 |
ItLabs |
 |
|
|
|
Archivio ItLabs |
|
|
|
 |
 |
 |
|
Abbiamo
provato
per voi... |
|
|
|
 |
|
 |
|
Dizionario |
|
|
|
|
|
|
|
|
| |
| Cisco
Secure Ids 4210 Sensor Version 2.5 |
| Giugno
2001 |
| |
|
|
Tra
i prodotti in prova, questo è risultato essere il più
"classico", in quanto si tratta di un "puro" Network
Intrusion Detection System, composto da un sensore dedicato gestito
da un cuore Solaris e un hardware Celeron. Il sensore ci è
giunto, a dire il vero, con uno chassis un po' più "spartano"
rispetto a quello raffigurato in foto; può essere controllato
in due maniere, fruendo, cioè, di Cisco Secure IDS Director
o da CSPM (Cisco Secure Policy Manager). Il laboratorio si è
orientato verso questa seconda possibiltà.
La configurazione che abbiamo scelto nella prova è stata di
tipo front firewall, cioè tra il router e la protezione perimetrale.
Consci della circostanza, infatti, che non avremmo intercettato il
traffico locale, abbiamo posizionato le macchine di attacco nello
stesso troncone, mentre l'interfaccia di controllo (o
management che dir si voglia) era su un'altra sottorete. L'IDS esaminato
è in grado di riconfigurare, in caso di attacco, le ACL (Access
Control List) del router o le regole di Cisco Pix Firewall. Per far
ciò, per esempio sul router, bisogna abilitare il servizio
Telnet e configurare i device in dipendenza della registrazione degli
eventi syslog.
Nello scegliere di gestire il sensore via CSPM bisogna mettere in
conto alcune ore in più dedicate all'installazione e al tuning
della combinazione. In questo caso, infatti, Cisco Secure Ids si è
dimostrato essere il più farraginoso, sia dal punto di vista
dell'implementazione sia della configurazione del tool di gestione.
Quest'ultimo, inoltre, ci ha creato non pochi problemi prima di stabilire
la connessione definitiva con il sensore.
Dal canto suo, l'uso di CSPM si rivela un must nel caso di ambienti
già fortemente basati su dispositivi Cisco. Il risultato principale,
infatti, è quello di avere tutto sotto controllo. Chi lavora
in ambienti fortemente distribuiti sa quanto ciò sia importante.
La procedura di configurazione è comunque "allegerita"
dall'impiego di alcuni wizard, in grado di orientare l'utente nelle
operazioni più importanti. È proprio questo tool che
ci ha favorevolmente colpito, più degli altri, specie nelle
operazioni di discovery e di segnalazione errori. Quello che bisogna
ricordare, in sede di installazione, è di porre particolare
cura nel setup di Post Office, responsabile dello smistamento degli
allarmi in caso di violazione in atto, nonché di altre notifiche
relative al funzionamento del dispositivo.
L'installazione di questo mailer nel contesto in esame si è
rivelata essere un esempio emblematico di quanto importante sia la
lettura della documentazione prima dell'effettuazione del setup. Il
manuale, infatti, è molto chiaro soprattutto in ordine alla
configurazione del path di installazione, cosa che può compromettere
il funzionamento di tutto l'impianto.
La reazione alla fase di penetration test è stata conforme
alle aspettative, mentre a nostro parere sarebbe auspicabile un miglioramento
della parte di reporting, non adeguata al livello degli altri prodotti
che abbiamo testato.
In definitiva, Cisco Secure IDS è un prodotto che vede la sua
collocazione ideale in un ambiente già fortemente connotato
come Cisco based, mentre potrebbe essere utile valutare delle alternative
in caso di strutture maggiormente eterogenee. L'utilizzo di CSPM non
è proprio alla portata di tutti, la qual cosa potrebbe obbligare
il cliente ad affidarsi ai servizi di installazione e gestione predisposti
dal vendor, i cui delegati, peraltro, sono stati molto disponibili
nel coadiuvarci nella fase di troubleshooting.
Tabella
|
|
|
|
|
|
