NIDS (Network Intrusion Detection System) en NIPS (Network Intrusion Prevention System))

author
5 minutes, 4 seconds Read
X

Privacy & Cookies

deze website maakt gebruik van cookies. Door verder te gaan, gaat u akkoord met het gebruik ervan. Meer informatie, waaronder het beheren van cookies.

Begrepen!

advertenties

NIDS en NIPS (Behavior based, signature based, anomaly based, heuristic)

een intrusion detection system (IDS) is software die draait op een server of netwerkapparaat om netwerkactiviteiten te monitoren en te volgen. Door een ID te gebruiken, kan een netwerkbeheerder het systeem configureren om de netwerkactiviteit te controleren op verdacht gedrag dat kan wijzen op ongeautoriseerde toegangspogingen. IDSs ‘ s kunnen worden geconfigureerd om systeemlogboeken te evalueren, verdachte netwerkactiviteiten te bekijken en sessies die lijken te schenden met beveiligingsinstellingen te verbreken.

IDSs kan worden verkocht met firewalls. Firewalls op zichzelf voorkomen veel voorkomende aanvallen, maar ze hebben meestal niet de intelligentie of de rapportage mogelijkheden om het hele netwerk te controleren. Een IDS, in combinatie met een firewall, maakt zowel een reactieve houding met de firewall en een preventieve houding met de IDS.

als reactie op een gebeurtenis kunnen de ID ‘ s reageren door systemen uit te schakelen, poorten af te sluiten, sessies te beëindigen, deception (omleiden naar honeypot), en zelfs mogelijk uw netwerk af te sluiten. Een netwerkgebaseerde ID ‘ s die actieve stappen neemt om een inbraak te stoppen of te voorkomen, wordt een netwerkintrusion prevention system (NIPS) genoemd. Wanneer ze in deze modus werken, worden ze beschouwd als actieve systemen.

passieve detectiesystemen loggen de gebeurtenis en vertrouwen op meldingen om beheerders te waarschuwen voor een inbraak. Het vermijden of negeren van een aanval is een voorbeeld van een passieve reactie, waarbij een ongeldige aanval veilig kan worden genegeerd. Een nadeel van passieve systemen is de vertraging tussen inbraakdetectie en eventuele herstelmaatregelen die door de beheerder worden genomen.

Intrusion prevention systems (IPS) zoals IDs ‘ en volgen hetzelfde proces van het verzamelen en identificeren van gegevens en gedrag, met de toegevoegde mogelijkheid om de activiteit te blokkeren (voorkomen).

een netwerk-gebaseerde ID ‘ s onderzoekt netwerkpatronen, zoals een ongebruikelijk aantal of verzoeken die bestemd zijn voor een bepaalde server of dienst, zoals een FTP-server. Netwerk-IDS-systemen moeten zo vooraf mogelijk worden geplaatst, bijvoorbeeld op de firewall, een netwerktap, span-poort of hub, om extern verkeer te monitoren. Host IDS systemen aan de andere kant, worden geplaatst op individuele hosts waar ze efficiënter kunnen monitoren intern gegenereerde gebeurtenissen.

het gebruik van zowel netwerk-als host-ID ‘ s verhoogt de beveiliging van de omgeving.

Snort is een voorbeeld van een netwerkintrusiedetectie-en-preventiesysteem. Het voert verkeersanalyse en packet logging op IP-netwerken. Snort gebruikt een flexibele regelgebaseerde taal om verkeer te beschrijven dat het moet verzamelen of doorgeven, en een modulaire detectie-engine.

netwerkgebaseerde intrusiedetectie pogingen om ongeoorloofd, illegaal en afwijkend gedrag uitsluitend gebaseerd op netwerkverkeer te identificeren. Met behulp van de vastgelegde gegevens, de Netwerk-ID ‘ s verwerkt en markeert verdachte verkeer. In tegenstelling tot een inbraakpreventiesysteem blokkeert een inbraakdetectiesysteem het netwerkverkeer niet actief. De rol van een netwerk ID ‘ s is passief, alleen verzamelen, identificeren, loggen en waarschuwen.

