Hacker Feed RSS2 della guida Hacker

di avatar 1372
Pubblicato in: Attacchi e difese

IDS. Ovvero Intrusion Detection System

Quali sono le tecnologie che ci permettono di controllare se sulla nostra rete c'è qualcuno che sta cercando di arrecarci dei danni?

Immaginiamo di essere gli addetti alla vigilanza di un palazzo e che il nostro compito sia di verificare con certezza che nessun intruso o ladro stia cercando di entrare nell’edificio. Sicuramente avremo bisogno di mezzi tecnologici per poter tenere sott’occhio la situazione su tutta la superficie del palazzo in tempo reale. I sistemi IDS fanno proprio questo, sorvegliando i vari segmenti delle reti aziendali alla ricerca di intrusi.

Esistono due tipi di IDS, quelli network based e quelli host based.

Per continuare il parallelo con gli addetti alla sorveglianza potremmo dire che gli IDS network based sono le telecamere che sorvegliano i corridoi; ovvero ci danno visibilità delle persone che percorrono le vie degli uffici, ma con un vantaggio enorme rispetto alle telecamere, sanno riconoscere chi è l’intruso e chi invece non ha diritto ad entrare.

Con questo tipo di sistema riusciamo ad accorgerci se c’e’ un intruso che cammina per i nostri corridoi virtuali, ma che succede se l’intruso è già all’interno di una stanza? Ci vorrebbe una telecamera anche all’inteno di ogni stanza, ed ecco qui gli IDS host based, i quali tengono in osservazione un singolo computer controllando che nessuno svolga attività illecite.

Un buon 80% degli IDS installati a livello mondiale sono network based, perche’ danno una maggiore visibilità delle intrusioni ad un costo relativamente contenuto.

Analizziamo come funzionano gli IDS network based: sostanzialmente si tratta di un sistema (hardware + software) che legge (in gergo “sniffa”) il traffico che passa sul segmento di rete dov’e’ attestato, cercando tracce di attacchi. Il suo funzionamento è regolato in base a due principi fondamentali:

Il signature matching: lo stesso principio dell’antivirus, l’IDS cattura il traffico e lo confronta con un database di firme di attacchi (database costantemente aggiornato dal produttore dell’IDS).
Network Analisys: Laddove il signature matching fallisce agisce questa seconda funzionalità, che è in grado di rilevare anomalie nei flussi di traffico e quindi di rilevare anche quegli attacchi che non sono ancora stati scoperti come tali.
alcuni IDS sono in grado, una volta rilevato un attacco, di terminare la connessione che lo ha causato, ma qui entriamo in un vero e proprio vespaio denominato “falso positivo”. Per spiegare in breve di cosa si tratta farò un esempio:

Immaginate che alle 24 in punto di un determinato giorno venga lanciato in automatico il backup via rete di tutte le workstation di un ufficio. In quel preciso istante verranno iniziate una serie numerosissima di connessioni da più macchine verso il server che effettua il backup. Un IDS potrebbe riconoscere questo flusso enorme di traffico come un tentativo di flooding, ovvero un attacco di tipo Denial f Service. ebbene, se abbiamo configurato l’IDS per terminare questo tipo di attacco in realtà avremo terminato il nostro backup di rete, con tutto quello che ne consegue; dal mancato salvataggio dei dati al più che probabile rimprovero da parte del nostro responsabile.

Il problema dei falsi positivi è sentitissimo nell’ambito IDS ed è sempre elemento di discussioni accese tra i vendor, gli specialisti e i clienti.

L’argomento IDS è molto affascinante ed in continua evoluzione.

Peeplo Engine

Un motore di ricerca nuovo, ricco e approfondito.

Inizia ora le tue ricerche su Peeplo.

Le categorie della guida

Ultimi interventi

Vedi tutti

Link correlati

© 2011 DADA S.p.A. P. IVA e C.F. 04628270482. Tutti i diritti riservati.