HAARLEM – Wie plannen heeft om zijn netwerk tegen inbraak te beschermen zou te rade kunnen gaan bij de NSS-groep, die deze beveiligingssoftware nader bestudeerd heeft.
De NSS-groep, een Europese adviesbureau gespecialiseerd in netwerkbeveiliging, heeft onderzoek gedaan naar verschillende IDS-softwareproducten (intrusion detection software). De producten zijn verdeeld in drie categorieën. Zo zijn er VA’s, de Vulnerability Assesment Scanners. Netwerk administrators of beveiligings managers kunnen hiermee een policy definiëren waarna er diverse bewegingen gecontroleerd kunnen worden. Of men kan gebruik maken van pro-actieve scanners, zogenaamde `hacker in a box’ producten. Deze scannen het netwerk op gekende aanvallen, bijvoorbeeld Denial of Service attacks.
Alle vijf producten die in deze categorie zijn getest zijn makkelijk in gebruik. Opmerkelijk zijn de grote verschillen in prestaties. Zo zijn er producten die meer als duizend mogelijke zwakkere punten binnen een besturingssysteem vinden en producten die er maar tientallen vinden. Geteste producten zijn Axent ESM, Axent Netrecon, BindView Hackershield, NAI Cybercop scanner en NV e-Secure.
Er zijn drie Host-Based Intrution Detection software producten getest. Host-Based IDS maken het mogelijk om bepaalde machines in het netwerk in de gaten te houden. De gebruiksvriendelijkheid van deze producten is al wat minder sterk maar de verslaggeving is bij alle drie goed. Beste uit de bus kwam Tripwire. De twee andere producten waren Axent Intruder Alert en Cybersafe Centrax.
Als laatste heeft NSS de Netwerk/Netwerk Node IDS getest. De producten monitoren de pakketjes op het netwerk. Bij deze categorie producten was de prestatie het opvallendste resultaat die bij bijna alle producten slecht te noemen was. Ook de alerts kunnen verwarring veroorzaken omdat zij soms vreemde zaken aangeven. Hierdoor wordt het onmogelijk om een directe aanval te achterhalen. De producten in deze categorie waren: Signature recognition, Axent Netprowler, Cisco Secure IDS 4210, Cisco Secure IDS 4230, CA eTrust IDS en Cybersafe Centrax.
Deze IDS beveiligingsproducten heeft de volwassen leeftijd nog niet bereikt. Een oorzaak hiervoor is te vinden in de beperkte bandbreedte. Een andere reden is de komst van nieuwe aanvallen die door de software dan niet herkend kan worden. Hiervoor zullen, net als bij de virusscanners, updates moeten komen.
De beste oplossing is een hybride vorm van Host-Based IDS en netwerk based IDS.
Het volledige rapport zal beschikbaar komen op http://www.nss.co.uk.
Tania Veldkamp
