IDS vs IPS

IDS (Intrusion Detection System) และ IPS (Intrusion Prevention System) เป็นเทคโนโลยีที่ใช้ในการรักษาความปลอดภัยของเครือข่ายคอมพิวเตอร์ โดยมีความแตกต่างกันดังนี้:

1. IDS (Intrusion Detection System):

   • IDS คือ ระบบตรวจจับการเจาะเข้าที่เครือข่าย (Intrusion Detection System) ซึ่งทำหน้าที่ตรวจจับกิจกรรมที่ผิดปกติหรือการโจมตีที่เกิดขึ้นในเครือข่าย

   • IDS ทำงานโดยการตรวจสอบข้อมูลที่ได้รับผ่านเครือข่าย เช่น การส่งหรือรับข้อมูลที่มีลักษณะผิดปกติ เช่น การสแกนพอร์ต, การส่งข้อมูลที่มีรูปแบบที่ไม่เป็นปกติ เป็นต้น

   • เมื่อ IDS ตรวจพบการเจาะเข้าหรือกิจกรรมที่เป็นอันตราย จะสร้างเหตุการณ์แจ้งเตือนให้ผู้ดูแลระบบเครือข่ายมาตรการต่อไป

2. IPS (Intrusion Prevention System):

   • IPS คือ ระบบป้องกันการเจาะเข้าที่เครือข่าย (Intrusion Prevention System) ซึ่งทำหน้าที่ไม่เพียงแค่ตรวจจับการโจมตี แต่ยังสามารถทำการป้องกันการโจมตีที่เกิดขึ้นได้โดยตรง

   • IPS ทำงานโดยระบบตรวจสอบกิจกรรมเหล่านั้นและสามารถทำการปิดการเชื่อมต่อหรือบล็อกการโจมตีทันทีที่พบเห็น

   • การป้องกันนี้สามารถทำได้โดยการตัดการเชื่อมต่อของผู้โจมตีหรือการป้องกันการเข้าถึงทรัพยากรที่เป็นเป้าหมาย

ดังนั้น IDS และ IPS เป็นเทคโนโลยีที่มีความสำคัญในการรักษาความปลอดภัยของเครือข่ายคอมพิวเตอร์ โดย IDS ทำหน้าที่ตรวจจับเท่านั้น ในขณะที่ IPS ทำหน้าที่ตรวจจับและป้องกันการโจมตีที่เกิดขึ้นในเวลาเดียวกัน

IDS vs IPS: ความแตกต่างและคุณสมบัติ

IDS (Intrusion Detection System)

• ความหมาย: IDS เป็นระบบตรวจสอบการบุกรุกที่ตรวจสอบและแจ้งเตือนการบุกรุก แต่ไม่สามารถหยุดการบุกรุกได้โดยทันที

• คุณสมบัติ:

  • ตรวจสอบและแจ้งเตือนการบุกรุก

  • ไม่สามารถหยุดการบุกรุกได้โดยทันที

  • มีปัญหาในการทำงานกับระบบ Gigabit Ethernet ที่มีความเร็วสูง

  • บางครั้ง Signature ของการบุกรุกไม่ถูก update อย่างสม่ำเสมอ

  • มีปัญหาเรื่อง IDS Evasion โดย Hacker จะทำการยิง IP Packet ที่มีการดัดแปลง IP Header แปลกๆ เพื่อหลบเลี่ยงการทำงานของ IDS

IPS (Intrusion Prevention System)

• ความหมาย: IPS เป็นระบบป้องกันการบุกรุกที่สามารถตรวจสอบและหยุดการบุกรุกได้โดยทันที

• คุณสมบัติ:

  • ตรวจสอบและหยุดการบุกรุกได้โดยทันที

  • สามารถป้องกันการโจมตีแบบ DoS หรือ DDoS Attack ได้

  • มีการใช้เทคโนโลยีขั้นสูงในการวิเคราะห์ข้อมูล เช่น Neutral Network และ Fuzzy Logic

  • มีปัญหาเรื่องราคาค่อนข้างแพง

  • การทำงานของ IPS จะใช้หลักการที่เรียกว่า“Inline” หรือ บางตำราเรียกว่า“Gateway IDS”

ความแตกต่างระหว่าง IDS และ IPS

• IDS ตรวจสอบและแจ้งเตือนการบุกรุก แต่ไม่สามารถหยุดการบุกรุกได้โดยทันที

• IPS ตรวจสอบและหยุดการบุกรุกได้โดยทันที และสามารถป้องกันการโจมตีแบบ DoS หรือ DDoS Attack ได้

การเลือกใช้ IDS หรือ IPS

• IDS เหมาะสำหรับองค์กรที่มีงบประมาณจำกัดและไม่จำเป็นต้องหยุดการบุกรุกโดยทันที

• IPS เหมาะสำหรับองค์กรที่มีงบประมาณมากและต้องการป้องกันการโจมตีแบบ DoS หรือ DDoS Attack ได้

อีกทางเลือกหนึ่ง: Honeypots

• Honeypots เป็นระบบที่ออกแบบมาเพื่อจับกับ Hacker โดยปล่อยข้อมูลที่มีความสำคัญออกไปและดูว่า Hacker จะทำอะไร

• Honeypots เหมาะสำหรับองค์กรที่ต้องการจับกับ Hacker และทำความเข้าใจวิธีการโจมตีของพวก Hacker

จากบทความนี้ เราเห็นได้ว่า IDS และ IPS มีความแตกต่างอย่างชัดเจน โดย IDS ตรวจสอบและแจ้งเตือนการบุกรุก แต่ไม่สามารถหยุดการบุกรุกได้โดยทันที ในขณะที่ IPS สามารถตรวจสอบและหยุดการบุกรุกได้โดยทันที และมีคุณสมบัติพิเศษในการป้องกันการโจมตีแบบ DoS หรือ DDoS Attack ได้. สำหรับการเลือกใช้ IDS หรือ IPS จะขึ้นอยู่กับความต้องการและงบประมาณขององค์กร รวมถึงมีอีกทางเลือกหนึ่งคือ Honeypots ที่ออกแบบมาเพื่อจับกับ Hacker และทำความเข้าใจวิธีการโจมตีของพวก Hacker[1][2].

