Een intrusion prevention system (IPS) is een instrument voor netwerkbeveiliging en risicopreventie. Het idee achter intrusion prevention is het creëren van een preventieve benadering van netwerkbeveiliging, zodat potentiële bedreigingen kunnen worden geïdentificeerd en er snel op kan worden gereageerd. Intrusion prevention systems worden daarbij gebruikt om netwerkverkeersstromen te onderzoeken om kwaadaardige software te vinden en om vulnerability exploits te voorkomen.
Een IPS wordt gebruikt om kwaadaardige activiteiten te identificeren, gedetecteerde dreigingen te registreren, gedetecteerde dreigingen te rapporteren en preventieve maatregelen te nemen om te voorkomen dat een dreiging schade aanricht. Een IPS-tool kan worden gebruikt om een netwerk continu in real time te monitoren.
Intrusion prevention is een methode voor het detecteren van bedreigingen die door systeem- en beveiligingsbeheerders in een beveiligingsomgeving kan worden gebruikt. Deze tools zijn nuttig voor systemen als preventieve actie voor geobserveerde gebeurtenissen. Daarnaast is het met de vele mogelijke manieren waarop verdachte activiteiten kunnen plaatsvinden, belangrijk om een plan te hebben voor het detecteren van potentiële aanvallen.
Een intrusion prevention system wordt gemaakt om de basismogelijkheden van intrusion detection systems (IDS’en) uit te breiden.
Hoe werken intrusion prevention systems?
Een intrusion prevention systeem werkt door het scannen van al het netwerkverkeer. Om dit te doen, zal een IPS-tool meestal recht achter een firewallKlik op het woord voor de betekenis zitten, die fungeert als een extra laag die gebeurtenissen voor kwaadaardige inhoud zal observeren. Op deze manier worden IPS-tools in directe communicatiepaden tussen een systeem en netwerk geplaatst, waardoor de tool het netwerkverkeer kan analyseren.
De volgende drie benaderingen zijn gebruikelijk voor een IPS-tool om netwerken te beschermen:
- Signature-based detection waarbij de IPS-tool gebruik maakt van eerder gedefinieerde aanvalssignaturen van bekende netwerkdreigingen om dreigingen te detecteren en actie te ondernemen;
- Anomalie-gebaseerde detectie waarbij het IPS zoekt naar onverwacht netwerkgedrag en de toegang tot de host blokkeert als er een anomalie wordt gedetecteerd; en
- Op beleid gebaseerde detectie waarbij het IPS eerst van de beheerders verlangt dat zij een beveiligingsbeleid maken – wanneer zich een gebeurtenis voordoet die in strijd is met een gedefinieerd beveiligingsbeleid, wordt er een waarschuwing naar de systeembeheerders gestuurd.
Als er bedreigingen worden gedetecteerd, kan een IPS-programma doorgaans waarschuwingen naar de beheerder sturen, kwaadaardige netwerkpakketten laten vallen en verbindingen resetten door firewallsKlik op het woord voor de betekenis opnieuw te configureren, payloads opnieuw te verpakken en geïnfecteerde bijlagen van servers te verwijderen.
IPS tools kunnen helpen bij het afweren van denial-of-serviceKlik op het woord voor de betekenis (DoS) aanvallen, gedistribueerde denial-of-service (DDoSKlik op het woord voor de betekenis) aanvallen, wormen, virussen of exploits, zoals een zero-day exploitKlik op het woord voor de betekenis. Volgens Michael Reed, voorheen van Top Layer Networks (overgenomen door Corero), zou een effectief intrusion prevention systeem meer complexe monitoring en analyse moeten uitvoeren, zoals het bekijken van en reageren op verkeerspatronen, maar ook individuele pakketten. “Detectiemechanismen kunnen bestaan uit adresaanpassing, HTTP [Hypertext Transfer Protocol] string en substring matching, generieke patroon matching, TCP [Transmission Control Protocol] verbindingsanalyse, detectie van anomalieën in pakketten, detectie van anomalieën in het verkeer en TCP/UDP [User Datagram Protocol] port matching.
Types van intrusion prevention systems
Drie soorten intrusion prevention systems komen vaak voor. Deze types zijn de volgende:
- Network behaviour analysis (NBA), die het netwerkgedrag analyseert voor abnormale verkeersstromen – vaak gebruikt voor het detecteren van DDoS-aanvallen;
- Netwerk-based intrusion prevention system (NIPS), dat een netwerk analyseert om te zoeken naar verdacht verkeer;
- Host-based intrusion prevention system (HIPS), dat geïnstalleerd wordt op een enkele host en gebruikt wordt om verdachte activiteiten in een specifieke host te analyseren.
Daarnaast zijn er nog andere soorten IPS-tools, waaronder die voor het analyseren van draadloze netwerken. In het algemeen kan men echter zeggen dat een intrusion prevention system elk product of elke praktijk omvat die wordt gebruikt om aanvallers de toegang tot je netwerk te ontzeggen, zoals firewalls en antivirussoftware.
Voordelen van intrusion prevention systems
De voordelen van intrusion prevention systems zijn onder meer de volgende:
- verlaging van de kans op beveiligingsincidenten;
- het bieden van dynamische threat protection;
- het automatisch melden van verdachte activiteiten aan IT beheerders;
- het beperken van aanvallen zoals zero-day-bedreigingen, DoS-aanvallen, DDoS-aanvallen en brute-force-aanvalspogingen;
- het verminderen van het onderhoud van netwerken voor IT-personeel; en
- het toestaan of weigeren van specifiek inkomend verkeer naar een netwerk.
Nadelen van intrusion prevention systems
Nadelen van inbraakpreventiesystemen zijn onder meer de volgende:
- Wanneer een systeem abnormale activiteit op een netwerk blokkeert in de veronderstelling dat het kwaadaardig is, kan het een false positive zijn en leiden tot een DoS voor een legitieme gebruiker.
- Als een organisatie niet genoeg bandbreedte en netwerkcapaciteit heeft, kan een IPS-tool een systeem vertragen.
- Als er meerdere IPS’en op een netwerk aanwezig zijn, zullen de gegevens door elk daarvan heen moeten gaan om de eindgebruiker te bereiken, waardoor de netwerkprestaties afnemen.
- IPS kan ook duur zijn.