Tra i prodotti in prova, questo è risultato essere il più “classico”, in quanto si tratta di un “puro” Network Intrusion Detection System, composto da un sensore dedicato gestito da un cuore Solaris e un hardware Celeron. Il sensore ci è giunto, a dire …
Tra i prodotti in prova, questo è risultato essere il più “classico”, in quanto si tratta di un “puro” Network Intrusion Detection System, composto da un sensore dedicato gestito da un cuore Solaris e un hardware Celeron. Il sensore ci è giunto, a dire il vero, con uno chassis un po’ più “spartano” rispetto a quello raffigurato in foto; può essere controllato in due maniere, fruendo, cioè, di Cisco Secure IDS Director o da CSPM (Cisco Secure Policy Manager). Il laboratorio si è orientato verso questa seconda possibiltà.
La configurazione che abbiamo scelto nella prova è stata di tipo front firewall, cioè tra il router e la protezione perimetrale. Consci della circostanza, infatti, che non avremmo intercettato il traffico locale, abbiamo posizionato le macchine di attacco nello stesso troncone, mentre l’interfaccia di controllo (o management che dir si voglia) era su un’altra sottorete. L’IDS esaminato è in grado di riconfigurare, in caso di attacco, le ACL (Access Control List) del router o le regole di Cisco Pix Firewall. Per far ciò, per esempio sul router, bisogna abilitare il servizio Telnet e configurare i device in dipendenza della registrazione degli eventi syslog.
Nello scegliere di gestire il sensore via CSPM bisogna mettere in conto alcune ore in più dedicate all’installazione e al tuning della combinazione. In questo caso, infatti, Cisco Secure Ids si è dimostrato essere il più farraginoso, sia dal punto di vista dell’implementazione sia della configurazione del tool di gestione. Quest’ultimo, inoltre, ci ha creato non pochi problemi prima di stabilire la connessione definitiva con il sensore.
Dal canto suo, l’uso di CSPM si rivela un must nel caso di ambienti già fortemente basati su dispositivi Cisco. Il risultato principale, infatti, è quello di avere tutto sotto controllo. Chi lavora in ambienti fortemente distribuiti sa quanto ciò sia importante.
La procedura di configurazione è comunque “allegerita” dall’impiego di alcuni wizard, in grado di orientare l’utente nelle operazioni più importanti. È proprio questo tool che ci ha favorevolmente colpito, più degli altri, specie nelle operazioni di discovery e di segnalazione errori.
Quello che bisogna ricordare, in sede di installazione, è di porre particolare cura nel setup di Post Office, responsabile dello smistamento degli allarmi in caso di violazione in atto, nonché di altre notifiche relative al funzionamento del dispositivo.
L’installazione di questo mailer nel contesto in esame si è rivelata essere un esempio emblematico di quanto importante sia la lettura della documentazione prima dell’effettuazione del setup. Il manuale, infatti, è molto chiaro soprattutto in ordine alla configurazione del path di installazione, cosa che può compromettere il funzionamento di tutto l’impianto.
La reazione alla fase di penetration test è stata conforme alle aspettative, mentre a nostro parere sarebbe auspicabile un miglioramento della parte di reporting, non adeguata al livello degli altri prodotti che abbiamo testato.
In definitiva, Cisco Secure IDS è un prodotto che vede la sua collocazione ideale in un ambiente già fortemente connotato come Cisco based, mentre potrebbe essere utile valutare delle alternative in caso di strutture maggiormente eterogenee. L’utilizzo di CSPM non è proprio alla portata di tutti, la qual cosa potrebbe obbligare il cliente ad affidarsi ai servizi di installazione e gestione predisposti dal vendor, i cui delegati, peraltro, sono stati molto disponibili nel coadiuvarci nella fase di troubleshooting.
Caratteristiche
