Wat is een inbraakdetectiesysteem (IDS)?
Moderne inbraakdetectiesystemen vormen een effectieve aanvulling op traditionele firewalls. Ze analyseren en monitoren continu systemen en volledige netwerken in realtime, identificeren potentiële bedreigingen en brengen beheerders onmiddellijk op de hoogte. De daadwerkelijke verdediging tegen aanvallen wordt vervolgens uitgevoerd met behulp van aanvullende software.
Wat zit er achter een IDS (inbraakdetectiesysteem)?
Hoewel moderne computer- en netwerkbeveiligingssystemen geavanceerd zijn, worden cyberaanvallen ook steeds slimmer. Om gevoelige infrastructuur effectief te beschermen, kunt u overwegen om meerdere beveiligingsmaatregelen te nemen. In dit verband is een inbraakdetectiesysteem (IDS) een uitstekende aanvulling op de firewall. Een IDS blinkt uit in het vroegtijdig detecteren van aanvallen en potentiële bedreigingen en waarschuwt beheerders onmiddellijk, zodat zij snel verdedigende maatregelen kunnen nemen. Belangrijk is dat een inbraakdetectiesysteem ook aanvallen kan identificeren die de verdedigingslinies van de firewall hebben doorbroken.
In tegenstelling tot bijvoorbeeld een inbraakpreventiesysteem biedt een IDS zelf geen bescherming tegen aanvallen. In plaats daarvan analyseert het inbraakdetectiesysteem alle activiteiten op een netwerk en vergelijkt deze met specifieke patronen. Wanneer ongebruikelijke activiteiten worden gedetecteerd, waarschuwt het systeem de gebruiker en geeft het gedetailleerde informatie over de oorsprong en aard van de aanval.
Voor meer informatie over de verschillen tussen inbraakdetectie- en inbraakpreventiesystemen verwijzen wij u naar ons aparte artikel over dit onderwerp.
Welke soorten inbraakdetectiesystemen zijn er?
Inbraakdetectiesystemen worden onderverdeeld in drie soorten: hostgebaseerde (HIDS), netwerkgebaseerde (NIDS) of hybride systemen die HIDS- en NIDS-principes combineren.
HIDS: Hostgebaseerde inbraakdetectiesystemen
Het hostgebaseerde inbraakdetectiesysteem is de oudste vorm van beveiligingssysteem. Hier wordt het IDS rechtstreeks op het betreffende systeem geïnstalleerd. Het analyseert gegevens op zowel log- als kernelniveau en onderzoekt ook andere systeembestanden. Om het gebruik van zelfstandige werkstations mogelijk te maken, maakt het hostgebaseerde inbraakdetectiesysteem gebruik van monitoringagenten, die het verkeer vooraf filteren en de bevindingen naar een centrale server sturen. Hoewel het zeer nauwkeurig en uitgebreid is, kan het kwetsbaar zijn voor aanvallen zoals DoS en DDoS. Bovendien is het afhankelijk van het specifieke besturingssysteem.
NIDS: Netwerkgebaseerde inbraakdetectiesystemen
Een netwerkgebaseerd inbraakdetectiesysteem onderzoekt datapakketten die binnen een netwerk worden uitgewisseld en identificeert onmiddellijk ongebruikelijke of abnormale patronen voor rapportage. Het verwerken van grote hoeveelheden gegevens kan echter een uitdaging zijn, waardoor het inbraakdetectiesysteem mogelijk overbelast raakt en een naadloze monitoring wordt belemmerd.
Hybride inbraakdetectiesystemen
Tegenwoordig kiezen veel leveranciers voor hybride inbraakdetectiesystemen die beide benaderingen integreren. Deze systemen bestaan uit hostgebaseerde sensoren, netwerkgebaseerde sensoren en een centrale beheerlaag waar de resultaten samenkomen voor diepgaande analyse en controle.
Doel en voordelen van een IDS
Een inbraakdetectiesysteem mag nooit worden beschouwd of gebruikt als vervanging voor een firewall. Het is juist een uitstekende aanvulling die, in combinatie met de firewall, bedreigingen effectiever identificeert. Omdat het inbraakdetectiesysteem zelfs de hoogste laag van het OSI-model kan analyseren, is het in staat om nieuwe en voorheen onbekende bronnen van gevaar aan het licht te brengen, zelfs als de verdedigingswerken van de firewall zijn doorbroken.
