Che cosa sono gli IDS e gli IPS?

Che cosa sono gli IDS e gli IPS?

Il rilevamento delle intrusioni è il processo di monitoraggio degli incidenti che si verificano nella tua rete e di analisi di segnali di possibili incidenti, violazioni o minacce imminenti alle tue policy di sicurezza. La prevenzione delle intrusioni è il processo di esecuzione del rilevamento delle intrusioni e di risoluzione degli incidenti rilevati. Queste misure di sicurezza sono disponibili come sistemi di rilevamento delle intrusioni (IDS) e sistemi di prevenzione delle intrusioni (IPS), che diventano parte della tua rete per rilevare e fermare potenziali incidenti.

Problemi che gli IDS/IPS affrontano

Una rete aziendale tipica ha diversi punti di accesso ad altre reti, sia pubbliche che private. La sfida è mantenere la sicurezza di queste reti mantenendole al contempo aperte ai propri clienti. Attualmente, gli attacchi sono così sofisticati che possono contrastare i migliori sistemi di sicurezza, in particolare quelli che operano ancora sotto l'ipotesi che le reti possano essere rese sicure da crittografia o firewall. Purtroppo, queste tecnologie da sole non sono sufficienti per contrastare gli attacchi di oggi.

 

 

Che cosa puoi fare con gli IDS/IPS?

I sistemi di rilevamento delle intrusioni (IDS) e i sistemi di prevenzione delle intrusioni (IPS) vigilano costantemente la tua rete, identificando possibili eventi e relative informazioni d'accesso, interrompendo gli incidenti e segnalandoli agli amministratori di sicurezza. Inoltre, alcune reti utilizzano gli IDS/IPS per identificare i problemi con le policy di sicurezza e dissuadere gli individui dal violare le policy di sicurezza. Gli IDS/IPS sono diventati un'aggiunta necessaria all'infrastruttura di sicurezza di molte aziende, proprio perché possono fermare i malintenzionati mentre raccolgono informazioni sulla tua rete.

Come funziona l'IDS?

Le tre metodologie di rilevamento degli IDS sono solitamente utilizzate per rilevare gli incidenti.

  • Il rilevamento basato su firma confronta le firme rispetto agli eventi osservati per identificare possibili incidenti. Questo è il metodo di rilevamento più semplice perché confronta solo l'unità di attività attuale (ad esempio, un pacchetto o un'entrata di log a un elenco di firme) utilizzando le operazioni di confronto delle stringhe.
  • Il rilevamento basato su anomalia confronta le definizioni di ciò che è considerata un'attività normale con gli eventi osservati per identificare deviazioni significative. Questo metodo di rilevamento può essere molto efficace per individuare minacce precedentemente sconosciute.
  • L'analisi dei protocolli di stato confronta i profili predeterminati di definizioni generalmente accettate per l'attività del protocollo benigno per ogni stato del protocollo rispetto agli eventi osservati per identificare le deviazioni.

Implementazione di Juniper Networks

Juniper Networks utilizza i suoi gateway di servizi serie SRX per il rilevamento e la prevenzione delle intrusioni (IDP). È possibile applicare selettivamente varie tecniche di rilevamento e prevenzione degli attacchi sul traffico di rete che attraversa il dispositivo serie SRX da te scelto. È possibile definire le regole di policy per abbinare una sezione di traffico basata su una zona, una rete o un'applicazione e quindi intraprendere azioni preventive attive o passive su questo traffico. Il dispositivo serie SRX contiene una serie completa di firme IPS per proteggere le reti dagli attacchi. Juniper Networks aggiorna regolarmente il database di attacco predefinito. Il dispositivo serie SRX può inoltrare i dati di acquisizione dei pacchetti (PCAP) dal suo traffico a un'applicazione Juniper Secure Analytics (JSA) utilizzando il protocollo di combinazione di PCAP Syslog.