IPS/IDS

Een Intrusion Detection System of IDS is een geautomatiseerd systeem dat ongeautoriseerde toegang tot een informatiesysteem of netwerk detecteert. Onder ongeautoriseerde toegang wordt verstaan een inbreuk op de vertrouwelijkheid, integriteit of beschikbaarheid van informatie. Dit kan gaan van aanvallen door gespecialiseerde hackers tot zogenaamde scriptkiddies die geautomatiseerde – en vaak door anderen geschreven – aanvallen gebruiken.

IPS/IDS

Dit in combinatie met een Intrusion Prevention Systeem (IPS) is een Intrusion Detection Prevention Systeem (IDP). Een Intrusion Prevention Systeem is een security device dat netwerk en/of systeem activiteiten kan monitoren op ongewenst gedrag. Een Intrusion Prevention systeem kan hierop in real-time reageren door het blokkeren of voorkomen van dergelijke activiteiten. Netwerk gebaseerde IPS-systemen opereren ‘in-line’ zodat al het netwerkverkeer gemonitord kan worden op malicieuze codes en aanvallen. Als een aanval wordt gedetecteerd kan de IPS de ‘verdachte’ packets stoppen (drop), terwijl het overige netwerk verkeer gewoon doorgang kan vinden.

De rol van een IDP-systeem in het netwerk wordt vaak verward met access-control en application-layer firewalls. Hoewel er overeenkomsten zijn in de manier waarop IDP en firewalls een netwerk of systeem benaderen zijn er fundamentele verschillen met betrekking tot de security functionaliteiten. Een IDP is in de meeste gevallen ontworpen om compleet onzichtbaar te opereren op het netwerk. Een IDP heeft geen IP-adres voor de segmenten die worden gemonitord en reageert niet direct op het netwerkverkeer maar monitord het netwerkverkeer geruisloos als het voorbij komt. Belangrijke voordelen zijn dat de IDP-technologie een beter inzicht geeft met betrekking tot verschillende operaties die plaats vinden op het netwerk zoals, overactieve hosts, bad logons, ongeoorloofde content en ander netwerk en applicatie layer functionaliteiten.Wij adviseren Cisco ASA 5500 series appliances met bijbehorende licensies voor IPS/IDS.