Intrusion prevention system

Da Wikipedia, l'enciclopedia libera.


Intrusion prevention systems (IPS), conosciuto anche come intrusion detection and prevention systems (IDPS),sono dei componenti attivi sviluppati per incrementare la sicurezza informatica di un sistema informatico. Le principali funzioni di questo sistema sono di individuare le attività dannose, registrarne le informazioni relative, tentare di bloccarle e segnalarle.[1] Intrusion prevention systems sono un'estensione degli strumenti di intrusion detection system(IDS) perchè entrambi controllano il traffico e le attività di sistema per identificare l'esecuzione di codice non previsto. A differenza dai componenti IDS, sono posizionati inline e sono abilitati a prevenire e bloccare le intrusioni identificate.[2][3]Più specificamente, IPS può eseguire alcune azioni come mandare un allarme, eliminare pacchetti malevoli, resettare le connessioni e/o bloccare il traffico da un indirizzo IP attaccante.[4]IPS può anche correggere gli errori CRC (Cyclic Redundancy Check), deframmentare pacchetti, evitare problemi di sequenza TCP e ripulire i livelli di trasporto e rete da opzioni indesiderate.[5]

Descrizione[modifica | modifica wikitesto]

L'Intrusion prevention system venne inventato da One Secure. Venne in seguito acquistato da NetScreen Technologies che venne a sua volta acquisita da Juniper Networks nel 2004.

Gli Intrusion prevention system sono basati su una lista di controllo degli accessi simile a quella utilizzata da un firewall, con la differenza che un firewall lavora su porte e indirizzi IP mentre questa tecnologia lavora su programmi e utenti.

Intrusion prevention system evita dunque l'attivazione di programmi potenzialmente malevoli.

Classificazione[modifica | modifica wikitesto]

Intrusion prevention system possono essere classificati in 4 tipologie:[6]

  1. Network-based intrusion prevention system (NIPS): Controlla l’intera rete per il traffico sospetto, analizzando l’attività del protocollo.
  2. Wireless intrusion prevention systems (WIPS): monitora una rete wireless analizzando i protocolli di rete.
  3. Network behavior analysis (NBA): esamina il traffico di rete per identificare le minacce che generano flussi di traffico inusuali,alcune forme di malware e violazioni delle politiche.
  4. Host-based intrusion prevention system (HIPS): viene installato un pacchetto software che controlla un singolo host per attività sospette, analizzando gli eventi che si verificano all’interno di quella ospite.

Metodi di rivelazione[modifica | modifica wikitesto]

La maggior parte dei sistemi IPS utilizza uno dei tre metodi di rilevamento: signature-based, statistical anomaly-based, and stateful protocol analysis.[3][7]

  1. Signature-Based Detection: Signature-based IDS controlla i pacchetti nella rete e si confronta con schemi di attacco pre-configurati e pre-determinati conosciuti come firme.
  2. Statistical anomaly-based detection: Un IDS basata su un'anomalia statistica determina la normale attività di rete, come che tipo di larghezza di banda viene generalmente utilizzata, quali protocolli vengono utilizzati, quali porte e periferiche son collegate. Avvisa l'amministratore o l'utente quando viene rilevata una anomalia.
  3. Stateful Protocol Analysis Detection: Questo metodo identifica le deviazioni degli stati di protocollo confrontando eventi osservati con "profili predeterminati di attività normali.”[3]

Note[modifica | modifica wikitesto]

  1. ^ NIST – Guide to Intrusion Detection and Prevention Systems (IDPS) (PDF), csrc.nist.gov, Febbraio 2007. URL consultato il 25 giugno 2010.
  2. ^ (EN) Robert Newman, Computer Security: Protecting Digital Resources, Jones & Bartlett Learning, 23 giugno 2009, ISBN 9780763759940. URL consultato il 22 giugno 2016.
  3. ^ a b c (EN) Michael E. Whitman e Herbert J. Mattord, Principles of Information Security, Cengage Learning EMEA, 1° gennaio 2009, ISBN 1423901770. URL consultato il 22 giugno 2016.
  4. ^ (EN) Tim Boyles, CCNA Security Study Guide: Exam 640-553, John Wiley & Sons, 29 giugno 2010, ISBN 9780470636336. URL consultato il 22 giugno 2016.
  5. ^ (EN) Harold F. Tipton e Micki Krause, Information Security Management Handbook, Sixth Edition, CRC Press, 14 maggio 2007, ISBN 9780849374951. URL consultato il 22 giugno 2016.
  6. ^ (EN) John R. Vacca, Managing Information Security, Syngress, 03 marzo 2010, ISBN 9781597495349. URL consultato il 22 giugno 2016.
  7. ^ (EN) Engin Kirda, Somesh Jha e Davide Balzarotti, Recent Advances in Intrusion Detection: 12th International Symposium, RAID 2009, Saint-Malo, France, September 23-25, 2009, Proceedings, Springer Science & Business Media, 11 settembre 2009, ISBN 9783642043413. URL consultato il 22 giugno 2016.


Link esterni[modifica | modifica wikitesto]

Voci correlate[modifica | modifica wikitesto]

Sicurezza informatica Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica