Inhoud
- Belangrijkste IDS-typen en wat ze doen
- NIDS
- HIDS
- IDS-subsets
- Op handtekening gebaseerd
- Op anomalie gebaseerd
- Passieve IDS
- Reactieve IDS
- Hoe komen firewalls in het spel?
Een inbraakdetectiesysteem (IDS) is een apparaat of applicatie die netwerkverkeer controleert op verdachte activiteiten of schendingen van het beleid. Als het iets ongebruikelijks vindt, zoals een malware-aanval, beveiligingsinbreuk of onbetrouwbare gebruiker, waarschuwt de IDS de netwerkbeheerder of kan zelfs actie ondernemen door de gebruiker of het bron-IP-adres te blokkeren.
Er is een grote verscheidenheid aan inbraakdetectiesystemen, variërend van eenvoudige antivirustoepassingen tot netwerkbrede bewakingstechnologieën. Hier is een blik op de belangrijkste IDS-typen, hun subsets, hoe ze worden gebruikt en waar firewalls een rol spelen.
Wanneer een IDS in staat is om te reageren op een inbraak, wordt deze geclassificeerd als een inbraak preventie systeem.
Belangrijkste IDS-typen en wat ze doen
Er zijn veel IDS-typen, maar de meest voorkomende classificaties zijn netwerkinbraakdetectiesystemen (NIDS) en hostinbraakdetectiesystemen (HIDS).
NIDS
Dit type technologie analyseert inkomend netwerkverkeer. Netwerkinbraakdetectiesystemen worden op strategische punten binnen het netwerk geplaatst om het verkeer van en naar alle apparaten op het netwerk te monitoren. Het vergelijkt uw netwerkgegevens met bekende bedreigingen en markeert verdachte activiteiten.
Idealiter scant een NIDS al het inkomende en uitgaande verkeer, maar dit zou een knelpunt kunnen creëren dat de algehele snelheid van het netwerk zou schaden.
HIDS
Hostinbraakdetectiesystemen werken op individuele hosts of apparaten op het netwerk. Ze controleren alleen inkomende en uitgaande pakketten vanaf het apparaat en waarschuwen de gebruiker of beheerder als er verdachte activiteit wordt gedetecteerd. A HIDS geeft een completer beeld omdat het naar alle knooppunten en hosts van het systeem kijkt terwijl het op kwaadaardige activiteiten controleert.
Omdat hostinbraakdetectiesystemen verdachte activiteiten kunnen vinden die afkomstig zijn van het netwerk zelf, beschouwen sommige experts ze als het meest waardevolle type IDS.
IDS-subsets
Binnen NIDS en HIDS zijn enkele IDS-varianten die werken met een unieke focus.
Op handtekening gebaseerd
Een op handtekeningen gebaseerde IDS controleert pakketten op het netwerk en vergelijkt ze met een database met handtekeningen of kenmerken van bekende kwaadaardige bedreigingen. Dit is vergelijkbaar met de manier waarop de meeste antivirussoftware malware detecteert. Een op handtekeningen gebaseerde IDS is geweldig in het vinden van bestaande bedreigingen, maar kan geen nieuwe aanvallen detecteren.
Op anomalie gebaseerd
Een op anomalie gebaseerde IDS bewaakt het netwerkverkeer en vergelijkt het met een vastgestelde basislijn voor wat 'normaal' is, zoals de bandbreedte, protocollen, poorten en apparaten die doorgaans worden gebruikt. Het markeert een beheerder wanneer het onbekende activiteit detecteert.
Deze aanpak is handig voor het vinden van nieuwe aanvallen, maar is vatbaar voor false positives omdat voorheen onbekende legitieme activiteiten kunnen worden gemarkeerd.
Passieve IDS
Een passieve IDS controleert, detecteert en waarschuwt eenvoudig. Als er verdacht of kwaadaardig verkeer wordt gedetecteerd, wordt de beheerder hiervan op de hoogte gesteld. Een passieve IDS kan geen beschermende of corrigerende maatregelen uitvoeren.
Reactieve IDS
Een reactieve IDS detecteert verdacht of kwaadaardig verkeer, waarschuwt de beheerder en onderneemt vervolgens vooraf gedefinieerde, proactieve actie om op de bedreiging te reageren. Dit betekent doorgaans dat verder netwerkverkeer van het bron-IP-adres of de gebruiker wordt geblokkeerd.
Een populaire IDS is de open source, gratis Snort. Snort werkt met veel platforms en besturingssystemen, waaronder Linux en Windows. Snort heeft veel bronnen beschikbaar om handtekeningen te vinden om te implementeren om de nieuwste bedreigingen te detecteren.
Hoe komen firewalls in het spel?
De firewall en IDS van uw systeem werken beide om uw netwerk te beschermen tegen hacks en indringers. Het is de taak van uw firewall om te voorkomen dat kwaadwillende buitenstaanders uw netwerk binnendringen, terwijl uw IDS eventuele slechte acteurs opspoort die op de een of andere manier binnenkwamen.
Een firewall is uw eerste verdedigingslinie. Het moet expliciet worden geconfigureerd om ontkennen al het inkomende verkeer, en dan open je waar nodig gaten. Mogelijk moet u bijvoorbeeld poort 80 openen om websites te hosten of poort 21 om een FTP-bestandsserver te hosten. Hoewel deze openingen nodig kunnen zijn, vertegenwoordigen ze mogelijke aanvalspunten.
Daarom heb je zowel een IDS als een firewall. Of u nu een NIDS in het hele netwerk of een HIDS op uw specifieke apparaat implementeert, de IDS controleert het inkomende en uitgaande verkeer en identificeert verdacht of kwaadaardig verkeer dat uw firewall omzeilde of van binnenuit kwam.
Een IDS is een belangrijke beveiliging van het netwerk en beschermt tegen de kwetsbaarheden die kunnen optreden wanneer andere technologieën falen. Naarmate cybercriminaliteit geavanceerder wordt, moeten uw verdedigingsmaatregelen dat ook doen.