Wat is een inbraakpreventiesysteem?
Een inbraakpreventiesysteem (IPS) controleert de datapakketten van een netwerk op verdachte activiteiten en probeert actie te ondernemen met behulp van specifiek beleid. Het werkt enigszins als een inbraakdetectiesysteem met een firewall om aanvallen te voorkomen. Het stuurt een waarschuwing naar een netwerk- of systeembeheerder wanneer er iets verdachts wordt gedetecteerd, waardoor de beheerder een actie kan selecteren om te ondernemen wanneer de gebeurtenis plaatsvindt. Systemen voor inbraakpreventie kunnen een volledig netwerk, draadloze netwerkprotocollen, netwerkgedrag en het verkeer van een enkele computer bewaken. Elke IPS gebruikt specifieke detectiemethoden om risico's te analyseren.
Afhankelijk van het IPS-model en de functies ervan kan een inbraakpreventiesysteem verschillende beveiligingslekken detecteren. Sommigen kunnen de verspreiding van malware over een netwerk detecteren, het kopiëren van grote bestanden tussen twee systemen en het gebruik van verdachte activiteiten zoals het scannen van poorten. Nadat de IPS het probleem heeft vergeleken met de beveiligingsregels, wordt elke gebeurtenis geregistreerd en wordt de frequentie van de gebeurtenis vastgelegd. Als de netwerkbeheerder de IPS heeft geconfigureerd om een specifieke actie op basis van het incident uit te voeren, onderneemt het inbraakpreventiesysteem vervolgens de toegewezen actie. Een basiswaarschuwing wordt naar de beheerder gestuurd, zodat deze op de juiste manier kan reageren of indien nodig aanvullende informatie over de IPS kan bekijken.
Er zijn vier algemene soorten inbraakpreventiesystemen, waaronder netwerkgebaseerd, draadloos, netwerkgedragsanalyse en hostgebaseerd. Een netwerkgebaseerde IPS analyseert verschillende netwerkprotocollen en wordt vaak gebruikt op RAS-servers, virtuele particuliere netwerkservers en routers. Een draadloze IPS let op verdachte activiteiten op draadloze netwerken en zoekt ook naar ongeautoriseerde draadloze netwerken in een gebied. Analyse van netwerkgedrag zoekt naar bedreigingen die een netwerk kunnen uitschakelen of malware kunnen verspreiden en wordt vaak gebruikt met privé-netwerken die verbinding maken met internet. Een host-gebaseerde IPS werkt op een enkel systeem en zoekt naar vreemde applicatieprocessen, ongewoon netwerkverkeer naar de host, wijziging van het bestandssysteem en configuratiewijzigingen.
Er zijn drie detectiemethoden die een inbraakpreventiesysteem kan gebruiken, en veel systemen gebruiken een combinatie van alle drie. Op handtekeningen gebaseerde detectie werkt goed voor het detecteren van bekende bedreigingen door een gebeurtenis te vergelijken met een reeds gedocumenteerde handtekening om te bepalen of er een beveiligingslek heeft plaatsgevonden. Op anomalie gebaseerde detectie zoekt naar abnormale activiteit in vergelijking met de normale gebeurtenissen op een systeem of netwerk en is met name handig voor het identificeren van onbekende bedreigingen. Stateful protocolanalyse zoekt naar activiteit die haaks staat op hoe een specifiek protocol normaal wordt gebruikt.