Cos’è un Intrusion Prevention System (IPS)?
Un Intrusion Prevention System è una valida integrazione al firewall. Offre le funzioni di monitoraggio e di analisi dell’IDS, ma in più può anche attivarsi autonomamente e respingere le minacce.
Cosa significa IPS?
Per la maggior parte degli utenti il firewall è un metodo consolidato per proteggere il proprio sistema o rete dagli attacchi esterni. Un Intrusion Prevention System (IPS) è in molti casi una valida integrazione a questo meccanismo di protezione. Il sistema lavora in due fasi. Nella prima funge da Intrusion Detection System (IDS), monitorando, a seconda del tipo, l’host, la rete o entrambi, per rilevare velocemente le azioni illecite. A questo scopo crea un modello e lo confronta con l’effettivo traffico di dati. La seconda fase viene eseguita quando l’Intrusion Prevention System rileva una minaccia e avvia le relative contromisure.
Anche questa è una delle grandi differenze rispetto a un IDS puro, che invia soltanto un avvertimento all’amministratore o all’amministratrice. L’Intrusion Prevention System interviene invece attivamente, bloccando i pacchetti di dati o interrompendo le connessioni a rischio. Da questo punto di vista è importante innanzitutto che l’Intrusion Prevention System sia configurato in modo da sventare tutti i pericoli e non ostacolare il regolare flusso di lavoro. Dopodiché, l’IPS deve lavorare a stretto contatto con il firewall per garantire la migliore protezione possibile. A questo scopo, l’Intrusion Prevention System solitamente viene posizionato dietro il firewall. Utilizza sensori per valutare i dati di sistema e i pacchetti nel modo più completo possibile.
Quali sono i tipi di Intrusion Prevention System?
Esistono diversi tipi di Intrusion Prevention System, che si differenziano soprattutto per il punto in cui sono posizionati.
- Intrusion Prevention System basati su host (HIPS): installati direttamente su un terminale, monitorano soltanto i dati in entrata e in uscita. Di conseguenza possono essere attivi e difendere da un attacco soltanto sul dispositivo. Spesso gli HIPS sono quindi abbinati ad altri metodi, per una difesa più ampia. L’Intrusion Prevention System basato su host funge quindi soltanto da ultima misura di protezione.
- Intrusion Prevention System basati su rete (NIPS): sono collocati in diversi punti di una rete per controllare possibilmente tutti i pacchetti di dati che transitano all’interno della rete. A questo scopo sono installati tramite un dispositivo separato o in un firewall, permettendo di scansionare e proteggere tutti i sistemi che sono connessi alla rete.
- Intrusion Prevention System wireless (WIPS): sono progettati specificatamente per lavorare in una rete Wi-Fi. In caso di accessi non autorizzati, l’IPS scova il dispositivo interessato e lo rimuove dall’ambiente.
- Intrusion Prevention System basati sul comportamento: per respingere gli attacchi DDoS è consigliabile un’analisi del comportamento di rete (NBA), che controlla l’intero traffico di dati, rilevando e bloccando gli attacchi.
Come funziona un Intrusion Prevention System?
Un Intrusion Prevention System ha due compiti. Innanzitutto, deve rilevare, prefiltrare, analizzare e segnalare le possibili minacce. Da questo punto di vista, l’IPS funziona all’incirca come un Intrusion Detection System. In aggiunta, quando viene rilevata una minaccia, l’Intrusion Prevention System si attiva autonomamente e avvia una propria difesa. In entrambi i casi, l’IPS ricorre a diversi metodi.
Metodi di analisi dell’IPS
- Anomaly Detection: con questo procedimento, il comportamento all’interno di una rete o su un dispositivo viene confrontato con uno standard prestabilito. Se vengono rilevati importanti scostamenti dalla norma, l’Intrusion Prevention System può avviare opportune contromisure. Tuttavia, a seconda delle impostazioni, spesso questo metodo produce falsi allarmi. Anche per questo motivo i sistemi moderni puntano sempre più sull’IA per ridurre considerevolmente il tasso di errore.
- Misuse Detection: con questo metodo, i pacchetti di dati vengono analizzati per rilevare le forme di attacco già note. Questo tipo di Intrusion Prevention System raggiunge tassi di successo soddisfacenti per le minacce più vecchie, che riesce a identificare piuttosto bene. Ma non è adatto per gli attacchi nuovi, non ancora registrati.
- IPS basato sulle direttive: molto meno diffuso dei due metodi presentati sopra è l’Intrusion Prevention System basato sulle direttive. Per attivarlo occorre prima configurare apposite direttive di sicurezza personalizzate, che costituiranno la base del monitoraggio del sistema.
I meccanismi di difesa dell’IPS
L’Intrusion Prevention System lavora in tempo reale, ma senza rallentare il flusso di dati. Se con i metodi presentati sopra viene localizzata una minaccia, l’IPS ha a disposizione diverse opzioni. Se la minaccia è innocua, come nell’IDS viene inviata una notifica all’amministratore o all’amministratrice, che potranno quindi decidere come procedere. Nei casi gravi, invece, l’Intrusion Prevention System si attiva autonomamente. Ad esempio, può interrompere e resettare percorsi di trasmissione, bloccare origini o destinazioni o addirittura respingere in toto i pacchetti di dati.
Quali vantaggi offre un Intrusion Prevention System?
Usare un Intrusion Prevention System in modo mirato è vantaggioso sotto svariati aspetti per gli utenti. In particolare, l’implementazione di un sistema di questo tipo aumenta la sicurezza. Un IPS può rilevare molti rischi che passano inosservati ad altri strumenti. Inoltre, grazie al prefiltraggio, l’Intrusion Prevention System alleggerisce il lavoro degli altri meccanismi e quindi l’intera architettura. Un ulteriore contributo è dato dalle possibilità di configurazione, che assicurano che l’IPS possa adattarsi perfettamente alle tue esigenze. Con una configurazione bene eseguita, il sistema lavora autonomamente, facendo anche risparmiare tempo.
Quali sono gli svantaggi di un Intrusion Prevention System?
Usato correttamente, un Intrusion Prevention System offre servizi preziosi e aumenta considerevolmente la sicurezza di una rete. Questo sistema presenta tuttavia alcuni (potenziali) svantaggi. Oltre ai già menzionati punti deboli dell’Anomaly Detection e del Misuse Detection, si tratta in particolare dei requisiti dell’hardware. Il fabbisogno di risorse di un Intrusion Prevention System è solitamente molto alto. Più una rete è estesa, più aumenta. Il vero valore aggiunto si ha quindi solo quando le capacità corrispondono al fabbisogno. Inoltre, proprio per chi è agli inizi, la configurazione non è per nulla semplice. Se non è quella giusta, si possono verificare problemi all’interno della rete.
- Protezione contro gli attacchi ransomware
- Protezione antivirus
- Backup automatici e recupero dei file persi
DenyHosts: il migliore IPS contro gli attacchi di forza bruta
Soprattutto nella lotta contro gli attacchi di forza bruta, DenyHosts è una valida opzione. Questo Intrusion Prevention System è stato scritto in Python ed è open source. Monitora i tentativi di login SSH e blocca i relativi indirizzi quando presentano troppi tentativi falliti. Di seguito trovi la repository GitHub ufficiale di DenyHosts.