Intrusion Prevention

Een IPS (Intrusion Prevention System) is een apparaat dat ‘inline’ in het netwerk staat. Zo kan de IPS meeluisteren met de datastroom, en controleren of de standaarden gevolgd worden, en of de waarden die gebruikt worden reeel zijn. Bovendien kan een IPS ingrijpen. Als iemand een e-mailadres van 10000 tekens gebruikt, is dit waarschijnlijk niet de bedoeling. De IPS genereert intern een ‘event’. De reactie van de IPS is dat deze de verbinding verbreekt. En het mooie is: dat e-mailadres van 10000 tekens is nooit op de mailserver aangekomen, zodat de aanval is mislukt.

Dit is slechts een voorbeeld van een type aanval dat een IPS blokkeert. Er zijn talloze technieken die de IPS gebruikt om na te gaan of verkeer ‘legitiem’ is. Een paar voorbeelden van controles die uitgevoerd worden:

  • gegevens stromen in pakketjes met een nummer dat de volgorde aangeeft. Wanneer er zonder reden twee keer een pakket binnenkomt met hetzelfde nummer, kan dat duiden op een aanval die probeert ‘ertussen’ te komen, met allerlei mogelijke ellende ten gevolg. Dit kan een IPS blokkeren.
  • een zogeheten DoS (Denial of Service) aanval kenmerkt zicht doordat zich in korte tijd abnormaal veel verbindingen opgezet worden met de server. Doel: de server overbelasten, zodat hinder wordt veroorzaakt. De IPS herkent dit, en blokkeert de aanval voordat de DoS-aanval de server bereikt.
  • Alles bij elkaar maakt dat het plaatsen van een IPS voor een systeem dat we willen beschermen, het effect heeft dat exploits niet bij het beschermde systeem aan kunnen komen. En dat terwijl de fouten in software niet gepatcht (hoeven te) zijn. Dit is wat we willen. We noemen dit effect ook wel ‘virtual patch’. We hebben tenslotte virtueel (op netwerkniveau) de bugs gepatcht.

Kennis is essentieel

Dit systeem valt of staat natuurlijk bij de kennis die het apparaat heeft over exploits en protocollen die het apparaat tegen kan komen wanneer het in het netwerk staat. Bovendien verandert dit van dag tot dag: er komt nieuwe software uit, er worden nieuwe exploits bekend en er worden nieuwe (versies van) protocollen gebruikt. Ook aanvalstechnieken veranderen.

Er is dus doorlopend onderzoek nodig naar exploits, bugs in software, protocollen die gebruikt worden, enzovoort. Deze kennis dient dan in de vorm van updates naar de IPS-apparatuur gedistribueerd te worden.

Op dit gebied is IBM/ISS oppermachtig. Het IBM/ISS onderzoeksinstituut, X-Force, is continu bezig met onderzoek, en is de afgelopen 7 jaar verantwoordelijk voor het vinden en oplossen van 51% van de high-risk en high-impact kwetsbaarheden in software. Deze kennis zit in elk IBM/ISS product.