Document toolboxDocument toolbox

3.3.3.5. Inbraakpreventie als maatregel

Inbraakpreventie is een preventieve maatregel

3.3.3.5.1. Firewall

Een firewall controleert internetverkeer en laat het door of blokkeert het, op basis van een aantal parameters. Op deze manier werkt een firewall op een preventieve manier door aanvallen te blokkeren vooraleer ze op het netwerk komen. De firewall-configuratie omvat een aantal filters. Filteren op poort betekent dat datastromen worden geblokkeerd of toegestaan op verschillende poorten. Door te filteren op bekende poorten gelinkt aan bepaalde protocollen zoal FTP, http, enz wordt het gebruik van die protocollen toegestaan of verboden. Filteren op IP-adres kan ook, net als filteren op domeinnaam (webadres) waardoor de toegang tot specifieke websites geblokkeerd kan worden. 

De kerntaak van een firewall is het regelen en opvolgen van datastromen tussen netwerksegmenten, bv. tussen internet en een DMZ of tussen een DMZ en het interne netwerk. Dit houdt in: 

  • Toestaan of verbieden van connectie verzoeken; 

  • Bewaken van het protocol na het opbouwen van een (toegestane) verbinding; en 

  • Logging van de gebeurtenissen met betrekking tot de firewall en de datastromen. 

Net zoals bij IDS is een netwerk firewall niet in staat om virtuele systemen te beveiligen en moet men hier beroep doen op virtuele firewall systemen. 

3.3.3.5.2. Proxyserver

Een proxyserver is een server die als ‘tussenpersoon’ optreedt en aanvragen aanneemt en doorstuurt naar de doelcomputer. Een proxyserver komt in twee vormen: forward proxy en reverse proxy. Het verschil tussen beide wordt bepaald door het standpunt van implementatie. De forward proxy behandelt vragen uit het eigen organisatie netwerk, de reverse proxy uit het publieke netwerk. 

Een forward proxy kanaliseert alle aanvragen van gebruikers en stuurt die met een eigen afzendadres door naar de ‘doelservers’ op het publieke netwerk (meestal het internet). Antwoorden van de servers bereiken eerst de proxy voor ze worden gedirigeerd naar de diverse gebruikersapparatuur. Door als tussenpersoon op te treden kan de proxyserver niet alleen garanderen dat gebruikers anoniem blijven maar ook dat er bijkomende controles (bv. op malware) op de ontvangen informatie wordt uitgevoerd alvorens deze doorgestuurd wordt naar de gebruiker. Een forward proxy wordt vaak ook gewoon proxyserver genoemd. 

 

Een reverse proxy is een extra veiligheidsmaatregel die voor een of meerdere webservers ingeschakeld kan worden. Een webadres wordt in de omgekeerde richting van een forward proxy omgezet. Een reverse proxy neemt plaatsvervangend de aanvragen van servers aan en leidt ze naar de bijbehorende aanvrager. De reverse proxy vormt daarbij, net als een forward proxy, de enige verbinding tussen internet en het privénetwerk. Door deze consolidatie is het mogelijk om het inkomende dataverkeer extra te controleren, meerdere servers onder dezelfde URL (Uniform Resource Locator) beschikbaar te stellen, aanvragen gelijkmatig te verdelen over de verschillende servers en het ophalen van gegevens te versnellen met behulp van caching.  

3.3.3.5.3. Intrusion prevention systemen (IPS)  

Een intrusion prevention systeem (IPS) heeft als doel om kwaadaardige datastromen te blokkeren terwijl een intrusion detection systeem (IDS) deze datastromen alleen wil detecteren (inzichtelijk maken) om hier vervolgens over te rapporteren. Een IDS en een IPS maken wel gebruik van dezelfde technieken, waardoor een IPS in feite een IDS is met extra’s, namelijk de mogelijkheid tot het blokkeren van de gedetecteerde aanvallen. Hoewel in het verleden het verschil tussen een IDS en IPS nog expliciet bestond, is dit verschil tegenwoordig veel minder aanwezig. Standaard is vaak sprake van een IPS, maar door dit IPS anders te configureren, en op een andere manier aan het netwerk te koppelen, functioneert het systeem als een IDS. 

Een IPS levert naast detectie ook bescherming tegen potentiële aanvallen aangezien een IPS aanvallen daadwerkelijk kan blokkeren, terwijl een IDS deze alleen kan detecteren en dus geen automatische acties onderneemt om de impact van de aanval te beperken. Zolang het IPS aanvallen terecht blokkeert, vormt het systeem een waardevolle toevoeging op de beveiliging van het netwerk. Wanneer het IPS echter te veel vals-positieven genereert, zorgt dit ervoor dat verbindingen, processen of bestanden onterecht geblokkeerd worden. 

Om datastromen te kunnen blokkeren wordt een netwerk-IPS inline in het netwerk geplaatst. Bij inline-plaatsing moeten alle datastromen door het IPS heen stromen en enkel zo kan het IPS ingrijpen zodra het verdacht verkeer waarneemt. 

Een traditioneel netwerk-based IPS volstaat niet in virtuele omgevingen: hier heeft men een virtuele IPS nodig.