Onbekend maakt onbemind. Dat gaat in elk geval op voor het Intrusion Prevention System, kortweg IPS. Nog te veel mensen verkeren in de veronderstelling dat een firewall en antivirus-scanning het netwerk voldoende beschermen; dit is niet het geval. In tegenstelling tot deze vertrouwde schildwachten kijkt een IPS namelijk ook naar het gedrag van binnenkomend en uitgaand netwerkverkeer. Grenscontrole op z’n best.
Een firewall werkt op basis van routeringen en antivirus-software scant inkomende data alleen op basis van signalementen van bekende virussen, de zogenaamde signatures. Een Intrusion Prevention System (IPS) daarentegen monitort niet alleen alle netwerkverkeer op basis van signatures maar combineert dat met het controleren van het gedrag van data en software. Dat betekent dat ook nog onbekende virussen en malware kunnen worden herkend. Een IPS bestrijkt dus een ander gedeelte van de netwerkcontrole dan de vertrouwde firewall en antivirus-software.
Een IPS beperkt zich bovendien niet tot het inkomende verkeer, maar let ook op wat het netwerk uitgaat. Op die manier kan bijvoorbeeld geconstateerd worden dat een van de werkplek-pc’s geïnfecteerd is en contact probeert te leggen met een onbekend ip-adres of een onbekende host. Het systeem kan dat melden, maar desgewenst ook direct blokkeren.
Niet gepatcht
Een IPS is daarnaast in staat te constateren dat een applicatie of OS niet up-to-date, niet gepatcht is. Dat is te herleiden uit het type aanval en het lek waarvan gebruik gemaakt is. Voor de IT-medewerkers een noodsignaal om snel tot updating over te gaan. In sommige gevallen, bijvoorbeeld in een productieomgeving, kan de angst bestaan dat een wat ouder besturingssysteem door patching instabiel wordt. Daarmee is de software beschermd, maar ligt de productie stil. Het middel is in dat geval erger dan de kwaal. Dan is een IPS ideaal: de update kan achterwege blijven en het IPS neemt de bescherming over.
Dedicated IPS
Meestal is IPS een optionele functionaliteit in een firewall-appliance. Dat kan bij grote organisaties echter leiden tot problemen met de performance van het netwerk. Het is ook mogelijk het netwerk in verschillende zones te verdelen en aparte, dedicated IPS-appliances in te zetten. Dat heeft een aantal voordelen. In de eerste plaats is het apparaat speciaal voor dat doel gemaakt. Dat geeft een bepaalde garantie over de bedrijfszekerheid en de performance. In de tweede plaats is het werken met gescheiden zones een heel veilige optie, die het mogelijk maakt problemen te isoleren. Er is nog een bijkomend voordeel. Stel dat de IPS-appliance niet of slecht functioneert, dan kan dat gevaar opleveren voor het netwerk. Een appliance is echter voorzien van een ‘backdoor’, die als een bypass werkt: het internetverkeer wordt dan dus tijdelijk omgeleid buiten het IPS om, bijvoorbeeld naar een ander gedeelte van het netwerk.
Een dedicated IPS heeft niet meer functionaliteit dan een IPS in de firewall. De inzet van een IPS heeft meer te maken met de strategie ten opzichte van monitoring; sommige organisaties werken met gescheiden security-componenten.
Grenscontrole
IPS, zowel dedicated als in de firewall, is vooral in gebruik op enterprise-niveau. Veel kleinere bedrijven weten niet wat een IPS is en doet, terwijl het een erg belangrijke security-functionaliteit is. De ‘P’ staat voor ‘preventie’ en niet voor ‘protectie’. Een IPS is erop gericht schade te voorkomen door aan de grens niet alleen het paspoort te controleren, maar vooral te letten op het gedrag van de reizigers. Vergelijkbaar met het werk van onze Marechaussee op bijvoorbeeld de luchthavens. Grenscontrole op z’n best!
Etienne,
Leuk om IPS met het werk van de marechaussee aan de grensposten te vergelijken maar deze hebben een iets ruimere rol dan het bewaken van onze grenzen, deze reiken namelijk verder dan wat de lijnen op een kaart. Preventie omvat dan ook verkenning om zodoende actief te kunnen verdedigen en dus werkt marechaussee samen met andere diensten. En als de dreiging toeneemt zie je een verhoogde waakzaamheid waarbij controles intensiever worden, met risico vluchten bijvoorbeeld.
Je advies om niet te patchen maar te vertrouwen op een IPS klinkt me nogal dom in de oren, beetje als Windows XP waar je wel een waarschuwing krijgt maar geen bescherming meer. Zeker nu met BYO niet iedereen meer via de gecontroleerde grensposten binnenkomt is het van belang om je systemen up-to-date te houden.
Beste Ewout,
Een IPS werkt als preventie. Een 100% beveiliging biedt een IPS niet, net zo min als de vergelijking die in dit artikel genoemd wordt. Wat betreft het vertrouwen in een IPS; er zijn situaties waarin er (bijna)nooit een patch wordt geinstalleerd, omdat dit de productie omgeving wellicht kan verstoren. Denk hierbij bijvoorbeeld aan SCADA apparatuur. In een dergelijke situatie wordt een IPS ingezet om het risico te beperken. Voor BYOD is juist het advies om nu juist een IPS in te zetten. De Next Gen Firewall heeft dan de mogelijkheid om, op basis van segmentering van het netwerk via de Firewall, een betere detectie te genereren met een IPS – dan bijvoorbeeld met Antivirus alleen.
mvg, Etienne
Etienne,
Misschien handig als je mijn reacties leest op je voorgaande opinie, 100% veilig bestaat inderdaad niet, maar we worden wel steeds vaker 100% afhankelijk van oplossingen die achterlopen in onderhoud. Problematiek met A&PC systemen zijn mij bekend, zie presentatie vanaf slide 19:
http://www.slideshare.net/edekkinga/forward-unisys
Verder specificeer ik uitdagingen niet tot apparaat – noem expliciet niet de D in BYOD – maar layer 8 die zich vaak buiten het bedrijfsnetwerk bevindt.