Wat is een inbraakpreventiesysteem?
Het toevoegen van een inbraakpreventiesysteem (IPS) aan een firewall is een waardevolle keuze. Het combineert de monitoring- en analysefuncties van een inbraakdetectiesysteem (IDS), maar wat het onderscheidt, is zijn proactieve vermogen om bedreigingen actief tegen te gaan en af te schrikken.
Wat betekent IPS?
Voor de meeste gebruikers is de firewall een beproefde methode om hun eigen systeem of netwerk te beschermen tegen aanvallen van buitenaf. Een geschikt inbraakpreventiesysteem (IPS) is een aanbevolen aanvulling op dit beveiligingsmechanisme. Het systeem werkt in twee stappen. Eerst voert het de taken van een inbraakdetectiesysteem (IDS) uit en bewaakt het de host, het netwerk of beide om ongeoorloofde activiteiten onmiddellijk te identificeren door patronen te creëren en deze te vergelijken met realtime verkeer. De tweede stap komt in werking wanneer het inbraakpreventiesysteem een bedreiging identificeert, waarna het passende tegenmaatregelen kan nemen.
Het verschil tussen een inbraakdetectiesysteem en een inbraakpreventiesysteem is dat het inbraakpreventiesysteem alleen een waarschuwing naar de beheerder stuurt. Het inbraakpreventiesysteem daarentegen grijpt actief in, blokkeert datapakketten of onderbreekt kwetsbare verbindingen. Ten eerste is het belangrijk dat het inbraakpreventiesysteem op de juiste manier is geconfigureerd, zodat alle bedreigingen worden afgewend zonder de workflow te hinderen. Bovendien is een nauwe samenwerking tussen het IPS en de firewall cruciaal voor een optimale bescherming. Doorgaans wordt het inbraakpreventiesysteem direct achter de firewall geplaatst en maakt het gebruik van sensoren om systeemgegevens en netwerkpakketten grondig te beoordelen.
Welke soorten inbraakpreventiesystemen zijn er?
Er zijn verschillende soorten inbraakpreventiesystemen, die voornamelijk verschillen in hun plaats van inzet.
- Hostgebaseerde inbraakpreventiesystemen: Hostgebaseerde IPS (HIPS) worden rechtstreeks op individuele eindapparaten geïnstalleerd, waar ze uitsluitend inkomende en uitgaande gegevens controleren. Daardoor zijn hun actieve verdedigingsmogelijkheden beperkt tot het specifieke apparaat waarop ze zijn geïnstalleerd. HIPS worden vaak gebruikt in combinatie met bredere beveiligingsmethoden, waarbij het hostgebaseerde inbraakpreventiesysteem als laatste verdedigingslinie fungeert.
- Netwerkgebaseerde inbraakpreventiesystemen: Netwerkgebaseerde IPS (NIPS) worden strategisch op meerdere locaties binnen een netwerk geplaatst om een groot volume aan datapakketten dat binnen het netwerk circuleert, nauwkeurig te controleren. Ze kunnen worden ingezet via speciale apparaten of binnen firewalls. Deze opstelling maakt een uitgebreide scan en bescherming van alle systemen die op het netwerk zijn aangesloten mogelijk.
- Draadloze inbraakpreventiesystemen: WIPS (Wireless Intrusion Prevention System) zijn speciaal ontworpen om te werken in een WLAN-netwerk. In geval van ongeoorloofde toegang lokaliseert het IPS het betreffende apparaat en verwijdert het uit de omgeving.
- Gedragsgebaseerde inbraakbeveiligingssystemen: Network Behavior Analysis (NBA) wordt aanbevolen voor het bestrijden van DDoS-aanvallen. Dit systeem controleert al het dataverkeer en kan zo aanvallen van tevoren detecteren en voorkomen.
Hoe werkt een inbraakpreventiesysteem?
De rol van een inbraakpreventiesysteem omvat twee belangrijke aspecten. Ten eerste moet het potentiële bedreigingen detecteren, vooraf filteren, analyseren en rapporteren, wat in wezen vergelijkbaar is met een inbraakdetectiesysteem. Bovendien neemt het inbraakpreventiesysteem proactieve maatregelen als reactie op een bedreiging en zet het zijn eigen preventiemaatregelen in gang. In beide scenario’s beschikt het IPS over een reeks methoden.
