Vad är IDS och IPS?

3 maj, 2024

Uppdaterad: 15 maj, 2024

Uppskattad lästid: 4 min

Introduktion

IDS/IPS, hittar och förhindrar attacker

Om du sitter och jobbar med företagets nätverk och dess säkerhet kommer du förr eller senare komma i kontakt med förkortningarna IPS och IDS. I denna artikel ska vi försöka ge en klar bild över hur de båda verktygen skulle kunna hjälpa er utveckla ert skydd mot hot utifrån och inifrån.

En trafikerad bro. På bilden syns vita bilar och en röd bil.

Ett extra öga på trafiken

IDS står för Intrusion Detection System och är ett övervakningssystem som varnar för misstänkta aktiviteter i ditt företags nätverk. Systemet använder sig av trafik och systemloggar och analyserar dessa för att hitta mönster och signaturer som kan indikera en pågående eller potentiell attack.
IPS står för Intrusion Prevention System. Man skulle kunna säga att IPS är en förlängning av IDS. Till skillnad från IDS så agerar nämligen IPS på potentiella hot i trafiken och loggarna. En IPS har normalt sett behörighet att låsa ut specifika IP adresser, ändra brandväggsregler eller rent av stänga av tjänster när den misstänker skadlig trafik.
”En IDS som ges behörighet till att automatiskt utföra åtgärder blir en form av IPS.”

IDS, Intrusion Detection System

En IDS fungerar som en skällande vakthund för ditt nätverk. Den vet vilka som är välkomna och känner också igen mönster i trafiken. Den kontrollerar nätverkstrafik, systemloggar och signaturer. När något går utanför det normala signalerar den och avrapporterar. Den skäller och larmar husse eller matte. Vanligaste programvarorna är Snort, Suricata, Bro IDS eller OSSEC men det finns fler på marknaden.

IPS Intrusion Prevention System

En IPS skulle i stället, om vi använder oss av analogi, vara säkerhetsvakten som håller i ett protokoll över hur vanlig trafik ser ut. Vakten vet vilka som är välkomna och kan vid misstanke föra ut oönskade gäster och låsa dörrar i nätverket. Vanliga mjukvaror för IPS är Snort med pluginet Snort_inline eller SnortSam, Suricata, Cisco Firepower, TippingPoint Intrusion Prevention System, Fortinet Fortigate med flera.

Att ta fram en välfungerade IPS kräver mycket jobb och man måste ta med i beräkningen att en false positive (falsk varning) kan orsaka störningar i den dagliga driften. Många väljer lösningen att ha ett responsteam som övervakar IDS varningar i stället för att förlita sig på att en IPS alltid tar rätt beslut.

Olika förkortningar inom samma teknik.

NIPS( Network-based Intrusion Prevention System)
HIPS(Host-based Intrusion Prevention System)
WIPS(Wireless Intrusion Prevention System)
NIDS( Network Intrusion Detection System)
HIDS (Host-based Intrusion Detection System)
NBA (Network Behavior Analysis)

IDS/IPS

En IDS/IPS kan vara både hård- och mjukvarubaserad. De hårdvarubaserade IDS/IPS-enheterna kan då fysiskt placeras ut i nätverket där de är dedikerade till att upptäcka skadlig aktivitet eller avvikande mönster. Oftast väljer man en hårdvarubaserad IDS-lösning i miljöer där övervakningen måste vara oberoende systemet i övrigt.

Men den absolut vanligaste och enklaste vägen (som de flesta av företagen tar) är att gå på en mjukvarubaserad lösning som i princip alltid är mer flexibel och kostnadseffektiv. Nackdelen är att den tar kapacitet från samma system.

Vad söker IDS/IPS efter?

Systemet kan modifieras utifrån ens egna förutsättningar och behov men arbetar oftast utifrån tre faktorer. Signatur, beteende och policy.

Signaturbaserad detektion

Signaturbaserad detektion jobbar på samma sätt som ett antivirus. Det använder en databas för med hot och försöker hitta samma hot i nätverket. En IDS sätts upp mot en databas där leverantören av din IDS lägger in kända hotsignaturer så din IDS håller sig uppdaterad om kända signaturer genom leverantören. Man kan även lägga in egna misstänkta signaturer om man har kännedom om hot som inte finns hos leverantören. Här finns stora fördelar att hämta för ditt företag genom att vara uppdaterad mot kända hot och attacker med exakta signaturmönster. Dock ska man tänka på att helt nya, icke kända hot kommer gå under radarn eftersom det inte finns någon fördefinierad signatur.

Beteendebaserad detektion

Enkelt förklarat: På ert företag skickas mest textdokument med få bilder. Ert normala trafikbeteende är på några kilobyte som normalt. Om nätet plötsligt skulle börja trafikeras av större paket skulle er IDS med beteendebaserad detektion varna för att systemet används på ett onormalt sätt. Denna detektionsmetod lär sig alltså sitt nätverks ”normala” beteende och larmar vid avvikelser.

Exempel: Ett aktuellt scenario just nu är de olika ransomware-attacker vi kan läsa om i dagspressen där företags data krypteras och därefter utsätts för utpressning. Vid en sådan attack är det vanligt att angriparen först vill ta hem er data innan denna krypterar den. Det skulle då bli väldigt hög trafik ut från ert nätverk och en väl uppsatt IDS skulle larma om detta.

Policybaserad detektion

Du kan låta er IDS övervaka systemen så trafiken överensstämmer med de policys ni satt upp på företaget.

Om okända enheter hittas av IDS på nätverket kommer systemet att varna, IPS kommer däremot att agera och stänga av anslutningen till enheten.

Exempel: I er policy har din organisation en regel att begränsa användningen av externa lagringsenheter. I detta fall ställer man in att bara de enheter som är listade hos administratören (av godkända enheter) får kommunicera på nätet. Om okända enheter hittas av IDS på nätverket kommer systemet att varna, IPS kommer däremot att agera och stänga av anslutningen till enheten.

Exempel: Ni bestämt att all kommunikation över internet ska ske med kryptering. Skulle då någon i personalen göra förfrågningar på icke-krypterade sidor alternativt använda sig av någon applikation som inte använder sig av krypterad kommunikation skulle IDS varna. IDS hade stängt anslutningen.

Två personer håller upp filter under varandra och filtrerar en vätska

Sammanfattning

Sammanfattningsvis är IDS (Intrusion Detection System) och IPS (Intrusion Prevention System) två viktiga verktyg för nätverkssäkerhet. IDS fungerar som en övervakare som upptäcker och varnar för misstänkta aktiviteter i nätverket, medan IPS går ett steg längre och kan agera för att blockera eller avvisa hoten den identifierar. Genom att kombinera dessa system kan organisationer förbättra sin förmåga att upptäcka och hantera cyberhot. Genom att förstå deras funktioner och implementera dem på lämpligt sätt kan företag stärka sin nätverkssäkerhet och skydda sig mot olika former av cyberattacker.

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.

Vad är IDS och IPS?

IDS/IPS, hittar och förhindrar attacker

Ett extra öga på trafiken

IDS/IPS

Sammanfattning

Skrivet av: Viktor Petersson