Hoe een inbraakdetectiesysteem werkt
Het hybride model is het meest voorkomende type inbraakdetectiesysteem, waarbij zowel host- als netwerkgebaseerde benaderingen worden gebruikt. De verzamelde informatie wordt beoordeeld in het centrale beheersysteem, waarbij gebruik wordt gemaakt van drie verschillende componenten.
Gegevensmonitor
De datamonitor verzamelt alle relevante gegevens via sensoren en filtert deze op basis van hun relevantie. Dit omvat gegevens van de hostzijde, waaronder logbestanden en systeemdetails, evenals gegevenspakketten die via het netwerk worden verzonden. Het IDS verzamelt en organiseert onder andere bron- en bestemmingsadressen en andere cruciale kenmerken. Een cruciale vereiste is dat de verzamelde gegevens afkomstig zijn van een betrouwbare bron of rechtstreeks van het inbraakdetectiesysteem om de integriteit van de gegevens te waarborgen en voorafgaande manipulatie te voorkomen.
Analysator
Het tweede onderdeel van het inbraakdetectiesysteem is de analysator, die verantwoordelijk is voor het beoordelen van alle ontvangen en vooraf gefilterde gegevens aan de hand van verschillende patronen. Deze evaluatie wordt in realtime uitgevoerd, wat bijzonder veeleisend kan zijn voor de CPU en het hoofdgeheugen. Voldoende capaciteit is essentieel voor een snelle en nauwkeurige analyse. De analysator maakt hiervoor gebruik van twee verschillende methoden:
- Misbruikdetectie: Bij misbruikdetectie onderzoekt de analysator de binnenkomende gegevens op herkende aanvalspatronen die zijn opgeslagen in een speciale database, die regelmatig wordt bijgewerkt. Wanneer een aanval overeenkomt met een eerder geregistreerde signatuur, kan deze in een vroeg stadium worden geïdentificeerd. Deze methode is echter niet effectief voor het detecteren van aanvallen die nog niet bekend zijn bij het systeem.
- Detectie van afwijkingen: Bij detectie van afwijkingen wordt het hele systeem beoordeeld. Wanneer een of meer processen afwijken van de vastgestelde normen, worden dergelijke afwijkingen gemarkeerd. Als bijvoorbeeld de CPU-belasting een bepaalde drempel overschrijdt of als er een ongebruikelijke piek in pagina-toegang is, wordt er een waarschuwing geactiveerd. Het inbraakdetectiesysteem kan ook de chronologische volgorde van verschillende gebeurtenissen analyseren om onbekende aanvalspatronen te identificeren. Het is echter belangrijk op te merken dat in sommige gevallen ook onschadelijke afwijkingen kunnen worden gemeld.
Waarschuwen
Het derde en laatste onderdeel van het inbraakdetectiesysteem is de daadwerkelijke waarschuwing. Als een aanval of op zijn minst afwijkingen worden gedetecteerd, informeert het systeem de beheerder. Deze melding kan worden gedaan via e-mail, via een lokaal alarm of via een bericht op de smartphone of tablet.
Wat zijn de nadelen van een inbraakdetectiesysteem?
Hoewel inbraakdetectiesystemen de beveiliging verbeteren, zijn ze niet zonder nadelen, zoals eerder vermeld. Hostgebaseerde IDS’en kunnen kwetsbaar zijn voor DDoS-aanvallen en netwerkgebaseerde systemen kunnen moeite hebben met grotere netwerkconfiguraties, waardoor mogelijk gegevenspakketten worden gemist. Afhankelijk van de configuratie kan anomaliedetectie vals alarm veroorzaken. Bovendien zijn alle IDS’en uitsluitend ontworpen voor het detecteren van bedreigingen, waardoor aanvullende software nodig is voor een effectieve verdediging tegen aanvallen.
Inbraakdetectiesysteem en het voorbeeld van Snort
Een van de bekendste en populairste inbraakdetectiesystemen is Snort. Deze beveiligingstool, die in 1998 door Martin Roesch werd ontwikkeld, is niet alleen platformonafhankelijk en open source, maar biedt gebruikers ook uitgebreide preventiemaatregelen als inbraakpreventiesysteem. Het programma is gratis beschikbaar en er is een betaalde versie waarvoor bijvoorbeeld updates sneller worden geleverd.