Diferenças entre NIDS e NIPS?

Olá pessoal, esse artigo é de um trabalho que fiz para a pós e achei interessante compartilhar com vocês, a fonte é do livro do Samir Datt, Learning Network Forensics, que aliás é uma ótima leitura.

A primeira vista, ambas as soluções parecem bastante semelhantes, entretanto, há uma clara diferença, um se trata de um sistema passivo de monitoramento e detecção que se limita a soar um alarme em uma anomalia ou uma combinação de assinaturas, e o outro é um sistema de prevenção ativo que adota ação proativa ao detectar um pacote malicioso.

Geralmente, um NIPS é em linha (entre o firewall e o resto da rede) e toma uma ação proativa com base no conjunto de regras fornecidas a ele. No caso de um NIDS, o dispositivo/computador normalmente não está em linha, mas pode obter tráfego espelhado de uma porta de rede ou espelhada.

A sobrecarga de rede no caso de um NIPS é mais do que a de um NIDS.

Outra questão com um NIDS é que no momento em que um intruso atinge o sistema e/ou o administrador é informado, o intruso já se infiltrou o sistema pelo menos em uma camada, tornando assim uma situação simples extremamente terrível.

Enquanto a estabilidade é fundamental em ambos os sistemas, as consequências de um incidente NIDS é uma área cega na segurança da rede durante o tempo de inatividade. No entanto, no caso de um incidente NIPS, toda a rede pode cair com consequências graves. Um IDS pode ser usado no modo ativo, e isso tende a ofuscar a diferença entre IPS e um IDS ativo. 

Um IDS ativo pode ser configurado para soltar pacotes com base em determinados critérios ou até mesmo redirecionar o tráfego por meio de um dispositivo de rede. Hoje em dia, há uma enorme sobreposição entre firewalls, NIPS e NIDS. Na verdade, há algum tempo, os fabricantes têm trabalhado para combinar tudo isso em um único produto. Alguns destes dispositivos chamados de Unified Threat Management (UTM), estão agora disponíveis no mercado.