Sistema di prevenzione delle intrusioni
In informatica un sistema di prevenzione delle intrusioni o intrusion prevention system (IPS) sono dei componenti software attivi sviluppati per incrementare la sicurezza informatica di un sistema informatico, individuando, registrando le informazioni relative e tentando di segnalare e bloccare le attività dannose.[1] Rappresentano un'estensione dei sistemi di rilevamento delle intrusioni (intrusion detection system, IDS) perché entrambi controllano il traffico e le attività di sistema per identificare l'esecuzione di codice non previsto, ma a differenza di quest'ultimi, gli IPS sono posizionati inline e sono abilitati a prevenire e bloccare le intrusioni identificate.[2][3] Più specificamente, IPS può eseguire alcune azioni come mandare un allarme, eliminare pacchetti malevoli, resettare le connessioni e/o bloccare il traffico da un indirizzo IP attaccante.[4] IPS può anche correggere gli errori CRC (cyclic redundancy check), deframmentare pacchetti, evitare problemi di sequenza TCP e ripulire i livelli di trasporto e rete da opzioni indesiderate.[5]
Storia
[modifica | modifica wikitesto]L'Intrusion prevention system venne inventato da One Secure, in seguito acquistato da NetScreen Technologies che venne a sua volta acquisita da Juniper Networks nel 2004.
Descrizione
[modifica | modifica wikitesto]I sistemi di prevenzione delle intrusioni sono basati su una lista di controllo degli accessi simile a quella utilizzata da un firewall, con la differenza che quest'ultimo lavora a livello di trasporto e di rete su porte e indirizzi IP mentre questa tecnologia lavora a livello applicativo su programmi/servizi e utenti.
L'intrusion prevention system evita dunque l'attivazione di programmi potenzialmente malevoli.
Classificazione
[modifica | modifica wikitesto]Possono essere classificati in 4 tipologie:[6]
- Network-based intrusion prevention system (NIPS): controlla l'intera rete per il traffico sospetto, analizzando l'attività del protocollo.
- Wireless intrusion prevention systems (WIPS): monitora una rete wireless analizzando i protocolli di rete.
- Network behavior analysis (NBA): esamina il traffico di rete per identificare le minacce che generano flussi di traffico inusuali, alcune forme di malware e violazioni delle politiche.
- Host-based intrusion prevention system (HIPS): viene installato un pacchetto software che controlla un singolo host per attività sospette, analizzando gli eventi che si verificano all'interno di quella ospite.
Metodi di rilevazione
[modifica | modifica wikitesto]La maggior parte dei sistemi IPS utilizza uno dei tre metodi di rilevamento[3][7]:
- Signature-Based Detection: controlla i pacchetti nella rete e si confronta con schemi di attacco pre-configurati e pre-determinati conosciuti come firme.
- Statistical anomaly-based detection: determina la normale attività di rete, come che tipo di larghezza di banda viene generalmente utilizzata, quali protocolli vengono utilizzati, quali porte e periferiche son collegate, avvisando l'amministratore o l'utente quando viene rilevata una anomalia.
- Stateful Protocol Analysis Detection: questo metodo identifica le deviazioni degli stati di protocollo confrontando eventi osservati con "profili predeterminati di attività normali.”[3]
Note
[modifica | modifica wikitesto]- ^ NIST – Guide to Intrusion Detection and Prevention Systems (IDPS) (PDF), su csrc.nist.gov, febbraio 2007. URL consultato il 25 giugno 2010.
- ^ (EN) Robert Newman, Computer Security: Protecting Digital Resources, Jones & Bartlett Learning, 23 giugno 2009, ISBN 978-0-7637-5994-0. URL consultato il 22 giugno 2016.
- ^ a b c (EN) Michael E. Whitman e Herbert J. Mattord, Principles of Information Security, Cengage Learning EMEA, 1º gennaio 2009, ISBN 1-4239-0177-0. URL consultato il 22 giugno 2016.
- ^ (EN) Tim Boyles, CCNA Security Study Guide: Exam 640-553, John Wiley & Sons, 29 giugno 2010, ISBN 978-0-470-63633-6. URL consultato il 22 giugno 2016.
- ^ (EN) Harold F. Tipton e Micki Krause, Information Security Management Handbook, Sixth Edition, CRC Press, 14 maggio 2007, ISBN 978-0-8493-7495-1. URL consultato il 22 giugno 2016.
- ^ (EN) John R. Vacca, Managing Information Security, Syngress, 3 marzo 2010, ISBN 978-1-59749-534-9. URL consultato il 22 giugno 2016.
- ^ (EN) Engin Kirda, Somesh Jha e Davide Balzarotti, Recent Advances in Intrusion Detection: 12th International Symposium, RAID 2009, Saint-Malo, France, September 23-25, 2009, Proceedings, Springer Science & Business Media, 11 settembre 2009, ISBN 978-3-642-04341-3. URL consultato il 22 giugno 2016.