 |
ItLabs |
 |
|
|
|
Archivio ItLabs |
|
|
|
 |
 |
 |
|
Abbiamo
provato
per voi... |
|
|
|
 |
|
 |
|
Dizionario |
|
|
|
|
|
|
|
|
| |
| La
metodologia |
| Giugno
2001 |
| |
|
|
La
nostra attenzione si è particolarmente concentrata su tre fattori:
oltre alle capacità di detection, ovviamente, sono state analizzate
le feature di configurazione e management, nonché di logging.
Abbiamo deciso di individuare queste tre macrocategorie, perche riteniamo
che l'impiego primario di un IDS sia principalmente di forensics support,
oltre che per l'individuazione degli attacchi e l'adeguata risposta.
Per quanto riguarda il test di riconoscimento attacchi, abbiamo impiegato
una soluzione mista di strumenti di penetration test ed exploit reperiti
in comunità. Abbiamo inoltre utilizzato dei tool di information
gathering, cioè finalizzati all'attività ricognitiva
sulle macchine destinate a essere protette.
Le impressioni globali sui dispositivi testati sono positive riguardo
ai test di penetrazione convenzionali, ma è proprio sulla fase
di information gathering che non si è avuto il feedback che
ci si aspettava. Con le configurazioni di default, infatti, sono stati
riconosciuti dei portscanning davvero elementari, mentre altri hanno
richiesto un'opera di configurazione approfondita dello strumento.
Proprio qui abbiamo avvertito le differenze più importanti.
Quasi tutti gli IDS hanno più o meno la possibilità
di "modellare" le policy su determinate signature di attacco,
ma non tutte le soluzioni testate hanno dimostrato di avere la stessa
flessibilità. Sotto questo punto di vista è stata la
soluzione di Symantec/ Axent ad averci favorevolmente impressionato,
sopperendo in questo modo alla complessità di altre sue caratteristiche.
Dal punto di vista generale, in linea con i princIpi delle prove di
www.netstime.com e di It Labs, in questo test non eleggiamo il "migliore"
IDS,
in quanto, come per gli antivirus, non esiste la possibilità
pratica di decretare una vittoria del genere. Per questo in ogni articolo
descrittivo del prodotto abbiamo individuato un punto di maggior forza
da opporre alle eventuali possibliità di miglioramento. Rimandiamo
poi alla tabella per le caratteristiche principali di ciascun prodotto.
Un'altra domanda che ci siamo posti è: NIDS, HIDS, Hybrid or
Agent model? Per cercare di dare una risposta abbiamo scelto una gamma
di prodotti eterogenea, ognuno aderente a un paradigma diverso. A
tal proposito, uno dei nostri obiettivi è, una volta individuato
il modello cui aderire, aiutare il lettore nell'analisi iniziale della
metodica con la quale il modello stesso viene seguito. |
|
|
|
|
|