IPS-analysemethoden
- Anomaliedetectie: Bij anomaliedetectie wordt het gedrag van het netwerk of eindapparaat vergeleken met een vooraf gedefinieerde norm. Bij significante afwijkingen van deze norm neemt het inbraakpreventiesysteem passende tegenmaatregelen. Afhankelijk van de configuratie kan deze methode echter ook leiden tot veelvuldige valse alarmen. Ook om deze reden maken moderne systemen steeds vaker gebruik van AI om het aantal fouten aanzienlijk te verminderen.
- Misbruikdetectie: Bij deze methode worden datapakketten onderzocht op bekende vormen van aanvallen. Dit type inbraakpreventiesysteem heeft een hoge detectiegraad voor bekende bedreigingen en identificeert deze met een hoge mate van zekerheid. Het is echter minder effectief tegen nieuwe, nog niet eerder geïdentificeerde aanvallen.
- Beleidsgebaseerd IPS: Het beleidsgebaseerde inbraakpreventiesysteem wordt minder vaak gebruikt dan de twee eerder besproken methoden. Om deze aanpak te implementeren, moeten eerst unieke en specifieke beveiligingsbeleidsregels worden geconfigureerd. Deze beleidsregels dienen als basis voor het monitoren van het betreffende systeem.
IPS-afweermechanismen
Het inbraakpreventiesysteem werkt in realtime zonder de gegevensstroom te belemmeren. Wanneer een bedreiging wordt gedetecteerd via de eerder beschreven bewakingsmethoden, biedt het IPS verschillende reactiemogelijkheden. In minder kritieke situaties stuurt het, net als een IDS, een melding naar de beheerder voor verdere actie. In ernstigere gevallen onderneemt het inbraakpreventiesysteem echter zelfstandig actie. Het kan transmissiepaden verstoren en resetten, bronnen of bestemmingen blokkeren of zelfs gegevenspakketten volledig verwijderen.
Wat zijn de voordelen van een inbraakpreventiesysteem?
De strategische inzet van een inbraakpreventiesysteem biedt gebruikers tal van voordelen. Het verhoogt met name de algehele veiligheid door risico’s te detecteren die door andere tools mogelijk onopgemerkt blijven. Door vooraf te filteren, verlicht het inbraakpreventiesysteem ook de druk op andere beveiligingsmechanismen, waardoor de hele infrastructuur wordt beschermd. Configuratieopties maken een nauwkeurige aanpassing van het IPS mogelijk om aan specifieke eisen te voldoen. Bij een succesvolle configuratie werkt het systeem autonoom, wat een aanzienlijke tijdwinst oplevert.
Wat zijn de nadelen van een inbraakpreventiesysteem?
Bij correct gebruik verhoogt een inbraakpreventiesysteem de netwerkbeveiliging aanzienlijk. Er zijn echter ook enkele mogelijke nadelen verbonden aan deze aanpak. Naast de eerder genoemde beperkingen van anomalie- en misbruikdetectie, is er een opvallende zorg met betrekking tot de hardwarevereisten. Inbraakpreventiesystemen vereisen doorgaans aanzienlijke middelen, die toenemen naarmate het netwerk groter wordt. Daarom komt hun werkelijke waarde pas tot uiting wanneer hun capaciteiten aansluiten bij de eisen van het netwerk. Bovendien kan de configuratie een uitdaging zijn, vooral voor niet-deskundigen. Suboptimale configuraties kunnen leiden tot netwerkproblemen.
DenyHosts: De beste IPS tegen brute force
In de strijd tegen brute force-aanvallen is DenyHosts een waardevolle optie. Het inbraakpreventiesysteem is geschreven in Python en is open source. Het controleert SSH-inlogpogingen en blokkeert de bijbehorende adressen als er te veel mislukte pogingen zijn. Dit is de officiële GitHub-repository van DenyHosts.