Experts: Firewall neemt rol IDS over
Vier jaar geleden maakte onderzoeksbureau Gartner zich onsterfelijk met de uitspraak dat intrusion detection systemen (IDS) zo goed als dood waren. Het idee was dat intrusion prevention systemen (IPS) de noodzaak van een IDS zouden elimineren, aangezien dreigingen preventief werden gestopt. Inmiddels zijn we vier jaar verder, en IDS zijn nog altijd levend. Sterker nog, doordat dreigingen steeds erger worden hebben IT professionals alle wapens nodig die ze kunnen vinden, zegt Bill Brenner.
"IPS leek een bedreiging voor de IDS-markt, maar IDS is beter geschikt om malware te inspecteren. IPS is gespecialiseerd in het blokkeren, daarom zijn ze beide bruikbaar, en dat is waarom IDS nog steeds bestaat", laat Chris Lievert van de Yankee Group weten. IDS is nu onderdeel van een groter "intrusion defense arsenaal", zoals vulnerability management en access control. Volgens sommige analisten zullen losse IDS producten nog zeker vijf jaar blijven bestaan, waarna ze waarschijnlijk in de firewall zullen verdwijnen.
Voor gebruikers blijft het grootste probleem met de technologie het afstellen, en het aanwezig zijn van de juiste policies en procedures, zodat beheerders weten wat ze moeten doen als er een incident is. Als beide niet goed geregeld zijn, kan dit teveel false positives opleveren of ervoor zorgen dat incidenten niet worden opgemerkt. "Voor het uitrollen moeten bedrijven bepalen wat ze ermee willen. Is het voor monitoring of preventie? Als je dat eenmaal weet, kun je de beste producten kiezen en ze op de geschikte locaties uitrollen", gaat analist Eric Maiwald verder.
Net zo hilarisch was ISA firewall server van MS; ze weten
dat er een gat in de software aanwezig is en ipv dat te
fixen, blockeren ze de poort (lees functionaliteit).
verdwijnen. De enige reden dat bedrijven IDS aanhouden is
omdat ze hun netwerk niet goed genoeg kennen om de IPS
policy te tunen of de angst om een IPS in-line te plaatsen
(halloo.. simulation mode anyone?)
Firewall die rol IDS overneemt? De firewall is allang geen
'firewall' meer. Deze 'routers' fungeren meer als VPN sluts
met een vleugje reporting en de alerting capaciteiten van
drol in een pispot. Sterker nog, het lijkt me eerder dat de
IPS de rol van de FW kan overnemen zodat het met recht een
vpn doos wordt.
IDS inspecteert alle toegelaten traffiek
Ze zijn dus complementair. Alleen weet iedereen die al eens
eens AI heeft aangezet op een Check Point of Deep Inspection
op een Juniper dat de performance hit enorm is. Dus laat ze
maar nog wat naast mekaar bestaan.
firewall blokkeert alle niet toegelaten traffiek
IDS inspecteert alle toegelaten traffiek
Ze zijn dus complementair. Alleen weet iedereen die al eens
eens AI heeft aangezet op een Check Point of Deep Inspection
op een Juniper dat de performance hit enorm is. Dus laat ze
maar nog wat naast mekaar bestaan.
heb je een ISBN nummer bij de uitleg die jij geeft....?
Goede opensource IDS van een sympathieke Zweed
opbouwen, met je eigen regel die paranoia zijn.
Door Anoniem op vrijdag 24 augustus 2007 18:56 al aangaf.
Maar ook doordat er vrij weinig goede IPS producten op de markt zijn en
anders heel duur zijn. Tuurlijk zijn er wel wat IDS producten waarbij je de
optie hebt deze inline ze plaatsen en packets te droppen. Dit maakt het
alleen nog geen goed IPS gezien detecte methodes nog steeds op pattern
matching gebaseerd is. Iets wat niet echt wenselijk is voor een IPS gezien
de mogelijke false positives. Er zijn maar weinig IPS die zich volledig
richten op behaviour detection zoals bijvoorbeeld tippingpoint doet.
Wat een kulverhaal... IDS gaat juist van het toneel verdwijnen. De enige reden dat bedrijven IDS aanhouden is omdat ze hun netwerk niet goed genoeg kennen om de IPS policy te tunen of de angst om een IPS in-line te plaatsen
(halloo.. simulation mode anyone?)
Blijft altijd nog het probleem van de false positives en false negatives. Ik ben nooit een voorstander geweest van IPS en zal dat waarschijnlijk ook nooit worden. Als een IDS al niet eens bepaalde dingen goed kan detecteren zonder false positives/negatives hoe gaat een IPS dat doen dan? Nee hoor, geen mij dan maar een passive IDS met wat false positives.. Aan een IPS met false negatives heb je niets (vals gevoel van veiligheid) en aan een IPS met false positives ook niet (blokkeert regulier verkeer).
