Che cos'è un sistema di prevenzione delle intrusioni?
Un sistema di prevenzione delle intrusioni (IPS) monitora i pacchetti di dati di una rete per attività sospette e tenta di agire utilizzando politiche specifiche. Funziona in qualche modo come un sistema di rilevamento delle intrusioni che include un firewall per prevenire gli attacchi. Invia un avviso a un amministratore di rete o di sistema quando viene rilevato qualcosa di sospetto, consentendo all'amministratore di selezionare un'azione da eseguire quando si verifica l'evento. I sistemi di prevenzione delle intrusioni possono monitorare un'intera rete, i protocolli di rete wireless, il comportamento della rete e il traffico di un singolo computer. Ogni IPS utilizza metodi di rilevazione specifici per analizzare i rischi.
A seconda del modello IPS e delle sue caratteristiche, un sistema di prevenzione delle intrusioni può rilevare varie violazioni della sicurezza. Alcuni sono in grado di rilevare la diffusione di malware attraverso una rete, la copia di file di grandi dimensioni tra due sistemi e l'uso di attività sospette come la scansione delle porte. Dopo che l'IPS ha confrontato il problema con le sue regole di sicurezza, registra ogni evento e documenta la frequenza dell'evento. Se l'amministratore di rete ha configurato l'IPS per eseguire un'azione specifica in base all'incidente, il sistema di prevenzione delle intrusioni esegue l'azione assegnata. Un avviso di base viene inviato all'amministratore in modo che possa rispondere in modo appropriato o visualizzare ulteriori informazioni sull'IPS, se necessario.
Esistono quattro tipi generali di sistemi di prevenzione delle intrusioni, tra cui basato sulla rete, wireless, analisi del comportamento della rete e basato sull'host. Un IPS basato su rete analizza vari protocolli di rete e viene comunemente utilizzato su server di accesso remoto, server di rete privati virtuali e router. Un IPS wireless controlla attività sospette su reti wireless e cerca anche reti wireless non autorizzate in un'area. L'analisi del comportamento di rete cerca minacce che potrebbero abbattere una rete o diffondere malware e viene comunemente utilizzata con reti private che si connettono a Internet. Un IPS basato su host funziona su un singolo sistema e cerca strani processi applicativi, traffico di rete insolito verso l'host, modifica del file system e modifiche alla configurazione.
Esistono tre metodi di rilevamento che un sistema di prevenzione delle intrusioni può utilizzare e molti sistemi utilizzano una combinazione di tutti e tre. Il rilevamento basato sulla firma funziona bene per rilevare minacce note confrontando un evento con una firma già documentata per determinare se si è verificata una violazione della sicurezza. Il rilevamento basato sull'anomalia cerca attività anomale rispetto ai normali eventi che si verificano su un sistema o una rete ed è particolarmente utile per identificare minacce sconosciute. L'analisi del protocollo con stato cerca attività che vanno contro il modo in cui viene normalmente utilizzato un protocollo specifico.