Che cosa sono gli IDS e gli IPS?

Che cosa sono gli IDS e gli IPS?

Il rilevamento delle intrusioni è il processo di monitoraggio del traffico di rete e di analisi dei segnali di possibili intrusioni, come tentativi di exploit e incidenti che potrebbero costituire una minaccia imminente per la rete. La prevenzione delle intrusioni è il processo che consiste nel rilevare le intrusioni e quindi nell'interrompere gli incidenti rilevati, in genere scartando i pacchetti o terminando le sessioni. Queste misure di sicurezza sono disponibili come sistemi di rilevamento delle intrusioni (IDS) e di prevenzione delle intrusioni (IPS), che fanno parte delle misure di sicurezza di rete adottate per rilevare e bloccare potenziali incidenti e sono funzionalità incluse nei firewall di nuova generazione (NGFW).

 

Quali sono i vantaggi degli IDS/IPS?

Gli IDS/IPS monitorano tutto il traffico sulla rete per identificare qualsiasi comportamento dannoso noto. Uno dei modi in cui un aggressore cerca di compromettere una rete è sfruttare una vulnerabilità in un dispositivo o in un software. Gli IDS/IPS identificano questi tentativi di exploit e li bloccano prima che riescano a compromettere qualsiasi endpoint all'interno della rete. Sono tecnologie di sicurezza necessarie, sia nell'edge della rete che all'interno del data center perché possono fermare gli aggressori mentre raccolgono informazioni sulla rete.

 

Come funziona l'IDS?

Per rilevare gli incidenti si utilizzano in genere tre metodologie di rilevamento IDS:

  • Il rilevamento basato su firma confronta le firme rispetto agli eventi osservati per identificare possibili incidenti. Questo è il metodo di rilevamento più semplice perché confronta solo l'unità di attività attuale (ad esempio, un pacchetto o una voce di registro con un elenco di firme) utilizzando le operazioni di confronto delle stringhe.
  • Il rilevamento basato su anomalia confronta le definizioni di ciò che è considerata un'attività normale con gli eventi osservati per identificare deviazioni significative. Questo metodo di rilevamento può essere molto efficace per individuare minacce precedentemente sconosciute.
  • L'analisi dei protocolli di stato confronta i profili predeterminati di definizioni generalmente accettate per l'attività del protocollo benigno per ogni stato del protocollo rispetto agli eventi osservati per identificare le deviazioni.
What is IDS and IPS diagram

 

 

Che cosa puoi fare con gli IDS/IPS?

I sistemi di rilevamento delle intrusioni (IDS) e i sistemi di prevenzione delle intrusioni (IPS) vigilano costantemente la tua rete, identificando possibili eventi e relative informazioni d'accesso, interrompendo gli incidenti e segnalandoli agli amministratori di sicurezza. Inoltre, alcune reti utilizzano gli IDS/IPS per identificare i problemi con le policy di sicurezza e dissuadere gli individui dal violare le policy di sicurezza. Gli IDS/IPS sono diventati un'aggiunta necessaria all'infrastruttura di sicurezza di molte aziende, proprio perché possono fermare i malintenzionati mentre raccolgono informazioni sulla tua rete.

 

IDS e IPS di Juniper

I firewall Serie SRX, compresi i vSRX e i cSRX di Juniper Networks, sono completamente attrezzati per i servizi di rilevamento e di prevenzione delle intrusioni (IDP). È possibile applicare selettivamente varie tecniche di rilevamento e prevenzione degli attacchi al traffico di rete che passa attraverso il dispositivo scelto della Serie SRX o il servizio Secure Edge, che fornisce il firewall-as-a-service. È possibile definire le regole di policy per abbinare una sezione di traffico basata su una zona, una rete o un'applicazione e quindi intraprendere azioni preventive attive o passive su questo traffico. La Serie SRX e il servizio Secure Edge contengono entrambi firme IPS robuste e costantemente aggiornate per proteggere le reti dagli attacchi. La Serie SRX può inoltrare i log dell'IDP a qualsiasi sistema di gestione degli eventi e degli incidenti di sicurezza (SIEM), come Juniper Secure Analytics (JSA).

Domande frequenti su IDS e IPS

Un firewall è un IDS o un IPS?

Sì. I veri firewall di nuova generazione contengono funzionalità IDS e IPS. Tuttavia, non tutti i firewall sono di nuova generazione. Inoltre, un firewall blocca e filtra il traffico di rete, mentre gli IDS e IPS rilevano e avvisano o bloccano un tentativo di exploit, a seconda della configurazione. Gli IDS e IPS agiscono sul traffico dopo che il firewall lo ha filtrato, in base alla policy configurata.

In che modo vengono implementati gli IDS e IPS?

 Un Intrusion Detection System (IDS) è responsabile dell'identificazione di attacchi e tecniche e viene spesso implementato fuori banda in modalità di solo ascolto, in modo da poter analizzare tutto il traffico e generare eventi di intrusione dal traffico sospetto o dannoso. 

Un Intrusion Prevention System (IPS) è implementato nel percorso del traffico, in modo che tutto il traffico debba passare attraverso l'appliance per proseguire verso la sua destinazione. Al rilevamento di traffico dannoso, l'IPS blocca la connessione e interrompe la sessione o il traffico.

Un IPS può bloccare il traffico?

Sì. Un IPS monitora costantemente il traffico alla ricerca di exploit noti per proteggere la rete. Quindi confronta il traffico con le firme esistenti. Se riscontra una corrispondenza, esegue una delle tre azioni possibili: 1) rilevare e registrare il traffico, 2) rilevare e bloccare il traffico o 3) (l'opzione consigliata) rilevare, registrare e bloccare il traffico. 

Che cosa può rilevare un IDS?

Un IDS rileva le minacce in base a modelli di exploit noti, comportamenti dannosi e tecniche di attacco. Un IDS efficace rileva inoltre le tecniche evasive utilizzate dagli aggressori per nascondere gli exploit, come la frammentazione delle chiamate di procedura remota (RPC), il padding HTML e altri tipi di manipolazione TCP/IP.

Per saperne di più su ciò che gli IDS/IPS di Juniper sono in grado di rilevare e bloccare, consulta la nostra pagina delle firme.

Un IPS può prevenire i DDoS?

Un IPS può prevenire alcuni tipi di attacchi DDoS (distributed denial of service). Ad esempio, gli attacchi Application Denial of Service (AppDoS) sono una delle categorie di minacce che le funzionalità IPS sono in grado di identificare e dalle quali possono proteggere. Tuttavia, gli attacchi DDoS volumetrici necessitano di una soluzione dedicata come quella Corero DDoS di Juniper.

Quali tecnologie, soluzioni e prodotti IDS e IPS offre Juniper?

Juniper offre soluzioni IDS e IPS tramite un unico abbonamento software implementato su qualsiasi suo servizio e prodotto firewall di nuova generazione: firewall SRX fisici, virtuali e containerizzati o come servizio all'interno di Juniper Secure Edge.