Een Intrusion Detection System (IDS) is een netwerkbeveiligingstechnologie die oorspronkelijk is ontwikkeld voor het detecteren van misbruik van kwetsbaarheden tegen een doeltoepassing of computer. Intrusiepreventiesystemen (IPS) hebben IDS-oplossingen uitgebreid door de mogelijkheid toe te voegen om bedreigingen te blokkeren in aanvulling op ze te detecteren, en zijn de dominante inzetoptie geworden voor IDS/IPS-technologieën. Dit artikel gaat dieper in op de configuratie en functies die de inzet van IDS bepalen.
Een IDS hoeft alleen bedreigingen te detecteren en wordt als zodanig out-of-band op de netwerkinfrastructuur geplaatst, wat betekent dat het zich niet in het echte realtime-communicatiepad bevindt tussen de zender en de ontvanger van informatie. IDS-oplossingen maken vaak gebruik van een TAP- of SPAN-poort om een kopie van de in-line verkeersstroom te analyseren (zodat IDS geen invloed heeft op de in-line netwerkprestaties).
IDS is oorspronkelijk op deze manier ontwikkeld omdat de diepte van de analyse die nodig is voor inbraakdetectie destijds niet kon worden uitgevoerd met een snelheid die gelijke tred kon houden met componenten op het directe communicatiepad van de netwerkinfrastructuur.
Zoals uitgelegd, is het IDS ook een apparaat dat alleen luistert. De IDS controleert het verkeer en rapporteert de resultaten aan een beheerder, maar kan niet automatisch actie ondernemen om te voorkomen dat een gedetecteerde exploit het systeem overneemt. Aanvallers zijn in staat om kwetsbaarheden zeer snel uit te buiten zodra ze het netwerk binnenkomen, waardoor de IDS een inadequaat inzetbaar preventieapparaat wordt.
De volgende tabel geeft een overzicht van de verschillen in technologie die inherent is aan IPS en de IDS-inzet:
| Intrusion Prevention System | IDS Deployment | |
|---|---|---|
| Placement in Network Infrastructure | Part of the direct line of communication (inline) | Outside direct line of communication (out-of-band) |
| Systeemtype | Actief (monitor & automatisch verdedigen) en/of passief | Passief (monitor & melden) |
| Opsporingsmechanismen | 1. Statistische anomalie-gebaseerde detectie 2. Handtekening-detectie: – Exploit-gerichte handtekeningen – Kwetsbaarheid-gerichte handtekeningen |
1. Opsporing van handtekeningen: – Handtekeningen gericht op exploit |