Hvad skal jeg med IDP?

I og med at trusselsbilledet i dag har ændret sig fra førhen, er der nu også nye krav til de forholdsregler, man bør tage - med andre ord en opdatering af sikkerhedspolitikken. Tidligere kunne man ”nøjes” med firewall og antivirus, men i dag er billedet blevet noget mere komplekst især grundet de nye mobilitets krav. Det betyder, at hvor truslen tidligere primært kom via mail eller Internettet, så er der i dag en stigende tendens til, at de kommer indefra - ikke nødvendigvis tilsigtet – men det kræver derfor en særlig indsats.

Denne indsats kommer vha. Intrusion Detection og Prevention (IDP). Flere kender måske Intrusion Detection (IDS), som er en teknik, hvorved man scanner al netværkstrafik på applikationslaget (lag 7) og rapporterer, såfremt der opdages ondsindet kode på netværket. Dette udløste en enorm stor log, plus denne skulle tolkes. I dag er vi kommet skridtet videre med Prevention, som betyder, at vi kan gå ind proaktivt og tage fat i ondsindet kode dvs. eksempelvis droppe den eller båndbreddebegrænse den.

IDP skal sættes ind overfor DDoS, trojaner, malware, (noget) spyware o.lign. Typisk allokeres enheden til at beskytte datacentret, det vil sige de centrale servere, idet en desk top kan reetableres forholdsvis hurtigt og smertefrit, hvorimod nedbrud af serverne kan få alvorlige konsekvenser. Derfor stilles der også store krav til IDP i kraft af så at sige ingen eller switch lignende latency. Ydermere kræves det, at der kan fanges lag 7 med bl.a. statiske filtre, trafikunormaliteter (både protokol afvigelser og trafikmængde udsving), netværks ”honey-pot”, genkendelse og analyse helt ned i pakkeindholdet. Eksempelvis P2P, Instant Messaging (eksempelvis tillad chat men ikke fil download), Skype telefoni, filtre til beskyttelse af VoIP osv.

Yderligere er det meget væsentligt, at der kan rapporteres tilbage fra IDP’en, så man som administrator kan optimere og analysere. Til forskel fra IDS, så griber IDP ind overfor trusler, og man kan derfor afværge et ”indbrud” eller angreb og efterfølgende analysere på, hvad der skete. Det betyder også, at man vil kunne finde ud af, hvilken IP-adresse på LAN’et det er, der er inficeret.

HUSK: IDP erstatter ikke FW eller AV, derimod lægger det en voldgrav og fæstning omkring dine kunders centrale servere, således at på trods af PDA’er, USB sticks, CD, DVD, smartphones, labtops, osv. kan man rent faktisk sikre sig. Det er også oplagt som driftstabilisator i kritiske miljøer som eksempelvis hostingcentre.