Un sistema di prevenzione delle intrusioni (IPS) è uno strumento di sicurezza della rete e di prevenzione delle minacce. L’idea alla base della prevenzione delle intrusioni è quella di creare un approccio preventivo alla sicurezza della rete in modo da identificare e rispondere rapidamente alle potenziali minacce. I sistemi di prevenzione delle intrusioni vengono quindi utilizzati per esaminare i flussi di traffico di rete al fine di trovare software dannoso e prevenire exploit di vulnerabilità.,
Un IPS viene utilizzato per identificare attività dannose, registrare le minacce rilevate, segnalare le minacce rilevate e intraprendere azioni preventive per impedire a una minaccia di fare danni. Uno strumento IPS può essere utilizzato per monitorare continuamente una rete in tempo reale.
Intrusion prevention è un metodo di rilevamento delle minacce che può essere utilizzato in un ambiente di sicurezza dagli amministratori di sistema e di sicurezza. Questi strumenti sono utili per i sistemi come azione di prevenzione per gli eventi osservati., Inoltre, con molti potenziali modi in cui possono verificarsi attività sospette, è importante disporre di un piano per rilevare potenziali attacchi.
Un sistema di prevenzione delle intrusioni è fatto per espandere le capacità di base presenti nei sistemi di rilevamento delle intrusioni (IDSes).
Come funzionano i sistemi di prevenzione delle intrusioni?
Un sistema di prevenzione delle intrusioni funzionerà scansionando tutto il traffico di rete. Per fare ciò, uno strumento IPS in genere si trova proprio dietro un firewall, fungendo da livello aggiuntivo che osserverà gli eventi per i contenuti dannosi., In questo modo, gli strumenti IPS sono collocati in percorsi di comunicazione diretta tra un sistema e una rete, consentendo allo strumento di analizzare il traffico di rete.,llowing sono tre approcci comuni per un IPS strumento per proteggere le reti:
- firma di rilevamento in cui l’IPS strumento utilizza precedentemente definite le firme di attacco di conoscere le minacce in rete per rilevare minacce e di agire;
- anomaly-based di rilevamento in cui l’IPS ricerca inaspettato comportamento della rete e blocca l’accesso all’host se è riscontrata un’anomalia; e
- basata su criteri di rilevazione in cui l’IPS primo richiede agli amministratori di effettuare politiche di sicurezza — quando si verifica un evento che rompe un definito la politica di sicurezza, viene inviato un avviso per gli amministratori di sistema.,
Se vengono rilevate minacce, uno strumento IPS è in genere in grado di inviare avvisi all’amministratore, eliminare eventuali pacchetti di rete dannosi e ripristinare le connessioni riconfigurando i firewall, riconfezionando i payload e rimuovendo gli allegati infetti dai server.
Gli strumenti IPS possono aiutare a respingere attacchi DOS (denial-of-Service), attacchi DDoS (Distributed Denial-of-Service), worm, virus o exploit, come un exploit zero-day., Secondo Michael Reed, precedentemente di Top Layer Networks (acquisita da Corero), un efficace sistema di prevenzione delle intrusioni dovrebbe eseguire monitoraggio e analisi più complesse, come guardare e rispondere ai modelli di traffico, così come i singoli pacchetti. “I meccanismi di rilevamento possono includere la corrispondenza degli indirizzi, la corrispondenza delle stringhe e delle sottostringhe HTTP, la corrispondenza generica dei pattern, l’analisi della connessione TCP, il rilevamento delle anomalie dei pacchetti, il rilevamento delle anomalie del traffico e la corrispondenza delle porte TCP/UDP.”
Tipi di sistemi di prevenzione delle intrusioni
Tre tipi di sistemi di prevenzione delle intrusioni appaiono comunemente., Questi tipi sono i seguenti:
- analisi del comportamento in rete (NBA), che analizza il comportamento della rete per l’anomalo flusso di traffico — comunemente utilizzati per la rilevazione di attacchi DDoS;
- network-based intrusion prevention system (PIN), che analizza una rete alla ricerca di sospetti di traffico, di solito circostante protocolli;
- host-based intrusion prevention system (HIPS), che sono installati in un singolo host e utilizzato per analizzare le attività sospette in uno specifico host.
Inoltre, esistono altri tipi di strumenti IPS, inclusi quelli che analizzano le reti wireless., In linea di massima, tuttavia, si può dire che un sistema di prevenzione delle intrusioni includa qualsiasi prodotto o pratica utilizzata per impedire agli aggressori di accedere alla rete, come firewall e software antivirus.,
i Vantaggi dei sistemi di prevenzione delle intrusioni
i Vantaggi dei sistemi di prevenzione delle intrusioni sono i seguenti:
- abbassando la probabilità di incidenti di sicurezza;
- fornire dinamico minaccia di protezione;
- automaticamente notifica amministratori in caso di attività sospette è trovato;
- mitigare attacchi come le minacce zero-day, gli attacchi DoS Gli attacchi DDoS e brute-force attack tenta;
- ridurre la manutenzione delle reti per il personale; e
- consentendo o negando specifico il traffico in ingresso alla rete.,
Svantaggi dei sistemi di prevenzione delle intrusioni
Gli svantaggi dei sistemi di prevenzione delle intrusioni includono quanto segue:
- Quando un sistema blocca attività anomale su una rete supponendo che sia dannoso, potrebbe essere un falso positivo e portare a un DoS per un utente legittimo.
- Se un’organizzazione non ha abbastanza larghezza di banda e capacità di rete, uno strumento IPS potrebbe rallentare un sistema.
- Se ci sono più IPSes su una rete, i dati dovranno passare attraverso ciascuno per raggiungere l’utente finale, causando una perdita di prestazioni della rete.
- IP può anche essere costoso.,
IPS vs. IDS
IDS sono strumenti software realizzati per rilevare e monitorare il traffico di rete. Sia gli strumenti IPS che IDS leggeranno i pacchetti di rete e confronteranno il loro contenuto con le minacce note. Tuttavia, IDS differisce in quali azioni vengono intraprese successivamente. Uno strumento IDS non intraprenderà alcuna azione da solo. Un IDS richiede a un essere umano di analizzare i risultati e prendere decisioni su cosa fare dopo. Questo è il motivo per cui IPS è visto come un’estensione di IDS.
Un IDS è progettato per monitorare una rete e per inviare avvisi agli amministratori se viene rilevata una minaccia., Tuttavia, un IPS è progettato per controllare l’accesso alla rete e per proteggere una rete da danni.
Come un IDS, un IPS monitorerà il traffico di rete. Tuttavia, poiché un exploit può essere effettuato rapidamente dopo che l’attaccante ottiene l’accesso, i sistemi di prevenzione delle intrusioni hanno anche la capacità di agire immediatamente, sulla base di un insieme di regole stabilite dall’amministratore di rete. Ad esempio, un IPS potrebbe rilasciare un pacchetto che determina essere dannoso e bloccare tutto il traffico ulteriore da tale indirizzo Internet Protocol (IP) o porta., Il traffico legittimo, nel frattempo, dovrebbe essere inoltrato al destinatario senza interruzioni o ritardi apparenti del servizio.