 |
ItLabs |
 |
|
|
|
Archivio ItLabs |
|
|
|
 |
 |
 |
|
Abbiamo
provato
per voi... |
|
|
|
 |
|
 |
|
Dizionario |
|
|
|
|
|
|
|
|
| |
| Controllo
e reazione alle intrusioni con 3 IDS |
| Giugno
2001 |
| Simulando
attacchi, abbiamo verificato le capacità di rilevamento e risposta.
Spiccano le differenze nelle funzioni di logging. |
|
|
Gli
IDS (Intrusion Detection System) sono stati creati per registrare
e segnalare le violazioni, sia in atto sia tentate. Non sostituiscono,
quindi, i firewall ma li integrano.
Nel caso specifico il monitoraggio del traffico di dati avviene generalmente
sul flusso TCP/ IP in transito. L'IDS, quindi, affianca alle funzioni
del semplice network analyzer quelle di riconoscimento degli attacchi,
effettuato generalmente a mezzo di un controllo di firma, un po' come
accade per gli antivirus. In pratica, il sistema ha un database degli
attacchi, che funge da termine di paragone con il traffico analizzato.
Quando viene riconosciuto un attacco, l'intrusion detection system
può fermare il flusso di dati, impedendo che l'attacco provochi
dei danni alla rete. La prima distinzione che viene effettuata è
in ordine al momento dell'analisi. Negli IDS di tipo "audit based",
le informazioni vengono prima acquisite e poi processate in un secondo
momento. In pratica si opera in "batch mode". Una categoria
di IDS abbastanza utilizzata è quella degli "inline IDS".
Questi ultimi maniera "fluida", le trasmettono a un motore
centrale che le analizza effettuando le opportune correlazioni. Da
un lato, questo approccio è più rapido nell'attuazione
delle contromisure; può, tuttavia, a causa di impostazioni
errate, generare dei falsi allarmi. In questo caso si è legati
alle prestazioni. Non bisogna, tuttavia, lasciarsi ingannare da questo
fattore: esiste una certa differenza tra il concetto di rapidità
di analisi e quello di real time.
|
|
|
|
|
|
