إنذار، فإن نظام منع التسلل (IPS - Intrusion Prevention System) هو نظام إنذار يمكنه أيضاً قفل الأبواب.
الوظيفة
يعمل نظام IPS بشكل مشابه لـ IDS من حيث مراقبة حركة المرور، ولكنه يوضع في مسار (in-line) حركة مرور الشبكة. عندما يكتشف هجوماً، يتخذ إجراءً فورياً لإيقافه قبل وصوله للهدف.
إجراءات المنع
يمكن لنظام IPS أن:
- إسقاط الحزم الخبيثة: التخلص فوراً من الحزم المسببة للتنبيه.
- حظر عنوان IP المصدر: إضافة قاعدة مؤقتة أو دائمة لجدار الحماية لحظر جميع حركة المرور من عنوان IP المصدر.
- إعادة تعيين الاتصال: إنهاء جلسة TCP بين المهاجم والضحية.
العيوب
يمكن أن يتسبب نظام IPS في تأخير (latency)، وإذا تم تكوينه بشكل سيئ، فقد يحظر حركة المرور المشروعة (تنبيهات كاذبة)، مما قد يتسبب في حجب خدمة (DoS) ذاتي.