Een Intrusion Detection System (IDS) monitort het verkeer op uw netwerk, analyseert dat verkeer op signalen van bekende aanvalstechnieken en stuurt u een melding bij een verdachte gebeurtenis. In de tussentijd blijft het verkeer gewoon komen en gaan.
Een Intrusion Prevention System (IPS) monitort het verkeer ook, maar bij een verdacht voorval wordt al het verkeer stopgezet. U kunt dan het nodige onderzoek doen en bepalen of het veilig is om de poorten weer open te zetten.
Wat geniet uw voorkeur: IDS of IPS? Dit is een vraag die aan elke IT-professional wel een keer wordt gesteld. En als u niet zeker bent van uw antwoord, bent u zeker niet de enige.
Beide systemen hebben voor- en nadelen. Veel experts zijn daarom van mening dat een combinatie van IDS en IPS de beste manier is om een server te beschermen.
Wat is een IDS?
U wilt de assets op uw server beveiligen. Maar u wilt niet dat het verkeer stil komt te liggen, ook niet als er zich een probleem voordoet. Dan is een Intrusion Detection System (IDS) wellicht de beste optie.
Er bestaan vijf hoofdcategorieën IDS-systemen.
- Netwerksystemen: deze analyseren al het verkeer op alle devices vanaf een door u gekozen punt.
- Host-systemen: deze analyseren het verkeer van en naar onafhankelijke devices op uw netwerk en laten alle andere devices met rust.
- Systemen op protocolbasis: deze plaatsen een beschermingslaag tussen een device en de server en monitoren al het verkeer tussen de twee.
- Systemen op basis van applicatieprotocollen: deze plaatsen een beschermingslaag tussen een groep servers en analyseren hoe deze onderling communiceren.
- Hybride systemen: deze combineren verschillende van de hierboven beschreven benaderingen in een systeem op maat.
Wat voor IDS u ook kiest, de werking is vergelijkbaar. Er wordt gebruikgemaakt van passieve technologie om indringers te detecteren. Wanneer er iets wordt waargenomen, ontvangt u een melding.
Het systeem kan onder meer problemen met de volgende elementen detecteren:
- Patronen. De technologie geeft een melding af bij ongebruikelijke verzoeken, pakketten met een zeer grote omvang of andere aspecten die voor het systeem op dat moment ongebruikelijk zijn.
- Eerdere aanvallen. De technologie signaleert alles op uw server dat is gebruikt bij bekende eerdere geslaagde aanvallen op andere servers.
- Machine learning. Het systeem gebruikt informatie uit alles wat er op een gemiddelde dag op uw server gebeurt om de toegepaste beschermingsmechanismen te verfijnen.
Een systeem als dit biedt allerlei voordelen. U kunt er snel een opzetten en aanvallers zullen uw beschermingsmechanismen niet zo gemakkelijk kunnen spotten. Maar wanneer u wordt gewaarschuwd dat er een aanval gaande is, bent u mogelijk al te laat om uw assets te beschermen.
Wat is een IPS?
Wilt u aanvallen stoppen zodra ze ontdekt worden, zelfs als dat inhoudt dat u ook legitiem verkeer moet blokkeren? Dan is een Intrusion Protection System (IPS) geschikt.
Het doel van een IPS is het voorkomen van schade. U wordt op de hoogte gehouden van de aanval, en in de tussentijd zorgt het systeem er al voor dat alles veilig blijft.
Een IPS biedt bescherming tegen indringers van buitenaf, maar mensen binnen uw organisatie kunnen ook dingen doen die schadelijk zijn voor uw security. Een IPS kan ook bescherming bieden tegen dat soort acties door uw medewerkers te leren wat wel en wat niet is toegestaan.
Er bestaan vier hoofdcategorieën IPS-systemen:
- Netwerksystemen: deze analyseren en beschermen het verkeer op uw netwerk.
- Draadloze systemen: deze monitoren alles wat er gebeurt binnen een draadloos netwerk en beschermen tegen aanvallen vanaf dat soort netwerken.
- Systemen op basis van netwerkgedrag: deze detecteren aanvallen die ongebruikelijk verkeer op uw netwerk veroorzaken.
- Op een host gebaseerde systemen: deze scannen gebeurtenissen op een door u opgegeven host.
De meeste beheerders installeren een IPS direct achter de firewall. Maar er zijn verschillende configuraties op maat mogelijk om de assets van uw organisatie optimaal te beschermen.
Het maakt niet uit welke categorie u kiest, een IPS zal altijd een aantal voorspelbare stappen uitvoeren.
