3.2.3.6. Host-based versus network-based
- Yentl Goossens (Unlicensed)
We hebben in vorige hoofdstukken uitgelegd wat host-based firewall, IDS en IPS betekenen. Van deze oplossingen bestaat ook een netwerk-based variant. Beide technieken zijn complementair en kunnen in verschillende omgevingen en voor verschillende functies ingezet worden. Meer uitleg over netwerk-base firewall, IDS en IPS is terug te vinden in 3.3. Minimale maatregelen - Netwerken .Dit hoofdstuk schetst de verschillen tussen beide technieken.
Host-based technologie kan heel goed overweg met versleutelde trafiek omdat een host-based oplossing de trafiek analyseert voor die wordt versleuteld of nadat die is ontcijfert. Een netwerk-based oplossing kan niet zomaar versleutelde trafiek verwerken: deze oplossing ‘ziet’ alleen de versleutelde trafiek en heeft geen mogelijkheid om vast te stellen of er binnen de versleutelde trafiek malafide communicatie plaats vindt. Voor TLS is wel een oplossing door middel van SSL-inspectie, maar hiervoor heeft de netwerk-based oplossing de private sleutel nodig waarmee de TLS is opgezet. Vaak argumenteert men hiertegen uit het oogpunt van beveiliging en bescherming van persoonsgegevens.
Een ander belangrijk aspect is het kostenplaatje: door netwerk-based technologie in te zetten, is het mogelijk om met één oplossing alle systemen in het netwerk of de netwerkzone in één keer te beveiligen. Om hetzelfde resultaat te bekomen met een host-based oplossing, moet elk ICT-systeem voorzien worden van een eigen implementatie van zo’n oplossing.
Daarnaast is een host-based oplossing afhankelijk van het ICT-systeem waarop het draait. Wanneer de integriteit van dit ICT-systeem wordt aangetast (bijvoorbeeld door malware of tijdens een cyberaanval), kan dit een negatief effect hebben op de goede werking van de host-based oplossing. Een netwerk-based oplossing heeft dit probleem niet.
Samengevat kan gesteld worden dat beide technologieën – host-based en netwerk-based – elk hun eigen voor- en nadelen hebben.