Inbraakpreventiesystemen (IPS) zijn enkele van de belangrijkste netwerkbeveiligingsmaatregelen die een netwerk kan hebben. IPS is een zogenaamd controlesysteem, omdat het niet alleen potentiële bedreigingen voor een netwerksysteem en zijn infrastructuur detecteert, maar ook actief alle verbindingen probeert te blokkeren die een bedreiging kunnen vormen. Dit is anders dan meer passieve beveiligingen zoals inbraakdetectiesystemen.
Wat is IPS-technologie?
Een inbraakpreventiesysteem houdt het netwerkverkeer voortdurend in de gaten, met name op individuele pakketten, om te zoeken naar mogelijke kwaadwillende aanvallen. Het verzamelt informatie over deze pakketten en rapporteert deze aan systeembeheerders, maar het neemt ook zelf preventieve maatregelen. Als een IPS potentiële malware of een ander soort wraakzuchtige aanval detecteert, blokkeert het die pakketten de toegang tot het netwerk. Het kan ook andere stappen ondernemen, zoals het dichten van mazen in de beveiliging van het systeem die voortdurend kunnen worden misbruikt. Het kan toegangspunten tot een netwerk sluiten en secundaire firewalls configureren om in de toekomst naar dit soort aanvallen te zoeken, waardoor extra beveiligingslagen worden toegevoegd aan de verdediging van het netwerk.
Wat voor soort aanvallen kan IPS voorkomen?
Inbraakpreventiesystemen kunnen zoeken naar en beschermen tegen een verscheidenheid aan potentiële kwaadaardige aanvallen. Ze kunnen denial of service (DoS)-aanvallen, gedistribueerde denial of service-aanvallen (DDoS), exploitkits, wormen, computervirussen en andere soorten malware detecteren en blokkeren.
Wat doet IPS als het een aanval detecteert?
Een inbraakpreventiesysteem kan verschillende aanvallen detecteren door pakketten te analyseren en te zoeken naar bepaalde malwaresignaturen, maar het kan ook gebruik maken van gedragstracking om te zoeken naar afwijkende activiteiten op een netwerk, en om eventuele administratieve beveiligingsprotocollen en -beleidsregels te controleren en of deze worden geschonden . Als een van deze detectiemethoden een potentiële aanval ontdekt, kan een IPS de verbinding waarvan het afkomstig is onmiddellijk beëindigen. Het gewraakte IP-adres kan vervolgens worden geblokkeerd als het IPS is geconfigureerd om dit te doen, of als de gebruiker die eraan is gekoppeld, geen toegang meer heeft tot het netwerk en alle aangesloten bronnen. Een IPS kan ook de lokale firewall-instellingen wijzigen om opnieuw op dergelijke aanvallen te letten, en kan zelfs eventuele overblijfselen van een aanval verwijderen door door malware aangetaste headers, geïnfecteerde bijlagen en kwaadaardige links van bestands- en e-mailservers te verwijderen.
IDS versus IPS
Intrustion Detection Systems (IDS) en Intrusion Prevention Systems (IPS) kunnen beide beveiligingsgerelateerd zijn, maar daarvoor hebben ze totaal verschillende doelen en middelen. Er zijn veel soorten IDS en IPS en ze werken allemaal een beetje anders. Voor IDS zijn er netwerkintrusiedetectiesystemen (NIDS) die op strategische punten binnen een netwerk zitten om potentiële aanvallen te detecteren terwijl ze binnen het netwerk aan de gang zijn. HIDS- of host-intrusion-detectiesystemen draaien op individuele systemen en apparaten en bewaken alleen de activiteit op het netwerk dat van en naar dat specifieke systeem gaat. In beide gevallen zullen IDS die een mogelijke aanval ontdekken, de systeembeheerders op de hoogte stellen. IPS-systemen zullen daarentegen een vergelijkbare rol spelen als IDS – en kunnen in combinatie daarmee worden gebruikt voor meer netwerktoezicht – maar zullen een actievere rol spelen bij het beschermen van het netwerk. Ze zullen ook beheerders op de hoogte stellen als aanvallen worden gedetecteerd, maar ze zullen ook strafmaatregelen nemen tegen systemen, individuele accounts of mazen in de firewall om ervoor te zorgen dat de aanval wordt geblokkeerd en dat alle bijbehorende bestanden van het netwerk worden verwijderd. Zoals de namen al doen vermoeden, zijn inbraakdetectiesystemen ontworpen om u te laten weten of en wanneer een aanval plaatsvindt, zodat u het probleem handmatig kunt behandelen. Inbraakpreventiesystemen zijn ontworpen om uw systeem actief te beschermen tegen aanvallen en toekomstige aanvallen te voorkomen door netwerkparameters aan te passen.