Wat is IDS en IPS?

Wat is IDS en IPS?

Inbraakdetectie is het proces waarbij de gebeurtenissen in uw netwerk worden bewaakt en geanalyseerd op tekenen van mogelijke incidenten, schendingen of naderende bedreigingen van uw beveiligingsbeleid. Inbraakpreventie is het proces waarbij inbraken worden gedetecteerd en de gedetecteerde incidenten vervolgens worden gestopt. Deze beveiligingsmaatregelen zijn beschikbaar als inbraakdetectiesystemen (IDS) en inbraakpreventiesystemen (IPS), die onderdeel worden van uw netwerk om mogelijke incidenten te detecteren en te stoppen.

Aanpak van problemen met IDS/IPS

Een typisch zakelijk netwerk heeft verschillende toegangspunten tot andere netwerken, zowel openbaar als privé. De uitdaging is om de veiligheid van deze netwerken te handhaven en ze tegelijkertijd open te houden voor hun klanten. Tegenwoordig zijn aanvallen zo geavanceerd dat ze de beste beveiligingssystemen kunnen dwarsbomen, vooral die systemen die nog steeds werken in de veronderstelling dat netwerken kunnen worden beveiligd met encryptie of firewalls. Helaas zijn die technologieën alleen niet voldoende om de aanvallen van vandaag het hoofd te bieden.

Wat kunt u doen met IDS/IPS?

Inbraakdetectiesystemen (IDS) en inbraakpreventiesystemen (IPS) houden uw netwerk constant in de gaten. Ze identificeren mogelijke incidenten en loggen informatie daarover, stoppen de incidenten en rapporteren ze aan beveiligingsbeheerders. Bovendien gebruiken sommige netwerken IDS/IPS om problemen met beveiligingsbeleid te identificeren en om personen ervan te weerhouden het beveiligingsbeleid te schenden. IDS/IPS zijn een noodzakelijke aanvulling geworden op de beveiligingsinfrastructuur van de meeste organisaties, juist omdat ze aanvallers kunnen tegenhouden, terwijl ze informatie over uw netwerk verzamelen.

Hoe werkt IDS?

De drie IDS-detectiemethoden worden doorgaans gebruikt om incidenten te detecteren.

  • Op signatures gebaseerde detectie vergelijkt handtekeningen met waargenomen gebeurtenissen om mogelijke incidenten te identificeren. Dit is de eenvoudigste detectiemethode, omdat het alleen de huidige eenheid van activiteit (zoals een pakket of een logboekinvoer, met een lijst met handtekeningen) vergelijkt met behulp van stringvergelijkingsbewerkingen.
  • Op afwijkingen gebaseerde detectie vergelijkt definities van wat als normale activiteit wordt beschouwd met waargenomen gebeurtenissen, om opvallende afwijkingen te identificeren. Deze detectiemethode kan effectief zijn bij het opsporen van voorheen onbekende bedreigingen.
  • Stateful Protocol Analysis vergelijkt vooraf bepaalde profielen met algemeen aanvaarde definities voor goedaardige protocolactiviteit voor elke protocolstatus met waargenomen gebeurtenissen om afwijkingen te identificeren.

Implementatie van Juniper Networks

Juniper Networks gebruikt zijn SRX-serie Servicesgateways voor diensten rondom inbraakdetectie en -preventie (IDP). U kunt selectief verschillende aanvaldetectie- en preventietechnieken toepassen op het netwerkverkeer dat door uw gekozen SRX-serie apparaat loopt. U kunt beleidsregels definiëren die overeenkomen met een verkeerssegment op basis van een zone, een netwerk of een applicatie, en vervolgens actieve of passieve preventieve maatregelen nemen tegen dat verkeer. Het SRX-serie apparaat bevat een volledige set IPS-handtekeningen om netwerken te beveiligen tegen aanvallen. Juniper Networks werkt regelmatig de vooraf gedefinieerde aanvalsdatabase bij. Het SRX-serie apparaat kan packet capture (PCAP)-gegevens van het verkeer doorsturen naar een Juniper Secure Analytics (JSA)-toepassing met behulp van het PCAP Syslog Combination Protocol.