Sistema di prevenzione delle intrusioni

In informatica un sistema di prevenzione delle intrusioni o intrusion prevention system (IPS) sono dei componenti software attivi sviluppati per incrementare la sicurezza informatica di un sistema informatico, individuando, registrando le informazioni relative e tentando di segnalare e bloccare le attività dannose.^[1] Rappresentano un'estensione dei sistemi di rilevamento delle intrusioni (intrusion detection system, IDS) perché entrambi controllano il traffico e le attività di sistema per identificare l'esecuzione di codice non previsto, ma a differenza di quest'ultimi, gli IPS sono posizionati inline e sono abilitati a prevenire e bloccare le intrusioni identificate.^[2]^[3] Più specificamente, IPS può eseguire alcune azioni come mandare un allarme, eliminare pacchetti malevoli, resettare le connessioni e/o bloccare il traffico da un indirizzo IP attaccante.^[4] IPS può anche correggere gli errori CRC (cyclic redundancy check), deframmentare pacchetti, evitare problemi di sequenza TCP e ripulire i livelli di trasporto e rete da opzioni indesiderate.^[5]

Storia modifica

L'Intrusion prevention system venne inventato da One Secure, in seguito acquistato da NetScreen Technologies che venne a sua volta acquisita da Juniper Networks nel 2004.

Descrizione modifica

I sistemi di prevenzione delle intrusioni sono basati su una lista di controllo degli accessi simile a quella utilizzata da un firewall, con la differenza che quest'ultimo lavora a livello di trasporto e di rete su porte e indirizzi IP mentre questa tecnologia lavora a livello applicativo su programmi/servizi e utenti.

L'intrusion prevention system evita dunque l'attivazione di programmi potenzialmente malevoli.

Classificazione modifica

Possono essere classificati in 4 tipologie:^[6]

Network-based intrusion prevention system (NIPS): controlla l'intera rete per il traffico sospetto, analizzando l'attività del protocollo.
Wireless intrusion prevention systems (WIPS): monitora una rete wireless analizzando i protocolli di rete.
Network behavior analysis (NBA): esamina il traffico di rete per identificare le minacce che generano flussi di traffico inusuali, alcune forme di malware e violazioni delle politiche.
Host-based intrusion prevention system (HIPS): viene installato un pacchetto software che controlla un singolo host per attività sospette, analizzando gli eventi che si verificano all'interno di quella ospite.

Metodi di rilevazione modifica

La maggior parte dei sistemi IPS utilizza uno dei tre metodi di rilevamento^[3]^[7]:

Signature-Based Detection: controlla i pacchetti nella rete e si confronta con schemi di attacco pre-configurati e pre-determinati conosciuti come firme.
Statistical anomaly-based detection: determina la normale attività di rete, come che tipo di larghezza di banda viene generalmente utilizzata, quali protocolli vengono utilizzati, quali porte e periferiche son collegate, avvisando l'amministratore o l'utente quando viene rilevata una anomalia.
Stateful Protocol Analysis Detection: questo metodo identifica le deviazioni degli stati di protocollo confrontando eventi osservati con "profili predeterminati di attività normali.”^[3]

Note modifica

^ NIST – Guide to Intrusion Detection and Prevention Systems (IDPS) (PDF), su csrc.nist.gov, febbraio 2007. URL consultato il 25 giugno 2010.
^ (EN) Robert Newman, Computer Security: Protecting Digital Resources, Jones & Bartlett Learning, 23 giugno 2009, ISBN 978-0-7637-5994-0. URL consultato il 22 giugno 2016.
^ ^a ^b ^c (EN) Michael E. Whitman e Herbert J. Mattord, Principles of Information Security, Cengage Learning EMEA, 1º gennaio 2009, ISBN 1-4239-0177-0. URL consultato il 22 giugno 2016.
^ (EN) Tim Boyles, CCNA Security Study Guide: Exam 640-553, John Wiley & Sons, 29 giugno 2010, ISBN 978-0-470-63633-6. URL consultato il 22 giugno 2016.
^ (EN) Harold F. Tipton e Micki Krause, Information Security Management Handbook, Sixth Edition, CRC Press, 14 maggio 2007, ISBN 978-0-8493-7495-1. URL consultato il 22 giugno 2016.
^ (EN) John R. Vacca, Managing Information Security, Syngress, 3 marzo 2010, ISBN 978-1-59749-534-9. URL consultato il 22 giugno 2016.
^ (EN) Engin Kirda, Somesh Jha e Davide Balzarotti, Recent Advances in Intrusion Detection: 12th International Symposium, RAID 2009, Saint-Malo, France, September 23-25, 2009, Proceedings, Springer Science & Business Media, 11 settembre 2009, ISBN 978-3-642-04341-3. URL consultato il 22 giugno 2016.

Voci correlate modifica

Collegamenti esterni modifica

Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di sicurezza informatica

[:0-1] NIST – Guide to Intrusion Detection and Prevention Systems (IDPS) (PDF), su csrc.nist.gov, febbraio 2007. URL consultato il 25 giugno 2010.

[:1-2] (EN) Robert Newman, Computer Security: Protecting Digital Resources, Jones & Bartlett Learning, 23 giugno 2009, ISBN 978-0-7637-5994-0. URL consultato il 22 giugno 2016.

[:2-3] (EN) Michael E. Whitman e Herbert J. Mattord, Principles of Information Security, Cengage Learning EMEA, 1º gennaio 2009, ISBN 1-4239-0177-0. URL consultato il 22 giugno 2016.

[4] (EN) Tim Boyles, CCNA Security Study Guide: Exam 640-553, John Wiley & Sons, 29 giugno 2010, ISBN 978-0-470-63633-6. URL consultato il 22 giugno 2016.

[5] (EN) Harold F. Tipton e Micki Krause, Information Security Management Handbook, Sixth Edition, CRC Press, 14 maggio 2007, ISBN 978-0-8493-7495-1. URL consultato il 22 giugno 2016.

[6] (EN) John R. Vacca, Managing Information Security, Syngress, 3 marzo 2010, ISBN 978-1-59749-534-9. URL consultato il 22 giugno 2016.

[7] (EN) Engin Kirda, Somesh Jha e Davide Balzarotti, Recent Advances in Intrusion Detection: 12th International Symposium, RAID 2009, Saint-Malo, France, September 23-25, 2009, Proceedings, Springer Science & Business Media, 11 settembre 2009, ISBN 978-3-642-04341-3. URL consultato il 22 giugno 2016.

[1]

[2]

[3]

[4]

[5]

[6]

[7]