Wat wel gewoon goed werkt is het hardenen van je webserver, een fatsoenlijke firewall ervoor, eventueel een reverse proxy. En last but not least, een source code audit van de webapplicatie. So what als een scriptkiddie een wazige tool los laat op je site.. So what als de zoveelste worm voorbij komt. Laat maar lekker gaan, ondertussen registreert m'n IDS alle bewijzen.. Mijn ervaring is dat 90% van de "aanvallen" wormen zijn, 4.9% zijn scriptkiddies en 0.1% is daadwerkelijk gericht en gevaarlijk. Probleem is alleen dat je die 0.1% maar moeilijk kan detecteren, niet met een IDS en dus al helemaal niet met een IPS.
recht een vpn doos wordt.
VPN op een firewall? Ja het kan, maar meer dan 1 of 2 zou ik niet doen, kost gewoon te veel performance op het apparaat. Een firewall moet gewoon z'n werk doen op laag 3/4 en voor alles daarboven heb je andere dozen.
ArcSight het stokje gaan overnemen .....
Blijft altijd nog het probleem van de false positives en false negatives. Ik
ben nooit een voorstander geweest van IPS en zal dat waarschijnlijk ook
nooit worden. Als een IDS al niet eens bepaalde dingen goed kan
detecteren zonder false positives/negatives hoe gaat een IPS dat doen
dan?
Detectie bij een IDS wordt meestal gedaan middels pattern matching (wat
idd zeer gevoelig is voor false positives). Bij IPS (ik heb het hier nou over
echte IPS, niet een IDS inline zetten met een mogelijkheid om packets
te droppen) wordt dit meestal gedaan middels behaviour detection wat niet
zo gevoelig is voor false positives (als er maar aan bepaalde protocollen
gehouden wordt).
dat we beveiliging al bij de voordeur doen en dat we daarom geen
bewegingsmelders meer op plaatsen binnen het gebouw nodig hebben?"
De bewegingsmelders zitten op meerdere plaatsen. Echter kunnen die
wel gekoppeld zijn aan een anti-inbraaksysteem bij de voordeur waardoor
dit centraal gemanaged wordt om maar binnen jouw vergelijking te blijven.
Oftewel, dat IDS sensors in het hele netwerk zitten, wil nog niet zeggen
dat deze niet gemanaged kunnen worden vanuit een firewall appliance
waar een IDS systeem in is geintegreerd.
Security?
intrusion detection blijft.
Firewall en IDS combineren zal volgens mij resulteren in te
veel controle slagen op een systeem.
deze twee controle mechanismes consolideren heeft dan ook
niet mijn voorkeur.
Heb liefer een apparte systeem die een dedicated IDS is.
Dit heeft ook de voordeel dat de logs veel duidelijker te
achterhalen is.
zinvolle uitspraak van ze gehoord. Ik vraag mij af welke %^#@ ze geld geeft.
Anyway, een firewall en IDS zijn zoals eerder gezegd inderdaad
complementair. Vele security producten zijn die twee trouwens als in 1
pakket aan het samenvoegen zodat je altijd beide koopt. Zelfs dan blijven
het 2 producten die onafhankelijk van elkaar aan- en uit te zetten zijn, maar
ze zijn wel alle twee aanwezig. Handig!
augustus 2007 13:11
quote:Er zijn maar weinig IPS die zich volledig
richten op behaviour detection zoals bijvoorbeeld
tippingpoint doet.
Vlak ISS niet uit, de enige aanbieder die 5Gbs full packet
inspection kan doen. Daar kan TP nog een kunstje van leren.
SirDice op zaterdag 25 augustus 2007 13:17
Je vergeet voor het gemak even dat attackers tegenwoordig de
server links laten liggen en vol gas voor de clients gaan.
IPS plus Host protection is de oplossing. Een firewall is
nice-to-have maar meer voor 'the dirty job' zeg maar.
quote:VPN op een firewall? Ja het kan, maar meer dan 1 of 2
zou ik niet doen, kost gewoon te veel performance op het
apparaat. Een firewall moet gewoon z'n werk doen op laag 3/4
en voor alles daarboven heb je andere dozen.
Dat is precies mijn punt. Laat een firewall even deep-packet
inspection doen dan komen ze snel van die stelling terug ;-)
Wil je beide dan kun je altijd nog de Proventia MX checken.
FW, IPS, AV, SPAM, URL scanning,VPS (sandbox) en VPN
functionaliteit allemaal in 1 ;-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?