Logo principale
Apprezza l'incertezza: è apertura al cambiamento. Gli obbiettivi mutano così come il nostro punto di vista. (TAO)
Torna alla pagina iniziale Aggiungi ai Preferiti Area Riservata Contatto
::: Testo | A- | A+ | A0 :::
   Pagina iniziale // Reti // Intrusion Detection Systems
::: Cambia visualizzazione ::: who am i? :::   

Intrusion Detection Systems

1 di 2 | >>

Spiegazione dei sistemi di intrusione e recensione dei prodotti migliori per prevenire attacchi dall'esterno..

Una intrusione è il tentativo di abusare di un sistema informatico da parte di qualcuno (hacker, cracker, etc...). Il termine "abuso" ha un significato abbastanza vasto e può riferirsi a una quantità di operazioni che vanno dalla sottrazione di dati confidenziali all’uso del sistema di email per fare dello spam: in ogni caso si tratta di un uso non autorizzato e spesso nocivo per chi lo subisce.

I Network Analyzer

I Network Analyzer sono dei dispositivi che si occupano di monitorare ed analizzare in tempo reale il traffico di rete, con finalità di individuazione di eventuali inosservanze arbitrarie alla policy, impostata dell’amministratore della sicurezza. Sono molti i tipi di network analyzer, detti anche in senso lato "network sniffer". La differenza intercorrente tra loro riguarda soprattutto la metodica di analisi e di reporting, nonché il tipo di traffico individuabile.

Gli Intrusion Detection Systems


L’incremento della connettività internet, ha generato un aumento degli attacchi in maniera proporzionale. Implementare dei sistemi capaci di determinare lo svolgersi di questi attacchi, possibilmente senza falsi allarmi, dando inoltre la possibilità all’amministratore di intervenire prontamente, costituisce l’attività di un’area particolare della ricerca sul networking, l’intrusion detection.

Gli IDS sono da considerarsi un’estensione dei network analyzer. Il loro incarico, infatti, é quello di registrare e segnalare le violazioni (anche sotto forma di tentativo) dei sistemi informativi.

Chiariamo subito una cosa: non si tratta di dispositivi di tipo perimetrale, in altre parole non costituiscono un sostituto di un firewall, di un proxy o di dispositivi della stessa natura. Gli IDS sono delle integrazioni ai firewall, che effettuano un controllo a livello interno, al di qua della rete.

Generalmente si opera una suddivisione degli Intrusion Detection Systems in due famiglie: la prima svolge principalmente opera di auditing, effettuando continue chiamate agli host collegati; la seconda, invece, opera in autonomia, osservando direttamente il traffico sulle reti, e passivamente operando il "solito" packet filtering. É possibile trovare in commercio dei prodotti che uniscano entrambe le metodiche.

L’opera di molti IDS è di tipo "automatic network attack recognition and response system". In pratica gli IDS vengono installati e fatti "girare" sulla totalità del network o su parti di esso, ove sussista l’esigenza di preservare le informazioni critiche.

Abbiamo detto che il monitoraggio del traffico di dati avviene generalmente sul flusso TCP/IP in transito su infrastrutture Ethernet Based (alcuni produttori si stanno attrezzando per supportare altre tipologie). L’IDS affianca quindi alle funzioni di semplice Network Analyzer quelle di riconoscimento degli attacchi, effettuato generalmente a mezzo di un controllo di firma, un po' come accade per gli antivirus. In pratica il sistema ha un database degli attacchi, che funge da termine di paragone con il traffico analizzato. Quando viene riconosciuto un attacco, l’Intrusion Detection System può immediatamente fermare il flusso di dati, impedendo che l’attacco provochi dei danni alla rete.

Un IDS che si rispetti deve, inoltre, consentire la registrazione della data, fonte e bersaglio dell’attacco, tipo dell’attacco stesso, nonché registrazione dell’attività intrapresa. Relativamente alla fonte dell’attacco, l’IDS deve implementare funzioni anti spoofing e features collegate. Questo si rivela di grande importanza soprattutto per la prevenzione degli attacchi DdoS (Denial of Service).

Il principio essenziale di funzionamento degli IDS si basa sulla tempestività di intervento. In pratica, una volta scoperto il tentativo di intrusione, il sistema deve avvertire il responsabile della sicurezza aziendale, il quale deve poter prendere, anche da remoto, le decisioni del caso. A tal fine molti IDS possono essere programmati per agire in maniera automatica in caso di intrusioni. E’ possibile che lo stesso sistema possa avvisare circa un attacco in corso, per esempio con un messaggio SMS o un avviso sul cercapersone del security administrator.

In ordine alla potenza di calcolo richiesta, riscontrabile in termini di rallentamento delle prestazioni di tutta la rete, un Intrusion Detection System deve poter consentire la massima rapidità di scansione, quindi la minima domanda in termini di tempi di latenza.

Nonostante ciò venga garantito dalla maggior parte dei produttori, le discussioni degli amministratori sul problema sono soprattutto imperniate su questo argomento.

Perché dotarsi di un IDS?


Se la maggior parte degli attacchi é di provenienza esterna, é pur vero, e inoppugnabile, che le risorse interne male amministrate e controllate possono costituire fonte di grossi problemi. Questo é il motivo principale per cui, a volte, non é sufficiente dotarsi di un firewall per limitare i danni.

Inoltre il firewall può spesso andare in crash o, peggio ancora, essere stato mal configurato. In questo caso é importante avere un prodotto di retroguardia che possa interagire con il sistema perimentrale.
Pagina 1 di 2 | Pag. successiva >>
::: Pagina iniziale ::: Torna all'inizio della pagina ::: Stampa la pagina ::: 
Valid HTML 4.01 Transitional Valid CSS!