Een IPS monitort uw netwerk op verdachte activiteiten of lopende aanvallen. Wanneer er iets ongebruikelijks gebeurt, ontvangt u een melding. In de tussentijd heeft het systeem echter al actie ondernomen. Het kan hierbij onder meer gaan om de volgende maatregelen:
- Sessies beëindigen. Het systeem kan bepalen waar de ongebruikelijke activiteit binnenkomt en deze toegang blokkeren, bijvoorbeeld door de TCP-sessie te beëindigen of het IP-adres te blokkeren.
- Firewalls versterken. Het systeem kan de lacune in de firewall detecteren waardoor de aanval kon plaatsvinden. Door de geprogrammeerde code te wijzigen, kunnen vergelijkbare aanvallen in de toekomst worden voorkomen.
- Opschonen. Het systeem kan scannen op beschadigde of malafide content op de server en deze verwijderen.
Het IPS werkt in real time en de technologie controleert elk pakket dat zich binnen de beschermde ruimte beweegt. Het kan snel en effectief reageren op een aanval om u te beschermen, maar helaas ook vals-positieven afgeven. Wanneer dat gebeurt, wordt het verkeer vertraagd terwijl dat eigenlijk niet nodig is.
Aan het einde van een aanval en na opschoning ontvangt u een rapport over wat er precies is misgegaan en wat het systeem heeft gedaan om dat te corrigeren. U kunt deze data vervolgens gebruiken om uw systeem in de toekomst beter te beschermen tegen aanvallen. Daarnaast kunt u de beschermingsmechanismen die het systeem heeft toegepast analyseren en die welke u niet de moeite waard vindt, uitschakelen.
IDS versus IPS: verschillen en overeenkomsten
Moet u voor een IDS of een IPS gaan? We gaan nu kijken in welke opzichten ze op elkaar lijken en verschillen.
Dingen die beide systemen kunnen:
- Monitoren. Zodra ze zijn geconfigureerd, analyseren deze programma’s het verkeer op basis van de parameters die u opgeeft en blijven dit doen totdat u ze uitzet.
- Meldingen afgeven. Beide programma’s sturen een melding naar de door u opgegeven ontvangers wanneer er een probleem wordt gedetecteerd.
- Leren. Beide kunnen met behulp van machine learning patronen en opkomende gevaren begrijpen.
- Logboeken bijhouden. Beide houden overzichten bij van aanvallen en reacties, zodat u uw beschermingsmechanismen zo nodig kunt aanpassen.
In welk opzicht verschillen ze van elkaar?
- Reactie. Een IDS is een passief en een IPS is een actief controlesysteem. Als u een melding krijgt van een IDS, moet u zelf actie ondernemen, terwijl uw systeem wordt aangevallen.
- Bescherming. Een IDS kan mogelijk minder voor u betekenen wanneer u wordt aangevallen. U moet zelf uitzoeken wat er gedaan moet worden en wanneer, en de schade herstellen. Een IPS doet dat allemaal voor u.
- Vals-positieven. Als een IDS u een melding stuurt over iets dat helemaal niet zorgwekkend is, kost dat u alleen wat onnodige tijd. Maar als een IPS al het verkeer blokkeert, kan dat gevolgen hebben voor heel veel mensen.
Aan de hand van deze lijsten kunt u eenvoudig bepalen welk systeem voor u het meest geschikt is. Als uw organisatie zich geen onderbrekingen als gevolg van een technische fout kan permitteren, is een IDS de beste optie. Maar als u aanvallen gelijk de kop in wilt drukken, zodat uw handelsgeheimen en reputatie veilig blijven, ga dan voor een IPS.
IDS en IPS combineren
Veel organisaties lossen dit dilemma op door beide oplossingen te gebruiken om hun assets en servers te beschermen.
Als u voor deze optie kiest, kunt u het IPS gebruiken voor actieve netwerk-security en het IDS voor inzichten in verkeersstromen binnen uw netwerk.
Zo'n oplossing levert u informatie op die u kunt gebruiken om uw hele systeem veilig te houden én zorgt ervoor dat aanvallen niet onopgemerkt blijven.
Bij Okta gebruiken we Identity-context voor een gebruiksvriendelijke combinatie van IDS en IPS die de privacy en veiligheid van onze klanten waarborgt. Klanten krijgen zo het beste van twee werelden: beschermde assets zonder te veel vals-positieven.
We vertellen u graag meer over hoe dat in zijn werk gaat. Neem vandaag nog contact met ons op voor meer informatie.
Referenties
Intrusion Detection System (IDS). (Januari 2020). Geeks for Geeks.
What Is an Intrusion Detection System? How an IDS Spots Threats. (Februari 2018). CSO.
How Do Intrusion Detection Systems (IDS) Work? (Mei 2020). EC-Council.
Intrusion Detection and Prevention Systems. (September 2014). The InfoSec Handbook.
Intrusion Prevention System. (September 2019). Geeks for Geeks.
7 Ways to Get the Most from Your IDS/IPS. (April 2019). DarkReading.