Nja, skulle jag nog vilja säga, IDS/IPS definitionen från 2000-talet (då dina böcker förmodligen skrevs) är på väg bort,
medan IPS lever kvar som ett separat spår har IDS blivit integrerat i brandväggar på ett annat sätt på senare tid, något alla moderna enterprise produkter har, därav snackas det nog inte lika mycket om den längre...
Man har dragit skruven ett varv till nu för tiden "hot" (tolka det som du vill) kommer ju lika gärna inifrån.
Det går mer och mer mot att man analyserar trafikmönster i brandväggen (vilka inte kallas brandväggar heller längre...),
moderna brandväggar kollar även av dina krypterade trafikflöden (HTTPS-trafik, inte krypterade filer som du bifogar etc...) genom en kontrollerad man-in-the-middle "attack", alla applikationer har sin "signatur" ett DNS-anrop ser fortfarande ut som ett DNS-anrop i paketet även om den går på en annan port, (och man kontrollerar ALLA paket inte bara dom x-antal första) utvecklingen har gått hit för att man vill kunna begränsa/tilldela bandbredd på effektivare sätt på företag/webbhotell.
Vi snackar alltså inte "bosses kött och bilverkstad" utan arbetsplatser med 500+ anställda eller Gb uppkopplingAR där en harmlös webradio kan bli problem om alla lyssnar på olika kanaler samtidigt. man kan på ett effektivt sätt stoppa bot-nät om man har blivit smittad och så vidare... paloalto har ju sina "App-ID" och "Content-ID", checkpoint har motsvarande.
Men, det är ju inget man klämmer in i en raspberry (då det krävs rätt duktigt med CPU av hålla koll på alla sessioner, särskilt om dom även är krypterade), så kör snort du det är en bra produkt för att börja lära sig IPS/IDS!
Jag är däremot ytterst tveksam till om raspen räcker till hårdvarumässigt, tror den har "för lite av allt".
(hade jag orkat googla, hade jag nog kunnat skriva att det inte funkar, men jag överlåter det till någon annan...)
// bC