Citations:

[1] https://www.acisonline.net/?p=1372
[2] https://www.mindphp.com/%E0%B8%9A%E0%B8%97%E0%B8%84%E0%B8%A7%E0%B8%B2%E0%B8%A1/244-security/5398-intrusion-prevention-system-ips-security.html
[3] https://www.mindphp.com/%E0%B8%9A%E0%B8%97%E0%B8%84%E0%B8%A7%E0%B8%B2%E0%B8%A1/244-security/5378-intrusion-detection-system-ids-security.html
[4] https://dsdi.msu.ac.th/?article=network&fn=week-03
[5] https://multimedia.riverplus.com/ips-panel-vs-va-panel-for-digital-signage-display/

ระบบตรวจจับการบุกรุก (Intrusion Detection System - IDS) เทียบกับ ระบบป้องกันการบุกรุก (Intrusion Prevention System - IPS)

ทั้ง IDS และ IPS ต่างมีบทบาทสำคัญในความปลอดภัยทางไซเบอร์ แต่มีจุดประสงค์และวิธีการทำงานที่แตกต่างกัน ดังนี้

IDS (Intrusion Detection System)

• ทำหน้าที่ตรวจจับกิจกรรมที่น่าสงสัยบนเครือข่ายหรือระบบ

• วิเคราะห์การไหลของข้อมูล เปรียบเทียบกับรูปแบบการโจมตีที่รู้จัก หรือเบสไลน์ของกิจกรรมปกติ

• แจ้งเตือนเมื่อพบพฤติกรรมที่ผิดปกติ

• ไม่สามารถหยุดการโจมตี แต่ช่วยให้ระบุและสอบสวนเหตุการณ์ได้ทันท่วงที

ข้อดีของ IDS:

• รวบรวมหลักฐานสำหรับการสอบสวน

• ตรวจจับภัยคุกคามใหม่ ๆ ที่ยังไม่มีลายเซ็นในฐานข้อมูล

• เหมาะกับระบบที่มีความพร้อมใช้งานสูง (HA) ที่ต้องการหลีกเลี่ยงการหยุดทำงาน

ข้อเสียของ IDS:

• แจ้งเตือนปลอม (False Positive) อาจเกิดขึ้นบ่อย

• ต้องการการวิเคราะห์จากผู้เชี่ยวชาญ

• ไม่สามารถหยุดการโจมตีได้โดยตรง

ตัวอย่างการใช้งาน IDS:

• ตรวจจับการสแกนพอร์ต

• ตรวจจับการโจมตีแบบ brute force

• ตรวจจับการโจมตีแบบ SQL injection

• ตรวจจับการโจมตีแบบ DDoS

IPS (Intrusion Prevention System)

• ทำหน้าที่ทั้งตรวจจับและป้องกันการโจมตี

• วิเคราะห์การไหลของข้อมูล เปรียบเทียบกับรูปแบบการโจมตีที่รู้จัก หรือเบสไลน์ของกิจกรรมปกติ

• หยุดการโจมตี โดยบล็อกแพ็กเก็ต ปิดการเชื่อมต่อ หรือดำเนินการอื่น ๆ

• แจ้งเตือนเมื่อพบพฤติกรรมที่ผิดปกติ

ข้อดีของ IPS:

• ป้องกันการโจมตีได้ทันที

• ลดความเสี่ยงจากความเสียหาย

• เหมาะกับระบบที่ต้องการการป้องกันแบบเรียลไทม์

ข้อเสียของ IPS:

• อาจบล็อกการเข้าถึงที่ถูกต้อง (False Positive)

• ต้องการการตั้งค่าและปรับแต่งอย่างละเอียด

• ประสิทธิภาพการทำงานอาจลดลง

ตัวอย่างการใช้งาน IPS:

• ป้องกันการโจมตีแบบ brute force

• ป้องกันการโจมตีแบบ SQL injection

• ป้องกันการโจมตีแบบ DDoS

• ป้องกันการโจมตีแบบ zero-day

สรุป:

• IDS เหมาะกับการตรวจจับและวิเคราะห์เหตุการณ์ความปลอดภัย

• IPS เหมาะกับการป้องกันการโจมตีแบบเรียลไทม์

• ควรใช้ IDS และ IPS ร่วมกันเพื่อความปลอดภัยที่ครอบคลุม

แหล่งข้อมูลเพิ่มเติม:

• https://www.checkpoint.com/quantum/intrusion-prevention-system-ips/

• https://www.upguard.com/compare/prevalent-vs-upguard

• https://www.juniper.net/documentation/us/en/software/junos/idp-policy/topics/topic-map/security-idp-overview.html

• https://www.eccouncil.org/cybersecurity-exchange/network-security/how-to-upgrade-your-ids-strategy-and-protect-networks-today/