Document toolboxDocument toolbox

3.3.3.4. Intrusion detection als maatregel

Intrusion detection is een detectiemaatregelIntrusion detection (IDS) heeft als doel om op te merken wanneer een potentieel malafide activiteit plaatsvindt binnen het netwerk van een organisatie. Het is vervolgens aan de systeembeheerder om te onderzoeken wat er daadwerkelijk aan de hand is en om gepaste actie te ondernemen. Reageert een beheerder niet op een dergelijke alert, dan zal de aanval ook niet gestopt kunnen worden. Een IDS gaat dus nooit actief een aanval blokkeren. 

Er bestaan verschillende oplossingen voor IDS. Welke oplossing geschikt is binnen een netwerk hangt af van de locatie binnen het netwerk en het doel van de IDS.  

Een IDS op netwerkniveau (network-based IDS of netwerk-IDS) heeft geen kennis van de acties die op afzonderlijke systemen plaatsvinden maar ziet wel de datastromen die systemen met elkaar uitwisselen. Op basis van de inhoud van deze datastromen kan een IDS bepalen of er mogelijk sprake is van malafide communicatie.  

Met de opkomst van draadloze netwerken is ook hiervoor een type IDS ontstaan dat zich richt op draadloze communicatie. Dit type IDS, een wireless-IDS, richt zich niet zozeer op de inhoud van de communicatie maar veel meer op de draadloze communicatie zelf. Zo is een wireless-IDS bijvoorbeeld in staat om WEP cracking (paswoordaanval), draadloze (D)DoS-aanvallen en het gebruik van zwakke versleuteling vast te stellen. In een omgeving waarin, naast bekabelde communicatie, ook draadloze netwerkcommunicatie plaatsvindt, vormen deze twee oplossingen een aanvulling op elkaar. 

Een ander bijzonder type IDS dat met de toenemende populariteit van virtualisatie ontstaat, is de gevirtualiseerde IDS. Dit type IDS heeft als doel om detectie uit te voeren op de communicatie tussen virtuele systemen onderling. Een netwerk-based IDS werkt hier niet omdat de communicatie tussen virtuele systemen niet via het klassieke netwerk verloopt. 

Een belangrijk voordeel van detectie op netwerkniveau ten opzichte van detectie op systeemniveau is de kosteneffectiviteit. Door detectie op netwerkniveau in te richten, is het mogelijk om in één keer detectie uit te voeren voor alle systemen die op dit netwerk zijn aangesloten. Om eenzelfde resultaat te bereiken met een systeem-gebaseerde oplossing, moet elk van de afzonderlijke systemen worden voorzien van een IDS. Op het gebied van versleuteling heeft een systeem-IDS duidelijk voordelen omdat het systeem het begin- en eindpunt is van een versleutelde verbinding. Een systeem-IDS kan dus datastromen inzien voordat het wordt versleuteld of nadat het is ontcijferd. Een netwerk-IDS heeft hier problemen mee. 

Een netwerk-gebaseerd IDS plaatst men over het algemeen niet inline maar out-of-band. Bij out-of-band plaatsing neemt het IDS geen actieve rol in het netwerk in, maar verkrijgt het een kopie van de datastromen. Bij inline-plaatsing staat de IDS in het netwerk pad en verwerkt de actieve data. Een voordeel van een inline geplaatst netwerk-gebaseerd IPS is dat het nooit datastromen zal missen. Immers, alle datastromen moeten hierbij door het systeem heen gaan. Bij out-of-band-plaatsing bestaat altijd de kans dat trafiek wordt gemist. Dit gebeurt bijvoorbeeld op het moment dat de belasting op een switch of router te hoog wordt en de switch/router daardoor niet alle trafiek meer kopieert naar de IDS.