IDS ve IPS Arasındaki Fark Nedir 
Saldırıları İzlemek mi Durdurmak mı
“Güvenlik bazen görmekle başlar, bazen durdurmakla tamamlanır.”
— Ersan Karavelioğlu
IDS ve IPS Nedir Güvenliğin İki Gözü
IDS (Intrusion Detection System) saldırıları
tespit eder.
IPS (Intrusion Prevention System) saldırıları
tespit eder ve engeller.
Biri alarm verir, diğeri müdahale eder.
IDS’in Temel Amacı
Ağ veya sistem üzerindeki
şüpheli davranışları izlemek.
Olay olduğunda uyarı üretmek.
Görünürlük sağlamaktır, aksiyon almak değil.
IPS’in Temel Amacı
Şüpheli trafiği
anında durdurmak.
Saldırı gerçekleşmeden kesmek.
Önleme odaklı aktif savunmadır.
Çalışma Mantığı Pasif mi Aktif mi
IDS = Pasif (dinler, raporlar)
IPS = Aktif (dinler, karar verir, keser)
Müdahale yetkisi farkı belirleyicidir.
Ağ Üzerindeki Konumları
IDS genellikle
SPAN/TAP üzerinden trafiği kopyalayarak izler.
IPS trafiğin
üzerinden geçtiği hatta yerleştirilir.
Biri yol kenarında, diğeri yolun üzerindedir.
Yanlış Pozitif (False Positive) Riski
IDS’te yanlış alarm
daha tolere edilebilir.
IPS’te yanlış alarm
servis kesintisi yaratabilir.
Bu yüzden IPS ayarı daha hassastır.
Yanlış Negatif (False Negative) Etkisi
IDS kaçırırsa saldırı
gerçekleşir ama fark edilmez.
IPS kaçırırsa saldırı
doğrudan içeri girer.
Her iki sistemde de risk vardır.
İmza Tabanlı Çalışma
Bilinen saldırı imzalarıyla eşleşme yapılır.
Yeni (zero-day) tehditlerde sınırlıdır.
Güncel imza hayati önem taşır.
Davranışsal Analiz
Anormal trafik desenleri izlenir.
IDS daha çok
analiz, IPS
karar üretir.
Gelişmiş tehditleri yakalama şansı artar.
Performans Etkisi
IDS trafiği kesmediği için
daha hafiftir.
IPS trafiği işlediği için
gecikme yaratabilir.
Donanım kapasitesi kritiktir.
Firewall ile İlişkileri
IDS, firewall’un
göremediğini raporlar.
IPS, firewall’un
kaçırdığını durdurur.
Birlikte çalıştıklarında savunma derinleşir.
İçeriden Gelen Tehditler
IDS içeriden anomaliyi
tespit eder.
IPS içeriden gelen zararlı çıkışı
kesebilir.
İç tehditlerde IPS avantajlıdır.
Loglama ve Olay Müdahalesi
IDS ayrıntılı
olay kaydı üretir.
IPS olay + aksiyon kaydı tutar.
Forensik analiz IDS’te daha rahattır.
Kurulum Karmaşıklığı
IDS kurulumu görece
kolaydır.
IPS dikkatli planlama ister.
Hatalı konumlandırma risklidir.
Hangi Ortamda Hangisi
Küçük ağlar → IDS ile başlamak mantıklı.
Kurumsal/kritik sistemler → IPS şart.
Risk arttıkça müdahale gerekir.
Bulut ve Sanallaştırma
Sanal IDS log ve görünürlük sağlar.
Sanal IPS mikro-segmentasyonla çalışır.
Modern mimarilerde ikisi de evrilmiştir.
“IDS mi IPS mi” Yanılgısı
Birini seçmek zorunda değilsin.
IDS + IPS birlikte en güçlü yapıdır.
İzle + durdur = dengeli savunma.
Ne Zaman Alarmdır
IDS sürekli alarm veriyorsa ayar bozuktur.
IPS sık sık servis kesiyorsa risk vardır.
Sessiz ama etkili olmak esastır.
Son Söz Görmek mi, Durdurmak mı
IDS görür,
IPS durdurur.
Biri bilgelik, diğeri cesarettir.
Gerçek güvenlik, ikisini doğru yerde kullanabilmektir.
“Tehdidi görmek farkındalıktır; durdurmak sorumluluk.”
— Ersan Karavelioğlu
