Un Intrusion Pre­ven­tion System è una valida in­te­gra­zio­ne al firewall. Offre le funzioni di mo­ni­to­rag­gio e di analisi dell’IDS, ma in più può anche attivarsi au­to­no­ma­men­te e re­spin­ge­re le minacce.

Cosa significa IPS?

Per la maggior parte degli utenti il firewall è un metodo con­so­li­da­to per pro­teg­ge­re il proprio sistema o rete dagli attacchi esterni. Un Intrusion Pre­ven­tion System (IPS) è in molti casi una valida in­te­gra­zio­ne a questo mec­ca­ni­smo di pro­te­zio­ne. Il sistema lavora in due fasi. Nella prima funge da Intrusion Detection System (IDS), mo­ni­to­ran­do, a seconda del tipo, l’host, la rete o entrambi, per rilevare ve­lo­ce­men­te le azioni illecite. A questo scopo crea un modello e lo confronta con l’effettivo traffico di dati. La seconda fase viene eseguita quando l’Intrusion Pre­ven­tion System rileva una minaccia e avvia le relative con­tro­mi­su­re.

Anche questa è una delle grandi dif­fe­ren­ze rispetto a un IDS puro, che invia soltanto un av­ver­ti­men­to all’am­mi­ni­stra­to­re o all’am­mi­ni­stra­tri­ce. L’Intrusion Pre­ven­tion System in­ter­vie­ne invece at­ti­va­men­te, bloccando i pacchetti di dati o in­ter­rom­pen­do le con­nes­sio­ni a rischio. Da questo punto di vista è im­por­tan­te in­nan­zi­tut­to che l’Intrusion Pre­ven­tion System sia con­fi­gu­ra­to in modo da sventare tutti i pericoli e non osta­co­la­re il regolare flusso di lavoro. Dopodiché, l’IPS deve lavorare a stretto contatto con il firewall per garantire la migliore pro­te­zio­ne possibile. A questo scopo, l’Intrusion Pre­ven­tion System so­li­ta­men­te viene po­si­zio­na­to dietro il firewall. Utilizza sensori per valutare i dati di sistema e i pacchetti nel modo più completo possibile.

Quali sono i tipi di Intrusion Pre­ven­tion System?

Esistono diversi tipi di Intrusion Pre­ven­tion System, che si dif­fe­ren­zia­no so­prat­tut­to per il punto in cui sono po­si­zio­na­ti.

  • Intrusion Pre­ven­tion System basati su host (HIPS): in­stal­la­ti di­ret­ta­men­te su un terminale, mo­ni­to­ra­no soltanto i dati in entrata e in uscita. Di con­se­guen­za possono essere attivi e difendere da un attacco soltanto sul di­spo­si­ti­vo. Spesso gli HIPS sono quindi abbinati ad altri metodi, per una difesa più ampia. L’Intrusion Pre­ven­tion System basato su host funge quindi soltanto da ultima misura di pro­te­zio­ne.
  • Intrusion Pre­ven­tion System basati su rete (NIPS): sono collocati in diversi punti di una rete per con­trol­la­re pos­si­bil­men­te tutti i pacchetti di dati che tran­si­ta­no all’interno della rete. A questo scopo sono in­stal­la­ti tramite un di­spo­si­ti­vo separato o in un firewall, per­met­ten­do di scan­sio­na­re e pro­teg­ge­re tutti i sistemi che sono connessi alla rete.
  • Intrusion Pre­ven­tion System wireless (WIPS): sono pro­get­ta­ti spe­ci­fi­ca­ta­men­te per lavorare in una rete Wi-Fi. In caso di accessi non au­to­riz­za­ti, l’IPS scova il di­spo­si­ti­vo in­te­res­sa­to e lo rimuove dall’ambiente.
  • Intrusion Pre­ven­tion System basati sul com­por­ta­men­to: per re­spin­ge­re gli attacchi DDoS è con­si­glia­bi­le un’analisi del com­por­ta­men­to di rete (NBA), che controlla l’intero traffico di dati, rilevando e bloccando gli attacchi.

Come funziona un Intrusion Pre­ven­tion System?

Un Intrusion Pre­ven­tion System ha due compiti. In­nan­zi­tut­to, deve rilevare, pre­fil­tra­re, ana­liz­za­re e segnalare le possibili minacce. Da questo punto di vista, l’IPS funziona all’incirca come un Intrusion Detection System. In aggiunta, quando viene rilevata una minaccia, l’Intrusion Pre­ven­tion System si attiva au­to­no­ma­men­te e avvia una propria difesa. In entrambi i casi, l’IPS ricorre a diversi metodi.

