Waarom moeten inbraakpreventiesystemen worden gebruikt?
IPS-technologieën kunnen netwerkbeveiligingsaanvallen zoals brute force-aanvallen, Denial of Service (DoS) – aanvallen en kwetsbaarheidsuitbraken detecteren of voorkomen. Een kwetsbaarheid is een zwakte in een software systeem en een exploit is een aanval die gebruik maakt van die kwetsbaarheid om de controle over een systeem te krijgen., Wanneer een exploit wordt aangekondigd, is er vaak een venster van de kans voor aanvallers om die kwetsbaarheid te exploiteren voordat de security patch wordt toegepast. Een Inbraakpreventiesysteem kan in deze gevallen worden gebruikt om deze aanvallen snel te blokkeren.
omdat IPS-technologieën packet flows volgen, kunnen ze ook worden gebruikt om het gebruik van veilige protocollen af te dwingen en het gebruik van onveilige protocollen te weigeren, zoals eerdere versies van SSL of protocollen die zwakke cijfers gebruiken.
Hoe werken inbraakpreventiesystemen?,
IPS-technologieën hebben toegang tot pakketten waar ze worden ingezet, hetzij als Network intrusion detection systems (NID ‘s), hetzij als Host intrusion detection systems (HID’ s). Network IPS heeft een groter beeld van het hele netwerk en kan inline in het netwerk of offline op het netwerk worden ingezet als een Passieve sensor die pakketten ontvangt van een netwerk-TAP-of SPAN-poort.
de gebruikte detectiemethode kan gebaseerd zijn op signatuur of anomalie. Voorgedefinieerde handtekeningen zijn patronen van bekende netwerkaanvallen. De IPS vergelijkt pakketstromen met de handtekening om te zien of er een patroonovereenkomst is., Anomaly-based intrusion detection systems gebruikt heuristiek om bedreigingen te identificeren, bijvoorbeeld het vergelijken van een steekproef van verkeer met een bekende baseline.
Wat is het verschil tussen IDS en IPS?
vroege implementaties van de technologie werden ingezet in de detectiemodus op speciale beveiligingsapparatuur. Als de technologie is gerijpt en verplaatst naar geà ntegreerde volgende generatie Firewall of UTM-apparaten, de standaardactie is ingesteld om het kwaadaardig verkeer te voorkomen.,
in sommige gevallen is het besluit om het verkeer op te sporen en te accepteren of te voorkomen gebaseerd op vertrouwen in de specifieke IPS-bescherming. Wanneer er minder vertrouwen is in een IPS-bescherming, dan is er een hogere kans op valse positieven. Een vals positief is wanneer de IDS identificeert een activiteit als een aanval, maar de activiteit is aanvaardbaar gedrag. Om deze reden hebben veel IPS-technologieën ook de mogelijkheid om pakketsequenties vast te leggen van de aanval. Deze kunnen vervolgens worden geanalyseerd om te bepalen of er een werkelijke bedreiging was en om de IPS-bescherming verder te verbeteren.