IPS sta per Intrusion Prevention System. Identifica i metodi che proteggono il traffico di dati intorno alle reti dalle minacce. Le minacce non sono solo rilevate, ma anche combattute con l'aiuto degli strumenti.
Gli hacker e gli attacchi ai dati mostrano che gli intrusi dell'era moderna hanno capacità contro le quali il firewall non è più sufficiente. Per garantire la sicurezza, sono necessari potenti integratori. Questi includono il sistema di prevenzione delle intrusioni (IPS) e il sistema di rilevamento delle intrusioni (IDS).
Differenza tra IPS e IDS
La differenza tra i due sistemi sta nella loro competenza. Mentre l'IDS, come implica il termine "rilevamento" nel suo nome, si limita a rilevare e segnalare minacce e attacchi, l'IPS è un passo avanti. Ha a disposizione funzioni con le quali gli eventi minacciosi possono idealmente essere combattuti anche in una fase iniziale. Entrambi i sistemi dimostrano così un'intelligenza intorno alla sicurezza informatica che va ben oltre i classici scanner di virus e anche il firewall.
Controllo con funzione di filtro
L'IPS è uno strumento professionale per il monitoraggio del traffico dati per quanto riguarda la sua sicurezza per gli utenti di una rete. I flussi di dati in entrata e in uscita sono controllati in modo coerente. Se un attacco viene rilevato o anche solo sospettato, un messaggio rapido viene inviato ai destinatari responsabili. Gli schemi sono la base della funzione di filtro, all'interno della quale un sistema di prevenzione delle intrusioni può riconoscere se qualcosa è una minaccia o no. Il sistema conosce lo stato normale desiderato e può valutare in modo intelligente le deviazioni da esso.
Ci sono diverse varianti di base per la funzione di filtro dell'IPS:
- Sistema direttamente sul computer (Host-based)
- Sistema come controllo di rete (Network-based)
- Scansione basata sul contenuto (Content-based)
- Scansione basata sul protocollo (Protocol-based)
- focalizzato sulla quantità e il tipo di flussi di dati (rate-based)
Focalizzato sulla latenza
Per permettere risposte veloci agli intrusi, la latenza è importante. Rappresenta il tempo tra lo stimolo e la risposta ed è quindi l'effetto di segnalazione in IT. È meno di 100 microsecondi quando si tratta di un IPS e permette quindi i tempi di reazione rapida spesso necessari. Il firewall è spesso completato professionalmente da un IPS se è implementato da esperti. Questo perché un sistema di prevenzione delle intrusioni può influenzare il firewall nella sua funzione.
Misure in vista
Un IPS basato sulla rete ha due possibilità per reagire adeguatamente a una minaccia rilevata nell'interesse degli utenti. Da un lato, può iniziare direttamente nel percorso della trasmissione dei dati e interromperla immediatamente in caso di pericolo. D'altra parte, può influenzare il firewall e quindi combattere efficacemente i pacchetti di dati indesiderati in modo indiretto.