Metodi di analisi dell’IPS

  • Anomaly Detection: con questo pro­ce­di­men­to, il com­por­ta­men­to all’interno di una rete o su un di­spo­si­ti­vo viene con­fron­ta­to con uno standard pre­sta­bi­li­to. Se vengono rilevati im­por­tan­ti sco­sta­men­ti dalla norma, l’Intrusion Pre­ven­tion System può avviare opportune con­tro­mi­su­re. Tuttavia, a seconda delle im­po­sta­zio­ni, spesso questo metodo produce falsi allarmi. Anche per questo motivo i sistemi moderni puntano sempre più sull’IA per ridurre con­si­de­re­vol­men­te il tasso di errore.
  • Misuse Detection: con questo metodo, i pacchetti di dati vengono ana­liz­za­ti per rilevare le forme di attacco già note. Questo tipo di Intrusion Pre­ven­tion System raggiunge tassi di successo sod­di­sfa­cen­ti per le minacce più vecchie, che riesce a iden­ti­fi­ca­re piuttosto bene. Ma non è adatto per gli attacchi nuovi, non ancora re­gi­stra­ti.
  • IPS basato sulle direttive: molto meno diffuso dei due metodi pre­sen­ta­ti sopra è l’Intrusion Pre­ven­tion System basato sulle direttive. Per attivarlo occorre prima con­fi­gu­ra­re apposite direttive di sicurezza per­so­na­liz­za­te, che co­sti­tui­ran­no la base del mo­ni­to­rag­gio del sistema.

I mec­ca­ni­smi di difesa dell’IPS

L’Intrusion Pre­ven­tion System lavora in tempo reale, ma senza ral­len­ta­re il flusso di dati. Se con i metodi pre­sen­ta­ti sopra viene lo­ca­liz­za­ta una minaccia, l’IPS ha a di­spo­si­zio­ne diverse opzioni. Se la minaccia è innocua, come nell’IDS viene inviata una notifica all’am­mi­ni­stra­to­re o all’am­mi­ni­stra­tri­ce, che potranno quindi decidere come procedere. Nei casi gravi, invece, l’Intrusion Pre­ven­tion System si attiva au­to­no­ma­men­te. Ad esempio, può in­ter­rom­pe­re e resettare percorsi di tra­smis­sio­ne, bloccare origini o de­sti­na­zio­ni o ad­di­rit­tu­ra re­spin­ge­re in toto i pacchetti di dati.

Quali vantaggi offre un Intrusion Pre­ven­tion System?

Usare un Intrusion Pre­ven­tion System in modo mirato è van­tag­gio­so sotto svariati aspetti per gli utenti. In par­ti­co­la­re, l’im­ple­men­ta­zio­ne di un sistema di questo tipo aumenta la sicurezza. Un IPS può rilevare molti rischi che passano inos­ser­va­ti ad altri strumenti. Inoltre, grazie al pre­fil­trag­gio, l’Intrusion Pre­ven­tion System al­leg­ge­ri­sce il lavoro degli altri mec­ca­ni­smi e quindi l’intera ar­chi­tet­tu­ra. Un ulteriore con­tri­bu­to è dato dalle pos­si­bi­li­tà di con­fi­gu­ra­zio­ne, che as­si­cu­ra­no che l’IPS possa adattarsi per­fet­ta­men­te alle tue esigenze. Con una con­fi­gu­ra­zio­ne bene eseguita, il sistema lavora au­to­no­ma­men­te, facendo anche ri­spar­mia­re tempo.

Quali sono gli svantaggi di un Intrusion Pre­ven­tion System?

Usato cor­ret­ta­men­te, un Intrusion Pre­ven­tion System offre servizi preziosi e aumenta con­si­de­re­vol­men­te la sicurezza di una rete. Questo sistema presenta tuttavia alcuni (po­ten­zia­li) svantaggi. Oltre ai già men­zio­na­ti punti deboli dell’Anomaly Detection e del Misuse Detection, si tratta in par­ti­co­la­re dei requisiti dell’hardware. Il fab­bi­so­gno di risorse di un Intrusion Pre­ven­tion System è so­li­ta­men­te molto alto. Più una rete è estesa, più aumenta. Il vero valore aggiunto si ha quindi solo quando le capacità cor­ri­spon­do­no al fab­bi­so­gno. Inoltre, proprio per chi è agli inizi, la con­fi­gu­ra­zio­ne non è per nulla semplice. Se non è quella giusta, si possono ve­ri­fi­ca­re problemi all’interno della rete.

My­De­fen­der
Massima sicurezza per tutti i tuoi di­spo­si­ti­vi
  • Pro­te­zio­ne antivirus
  • Backup au­to­ma­ti­ci e recupero dei file persi

DenyHosts: il migliore IPS contro gli attacchi di forza bruta

So­prat­tut­to nella lotta contro gli attacchi di forza bruta, DenyHosts è una valida opzione. Questo Intrusion Pre­ven­tion System è stato scritto in Python ed è open source. Monitora i tentativi di login SSH e blocca i relativi indirizzi quando pre­sen­ta­no troppi tentativi falliti. Di seguito trovi la re­po­si­to­ry GitHub ufficiale di DenyHosts.

Vai al menu prin­ci­pa­le