| Nee, Richard zou niet moeten doen vervang een passieve TAP door een testtoegangspunt (TAP) om zijn netwerk-IDS in een IPS te veranderen. Een passieve TAP is *essentieel* voor een IDS, en het vervangen ervan door een ander type TAP zal het probleem niet oplossen. Om van een IDS een IPS te maken, heeft hij een geheel andere aanpak nodig.
Dit is waarom:
* Passieve TAP's zijn alleen bedoeld voor monitoring: Passieve TAP's spiegelen het netwerkverkeer zonder zich te bemoeien. Dit is cruciaal voor een IDS omdat het verkeer moet observeren zonder het te wijzigen. Een IDS is een *monitoring* systeem.
* IPS vereist actieve interventie: Een inbraak *preventie* systeem (IPS) moet netwerkverkeer kunnen *blokkeren* of *aanpassen* om kwaadaardige activiteiten te voorkomen. Dit vereist dat de IPS *in lijn* wordt geplaatst met het netwerkverkeer, en dit niet alleen maar passief observeert als een IDS.
* Van een IDS een IPS maken: Om van zijn IDS een IPS te maken, moet Richard het volgende doen:
* Vervang de IDS door een IPS: Dit is de meest eenvoudige benadering. IPS-apparaten zijn ontworpen om bedreigingen actief te blokkeren.
* Integreer een IPS-component: Sommige IDS-oplossingen maken integratie met IPS-functionaliteit mogelijk, maar hiervoor zal waarschijnlijk extra hardware en software nodig zijn. Het hangt volledig af van de mogelijkheden van zijn huidige IDS.
Kortom, het probleem is niet het type TAP. Het probleem is dat een IDS passief is terwijl een IPS actief is. Hij heeft een oplossing nodig die in-line verkeersaanpassing mogelijk maakt, en niet alleen observatie. |
