Een inbraakdetectiesysteem (IDS) bewaakt het netwerkverkeer en controleert op verdachte activiteiten en waarschuwt het systeem of de netwerkbeheerder. In sommige gevallen kan de IDS ook reageren op abnormaal of kwaadaardig verkeer door actie te ondernemen, zoals het blokkeren van het gebruik van het gebruikers- of bron-IP-adres van het netwerk.
IDS is verkrijgbaar in verschillende 'smaken' en benadert het doel om verdacht verkeer op verschillende manieren te detecteren. Er zijn op het netwerk gebaseerde (NIDS) en host-gebaseerde (HIDS) inbraakdetectiesystemen. Er zijn IDS die detecteren op basis van het zoeken naar specifieke handtekeningen van bekende bedreigingen - vergelijkbaar met de manier waarop antivirussoftware typisch detecteert en beschermt tegen malware - en er zijn IDS die detecteren op basis van het vergelijken van verkeerspatronen met een baseline en het zoeken naar afwijkingen. Er zijn IDS die eenvoudig controleren en waarschuwen en er zijn IDS die een actie of acties uitvoeren als reactie op een gedetecteerde dreiging. We zullen elk van deze kort behandelen.
NIDS
Netwerkinbraakdetectiesystemen worden op een strategisch punt of punten in het netwerk geplaatst om verkeer van en naar alle apparaten in het netwerk te monitoren. In het ideale geval scant u alle inkomend en uitgaand verkeer, maar dit zou een knelpunt kunnen veroorzaken dat de algehele snelheid van het netwerk zou verslechteren.
HIDS
Host inbraakdetectiesystemen worden uitgevoerd op individuele hosts of apparaten op het netwerk. Een HIDS controleert alleen de inkomende en uitgaande pakketten vanaf het apparaat en waarschuwt de gebruiker of beheerder dat verdachte activiteit is gedetecteerd
Signature-Based
Een op handtekening gebaseerde IDS zal pakketten in het netwerk monitoren en vergelijken met een database van handtekeningen of attributen van bekende kwaadaardige bedreigingen. Dit is vergelijkbaar met de manier waarop de meeste antivirussoftware malware detecteert. Het probleem is dat er een vertraging zal zijn tussen de ontdekking van een nieuwe bedreiging in het wild en de handtekening voor het detecteren van de dreiging die wordt toegepast op uw IDS. Tijdens die vertragingstijd kan uw IDS de nieuwe dreiging niet detecteren.
Anomaly-Based
Een IDS die op anomalie is gebaseerd, zal het netwerkverkeer monitoren en vergelijken met een vastgestelde basislijn. De baseline identificeert wat 'normaal' is voor dat netwerk - wat voor soort bandbreedte wordt meestal gebruikt, welke protocollen worden gebruikt, welke poorten en apparaten verbinden over het algemeen met elkaar - en waarschuwt de beheerder of gebruiker wanneer er verkeer wordt gedetecteerd dat afwijkend is, of significant anders dan de basislijn.
Passieve IDS
Een passieve IDS detecteert eenvoudig en waarschuwt. Wanneer er verdacht of kwaadaardig verkeer wordt gedetecteerd, wordt een waarschuwing gegenereerd en verzonden naar de beheerder of gebruiker en is het aan hen om actie te ondernemen om de activiteit te blokkeren of op een of andere manier te reageren.
Reactieve IDS
Een reactieve IDS detecteert niet alleen verdacht of kwaadaardig verkeer en waarschuwt de beheerder, maar zal vooraf gedefinieerde proactieve acties ondernemen om op de dreiging te reageren. Typisch betekent dit het blokkeren van verder netwerkverkeer van het bron-IP-adres of de gebruiker.
Een van de meest bekende en meest gebruikte inbraakdetectiesystemen is de open source, vrij beschikbare snort. Het is beschikbaar voor een aantal platforms en besturingssystemen, waaronder zowel Linux als Windows. Snort heeft een grote en loyale aanhang en er zijn veel bronnen beschikbaar op internet waar u handtekeningen kunt verkrijgen om te implementeren om de nieuwste bedreigingen te detecteren.
Er is een dunne lijn tussen een firewall en een IDS. Er is ook een technologie genaamd IPS - Intrusion Prevention System. Een IPS is in wezen een firewall die netwerk- en applicatieniveau-filtering combineert met een reactieve IDS om het netwerk proactief te beschermen. Het lijkt erop dat na verloop van tijd firewalls, IDS en IPS meer attributen van elkaar overnemen en de lijn nog meer vervagen.
In wezen is uw firewall uw eerste verdedigingslinie. Aanbevolen procedures raden aan dat uw firewall expliciet wordt geconfigureerd om alle binnenkomende verkeer te weigeren en open vervolgens gaten waar nodig. Mogelijk moet u poort 80 openen om websites te hosten of poort 21 om een FTP-bestandsserver te hosten. Elk van deze gaten kan vanuit één oogpunt nodig zijn, maar ze vertegenwoordigen ook mogelijke vectoren voor kwaadaardig verkeer om uw netwerk binnen te komen in plaats van te worden geblokkeerd door de firewall.
Dat is waar uw IDS zou komen. Of u nu een NIDS implementeert over het gehele netwerk of een HIDS op uw specifieke apparaat, de IDS zal het inkomende en uitgaande verkeer controleren en verdacht of kwaadaardig verkeer identificeren dat op de een of andere manier uw firewall of het heeft omzeild kan mogelijk ook afkomstig zijn van binnen uw netwerk.
Een IDS kan een geweldig hulpmiddel zijn voor het proactief controleren en beschermen van uw netwerk tegen kwaadwillende activiteiten, maar ze zijn ook vatbaar voor valse alarmen. Met zowat elke IDS-oplossing die u implementeert, moet u het afstemmen nadat het voor het eerst is geïnstalleerd. U moet de IDS correct configureren om te herkennen wat normaal verkeer op uw netwerk is tegen wat mogelijk schadelijk verkeer is en u, of de beheerders die verantwoordelijk zijn voor het reageren op IDS-waarschuwingen, moeten begrijpen wat de waarschuwingen betekenen en hoe u effectief kunt reageren.
