Ids, un’altra barriera contro gli attacker

Gli Intrusion detection system registrano e segnalano le violazioni, sia in atto sia tentate, integrandosi con i firewall. I tecnici di It Labs hanno verificato il funzionamento dei prodotti di Cisco, Internet Security Systems e Symantec/Axent.

Gli Ids (Intrusion detection system) sono stati creati per registrare e segnalare le violazioni, sia in atto sia tentate. Gli Ids non sostituiscono i firewall ma li integrano.


Nel caso specifico, il monitoraggio del traffico di dati avviene generalmente sul flusso Tcp/Ip in transito. L'Ids affianca quindi alle funzioni del semplice network analyzer quelle di riconoscimento degli attacchi, effettuato generalmente a mezzo di un controllo di firma, un po' come accade per gli antivirus. In pratica, il sistema ha un database degli attacchi, che funge da termine di paragone con il traffico analizzato. Quando viene riconosciuto un attacco, l'Intrusion detection system può immediatamente fermare il flusso di dati, impedendo, di conseguenza, che l'attacco provochi dei danni alla rete.


La prima distinzione che viene effettuata è in ordine al momento dell'analisi. Negli Ids di tipo "audit based", le informazioni vengono prima acquisite e poi processate in un secondo momento. In pratica si opera in "batch mode".


Una categoria di Ids abbastanza utilizzata è quella degli "inline Ids". Questi ultimi processano le informazioni in maniera "fluida", le trasmettono a un motore centrale che le analizza effettuando le opportune correlazioni. Da un lato, questo approccio è sicuramente più rapido per quanto riguarda l'attuazione delle contromisure, può, tuttavia, a causa di possibili impostazioni errate, generare dei falsi allarmi. In questo caso si è molto legati alle performance. Non bisogna, tuttavia, lasciarsi ingannare da questo fattore: esiste una certa differenza tra il concetto di rapidità di analisi e quello di real time.

Host e network based: princìpi di funzionamento


Tutti i modelli gestiscono l'analisi dei dati acquisendo questi ultimi con i cosiddetti sensori. Fondamentalmente, la differenza tra i vari Ids consiste, in prima analisi, nel posto in cui i sensori vengono collocati. Negli Hids (Host intrusion detection system), infatti, i sensori ricavano le informazioni dai C2 audit log, dai system log oppure dagli application log. Altre varianti, invece, usano i cosiddetti "local watchdog" cioè moduli che


analizzano in maniera selettiva il traffico su un determinato host.


I Nids (Network intrusion detection system), invece, operano il controllo del traffico in modalità passiva. Per comprendere il concetto, si pensi all'analogia con gli sniffer. Anche in questo caso, infatti, i moduli di controllo installati su device di rete o dedicati operano un'analisi dei dati in transito. Un punto a favore è l'impatto minimo in termini di performance della rete nel suo complesso. Inoltre, l'installazione di moduli Ids in un contesto Network Based aumenta anche la protezione dagli attacchi di tipo tampering. Uno dei problemi maggiormente sentiti dagli utenti è che, spesso, alcuni Ids network based possono perdere alcuni pacchetti in caso di attacchi di tipo flood o in caso di sessioni crittografate. Quando interloquite con il vostro vendor di fiducia, cercate di approfondire questo problema. Uno dei modelli alternativi è quello detto "ibrido", cioè composto da un mix degli elementi sopra descritti. Inoltre, alcuni vendor come Iss stanno migrando definitivamente a un'impostazione che loro chiamano "agent based", che può essere interpretata come un'evoluzione degli Hids.


Gli esperti della rivista NetsTime, pubblicazione "sorella" di Linea Edp edita da Agepe, hanno affrontato per la prima volta alcuni mesi fa il tema dell'Intrusion detection. Chi fosse interessato a esplorare o approfondire questo discorso, potrà trovare all'indirizzo Internet http://www.netstime.com/focuszone/security/index.html numerosi spunti.


CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here