host based intrusion detection system (HIDS) probeert ongeoorloofd, illegaal en afwijkend gedrag op een specifiek apparaat te identificeren. Bij HIDS gaat het over het algemeen om een agent die op elk systeem is geà nstalleerd en die toezicht houdt op en waarschuwt voor lokale OS-en toepassingsactiviteiten. De geïnstalleerde agent gebruikt een combinatie van handtekeningen, regels en heuristieken om ongeautoriseerde activiteiten te identificeren. De rol van een host ID ‘ s is passief, alleen verzamelen, identificeren, loggen en waarschuwen. Tripwire is een voorbeeld van een HIDS.

er zijn momenteel geen volledig volwassen Open Standaarden voor ID. De Internet Engineering Task Force (IETF) is het orgaan dat nieuwe internetstandaarden ontwikkelt. Ze hebben een werkgroep om een gemeenschappelijk formaat voor IDS-waarschuwingen te ontwikkelen.

de volgende soorten monitoringmethoden kunnen worden gebruikt om intrusies en kwaadaardig gedrag op te sporen: signature, anomaly, heuristic en rule-based monitoring.

een op handtekeningen gebaseerde ID ‘ s controleert pakketten op het netwerk en vergelijkt ze met een database van handtekeningen of attributen van bekende kwaadaardige bedreigingen. Dit is vergelijkbaar met de manier waarop de meeste antivirus software detecteert malware. Het probleem is dat er een vertraging zal zijn tussen een nieuwe bedreiging wordt ontdekt in het wild en de handtekening voor het detecteren van die bedreiging wordt toegepast op uw ID ‘ s.

een netwerk-ID-handtekening is een patroon dat we willen zoeken in verkeer. Handtekeningen variëren van zeer eenvoudig-het controleren van de waarde van een koptekstveld – tot zeer complexe handtekeningen die de status van een verbinding kunnen bijhouden of uitgebreide protocolanalyse kunnen uitvoeren.

een anomaly-based IDS onderzoekt voortdurend verkeer, activiteit, transacties of gedrag voor anomalieën (dingen die buiten de norm vallen) op netwerken of systemen die kunnen wijzen op een aanval. Een IDS die anomaly based is zal het netwerkverkeer monitoren en vergelijken met een gevestigde basislijn. De baseline zal identificeren wat “normaal” is voor dat netwerk, wat voor soort bandbreedte over het algemeen wordt gebruikt, welke protocollen worden gebruikt, welke poorten en apparaten over het algemeen met elkaar verbinden, en de beheerder waarschuwen wanneer er verkeer wordt gedetecteerd dat afwijkend is ten opzichte van de baseline.

een heuristisch gebaseerde beveiligingsbewaking maakt gebruik van een initiële database van bekende aanvalstypen, maar verandert dynamisch hun signaturen op basis van aangeleerd gedrag van netwerkverkeer. Een heuristisch systeem gebruikt algoritmen om het verkeer te analyseren dat door het netwerk gaat. Heuristische systemen vereisen meer verfijning om valse positieven in uw netwerk te voorkomen.

een op gedrag gebaseerd systeem zoekt naar variaties in gedrag, zoals ongewoon veel verkeer, beleidsovertredingen, enzovoort. Door te zoeken naar afwijkingen in gedrag, is het in staat om potentiële bedreigingen te herkennen en snel te reageren.
net als firewall Toegangscontrole regels, vertrouwt een op regels gebaseerd beveiligingssysteem op de beheerder om regels te maken en te bepalen welke acties moeten worden ondernomen wanneer deze regels worden overtreden.

• http://netsecurity.about.com/cs/hackertools/a/aa030504.htm
• http://www.sans.org/security-resources/idfaq/
• CompTIA Security + Studiegids: Exam SY0-301, vijfde editie door Emmett Dulaney
* Mike Meyers ‘ CompTIA Security+ Certification Passport, tweede editie door T. J. Samuelle

http://neokobo.blogspot.com/2012/01/118-nids-and-nips.html

advertenties

Similar Posts

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.