IDS-IPS versus Firewall

REZUMAT

The main idea in this project is about the differentes between IDS/IPS and Firewall, the advantages and the disadvantages of each.

There are different types of intrusion systems. Firstly there’s host based (HIDS) and network based (NIDS). Network based (NIDS) monitors for intrusions on the network. Host based sits on a computer itself and monitors the host itself. HIDS are expensive to deploy on all computers, so are used for servers that require this extra protection, where network based is usually cheaper to purchase as the investment is in one appliance sitting on your network monitoring traffic.

Not having an IPS system result in attacks going unnoticed. Don’t forget a firewall does the filtering, blocking and allowing of addresses, ports, service, but also allows some of these through the network as well. However this means that the access allowed is just let through, and firewalls have no clever way of telling whether that traffic is legit and normal. This is where the IPS and IDS systems come into play.

There are several types of firewalls but the most common one is the hardware network firewall. As you can see from all network diagrams in this scheme, the network firewall is found in all network designs since it’s the cornerstone of network security.

The core function of a firewall is to allow or block traffic between source hosts/networks and destination hosts/networks.

Basic firewalls work at the Layer 3 and Layer 4 of the OSI model, i.e they can allow or block IP packets based on source/destination IP addresses and source/destination TCP/UDP ports.

9 din 48

Moreover, a network firewall is stateful. This means that the firewall keeps track of the states of connections that pass through it.

So where firewalls block and allow traffic through, IDS/IPS detect and look at that traffic in close detail to see if it is an attack. IDS/IPS systems are made up of sensors, analysers and GUI’s in order to do their specialised job.

10 din 48

CAPITOLUL 1

INTRODUCERE FIREWALL

Practic, un firewall este o barieră pentru a menține forțele distructive departe de proprietatea noastră. De fapt, de aceea se numește firewall. Sarcina sa este similară cu un firewall fizic care împiedică răspândirea unui incendiu dintr-o zonă în alta.Dacă un firewall detecteaza orice încercare suspectă sau rea credință de a intra in rețeaua noastră privată de pe internet, nu o va permite sa treacă.

Un firewall eficace ne poate proteja de vulnerabilitati cum ar fi:

- Remote connection

Atacatorii cibernetici au instrumentele de conectare la dispozitivele de la distanță. Apoi pot controla dispozitivul, fura informații sau pot instala programe malware și spyware.

- Diverting the sesșion by e-mail

Dacă infractorii cibernetici obțin acces neautorizat la rețea, aceștia pot deturna serverul SMTP (Șimple Mail Transfer Protocol). Acest lucru inseamnă că pot trimite mesaje spam sau e-mailuri dăunătoare către contacte prin intermediul serverului de e-mail.Un firewall eficient ne poate proteja împotriva deturnării sesiunilor de e-mail, asigurând păstrarea confidențialității personalului și integritatea mesajelor.

- Vulnerabilities of the application and the backdoor operating system

Anumite programe și aplicații ar putea oferi criminalilor cibernetici acces la distanță la rețea prin funcții sau erori, oferindu-le control asupra programului și punând în pericol datele despre personal și informații senșibile.

11 din 48

- Denial-of-Services(DoS)

Refuzul de serviciu este un atac specific, perturbător, care ar putea pătrunde pe server. În acest caz, serverul va primi o cerere de conectare. Cand serverul încearcă să răspundă, nu poate găși șistemul care a facut cererea. Dacă serverul este lovit in mod repetat cu aceste tipuri de conexiuni, acesta îl va putea incetini conșiderabil și îi poate cauza blocarea.