Wat is IDS en IPS?

Wat is IDS en IPS?

Intrusiedetectie is het proces waarbij uw netwerkverkeer wordt bewaakt en geanalyseerd op tekenen van mogelijke inbraken, zoals pogingen tot misbruik en incidenten die een onmiddellijke bedreiging voor uw netwerk kunnen vormen. Inbraakpreventie is het proces waarbij inbraken worden gedetecteerd en vervolgens de gedetecteerde incidenten worden gestopt, meestal door packetdrops of sessies te beëindigen. Deze securitymaatregelen zijn beschikbaar in de vorm van intrusion detection systems (IDS) en intrusion prevention systems (IPS), die deel uitmaken van de maatregelen voor netwerkbeveiliging die worden genomen om potentiële incidenten op te sporen en een halt toe te roepen, en die als functionaliteit deel uitmaken van firewalls van de volgende generatie (NGFW).

 

Wat zijn de voordelen van IDS/IPS?

IDS/IPS controleert al het verkeer op het netwerk om bekend schadelijk gedrag te identificeren. Een van de manieren waarop een aanvaller zal proberen een netwerk in gevaar te brengen, is door misbruik te maken van een kwetsbaarheid in een apparaat of in software. DS/IPS identificeert deze pogingen tot misbruik en blokkeert ze voordat ze met succes eindpunten binnen het netwerk in gevaar brengen. IDS/IPS zijn noodzakelijke securitytechnologieën, zowel aan de edge van het netwerk als binnen het datacenter, juist omdat ze aanvallers kunnen tegenhouden terwijl ze informatie over uw netwerk aan het verzamelen zijn.

 

Hoe werkt IDS?

Drie IDS-detectiemethoden worden gewoonlijk gebruikt om incidenten op te sporen:

  • Op handtekeningen gebaseerde detectie vergelijkt handtekeningen met waargenomen gebeurtenissen om mogelijke incidenten te identificeren. Dit is de eenvoudigste detectiemethode, omdat het alleen de huidige eenheid van activiteit (zoals een pakket of een logboekinvoer met een lijst met handtekeningen) vergelijkt met behulp van stringvergelijkingsactiviteiten.
  • Op afwijkingen gebaseerde detectie vergelijkt definities van wat als normale activiteit wordt beschouwd met waargenomen gebeurtenissen, om opvallende afwijkingen te identificeren. Deze detectiemethode kan effectief zijn bij het opsporen van voorheen onbekende bedreigingen.
  • Stateful Protocol Analysis vergelijkt vooraf bepaalde profielen met algemeen aanvaarde definities voor goedaardige protocolactiviteit voor elke protocolstatus met waargenomen gebeurtenissen om afwijkingen te identificeren.
What is IDS and IPS diagram

Wat kunt u doen met IDS/IPS?

Inbraakdetectiesystemen (IDS) en inbraakpreventiesystemen (IPS) houden uw netwerk constant in de gaten. Ze identificeren mogelijke incidenten en loggen informatie daarover, stoppen de incidenten en rapporteren ze aan beveiligingsbeheerders. Bovendien gebruiken sommige netwerken IDS/IPS om problemen met beveiligingsbeleid te identificeren en om personen ervan te weerhouden het beveiligingsbeleid te schenden. IDS/IPS zijn een noodzakelijke aanvulling geworden op de beveiligingsinfrastructuur van de meeste organisaties, juist omdat ze aanvallers kunnen tegenhouden, terwijl ze informatie over uw netwerk verzamelen.

 

Juniper's IDS en IPS

Juniper Networks SRX-serie Firewalls, inclusief de vSRX en cSRX zijn volledig uitgerust voor IDP-services (Intrusion Detection Prevention). U kunt selectief verschillende aanvalsdetectie- en -preventietechnieken afdwingen op het netwerkverkeer dat door het door u gekozen SRX-serie-apparaat of de Secure Edge-service, die een firewall-as-a-service biedt, gaat. U kunt beleidsregels definiëren die overeenkomen met een verkeerssegment op basis van een zone, een netwerk of een applicatie, en vervolgens actieve of passieve preventieve maatregelen nemen tegen dat verkeer. De SRX-serie en Secure Edge-service bevatten beide robuuste en voortdurend bijgewerkte IPS-handtekeningen om netwerken tegen aanvallen te beveiligen. De SRX-serie kan IDP-logboeken doorsturen naar naar securityincident- en gebeurtenisbeheersystemen (SIEM's, Security Incident and Event Management Systems), zoals Juniper Beveiligingsanalyse (JSA).

Veelgestelde vragen over IDS en IPS

Is een firewall een IDS of IPS?

Ja. Echte firewalls van de volgende generatie hebben IDS- en IPS-functionaliteit. Niet alle firewalls zijn echter firewalls van de volgende generatie. Een firewall blokkeert en filtert ook netwerkverkeer, terwijl IDS en IPS een poging tot misbruik detecteren en ervoor waarschuwen of deze blokkeren, afhankelijk van de configuratie. IDS en IPS reageren op verkeer nadat de firewall het verkeer heeft gefilterd, volgens het geconfigureerde beleid.

Hoe worden IDS en IPS geïmplementeerd?

Een Intrusion Detection System (IDS) is verantwoordelijk voor het identificeren van aanvallen en technieken en wordt vaak buiten de band ingezet in een 'listen-only'-modus, zodat het al het verkeer kan analyseren en inbraakgebeurtenissen kan genereren uit verdacht of kwaadwillend verkeer. 

Een Intrusion Prevention System (IPS) wordt ingezet op het pad van het verkeer, zodat al het verkeer via het apparaat moet om zijn bestemming te bereiken. Bij detectie van kwaadwillend verkeer verbreekt de IPS de verbinding en laat de sessie of het verkeer vallen.

Kan IPS verkeer blokkeren?

Ja. Een IPS controleert voortdurend het verkeer op bekend misbruik om het netwerk te beschermen. De IPS vergelijkt dan het verkeer met bestaande handtekeningen. Bij een overeenkomst onderneemt de IPS een van de volgende drie acties: 1) het verkeer detecteren en loggen, 2) het verkeer detecteren en blokkeren, of 3) (de aanbevolen optie) het verkeer detecteren, loggen en blokkeren. 

Wat kan IDS detecteren?

Een IDS detecteert bedreigingen op basis van patronen van bekend misbruik, schadelijk gedrag en aanvalstechnieken. Een doeltreffende IDS detecteert ook ontwijkende technieken die aanvallers gebruiken om misbruik te verbergen, zoals fragmentatie van de remote procedure call (RPC), HTML-padding en andere vormen van TCP/IP-manipulatie.

Meer informatie over wat Juniper IDS/IPS kan detecteren en blokkeren vindt u op onze pagina Signatures .

Kan IPS DDoS voorkomen?

Een IPS kan bepaalde soorten DDoS-aanvallen (distributed denial of service) voorkomen. AppDoS-aanvallen (Application Denial of Service) zijn bijvoorbeeld een van de bedreigingscategorieën die met IPS-functionaliteit kunnen worden geïdentificeerd en waartegen bescherming kan worden geboden. Grootschalige DDoS-dreigingen vereisen echter een speciale oplossing zoals Junipers Corero DDoS-aanbod.

Welke IDS- en IPS-technologieën, -oplossingen en -producten biedt Juniper aan?

Juniper biedt zowel IDS- als IPS-oplossingen aan via één enkel softwareabonnement, ingezet op één van Juniper's firewallproducten en -services van de volgende generatie: fysieke, virtuele en gecontaineriseerde SRX-firewalls, of als een service binnen Juniper Secure Edge.