Capitolo 9. Intrusion Detection

Una proprietà di valore, necessita di essere protetta da un possibile furto o danneggiamento. Alcune case sono equipaggiate con sistemi d'allarme capaci di dissuadere potenziali ladri, e anchein grado di notificare l'avvenuta rapina alle autorità competenti. Alcuni di questi sistemi, hanno anche la capacità di avvertire i residenti di un possibile principio d'incendio. Tali misure sono necessarie per assicurare l'integrità delle residenze e dei loro proprietari.

La stessa precauzione dovrebbe essere applicata anche su sistemi di elaborazione e dati. L'avvento di Internet ha facilitato il flusso delle informazioni, siano esse personali che finanziarie. Allo stesso tempo però, ha comportato un aumento dei pericoli. Utenti malizionsi, vanno alla ricerca di obbiettivi sempre più vulnerabili come ad esempio i sistemi 'unpatched', reti che eseguono programmi non sicuri e sistemi infetti da virus del tipo trojan. Gli allarmi sono necessari per notificare agli amministratori e ai membri del team di sicurezza, che è in corso un tentativo di violazione del sistema. In questo modo essi possono rispondere alla minaccia in tempo reale. Intrusion detection systemsono stati concepiti come sistemi di allerta.

9.1. Definizione dell'Intrusion Detection System

Un intrusion detection system (IDS) è un processo attivo o un dispositivo, capace di analizzare le attività di rete e del sistema riguardante una entry non autorizzata e/o attività maliziosa. Il modo con il quale un IDS rileva le anomalie può variare, tuttavia lo scopo principale di qualsiasi IDS, è quello di neutralizzare l'aggressore prima che egli possa recare danni alle vostre risorse.

Un IDS protegge il sistema da attacchi, usi inpropri e compromissioni. Tali sistemi sono in grado di monitorare l'attività di una rete, rivedere le configurazioni del sistema e della rete in caso di presenza di punti deboli, analizzare l'integrità dei dati, e molto altro. A seconda del metodo di rilevazione scelto, si possono ottenere dei benefici diretti o indiretti nell'uso di un IDS.

9.1.1. Tipi di IDS

La comprensione di un IDS e le funzioni che esso è in grado di fornire, rappresenta il segreto per determinare il tipo più idoneo da implementare nella policy di sicurezza del vostro computer. Questa sezione affronta i concetti inerenti i sistemi IDS, le loro funzionalità e la presenza di IDS ibridi che usano diverse tecniche e tool di rilevazione presenti in un solopacchetto.

Alcuni sistemi IDS sono basati sulla conoscenza, tale caratteristica allerta gli amministratori responsabili della sicurezza del sistema, prima del verificarsi di una intrusione, usando un database di attacchi comuni. In alternativa ci sono IDS detti di condotta che seguono l'uso di tutte le risorse, alla ricerca di anomalie. Tali anomalie generalmente celano la presenza di attività illecita. Alcuni IDS sono servizi autonomi o 'standalone' ed hanno un funzionamento passivo di ascolto dell'attività, registrando qualsiasi pacchetto sospetto proveniente dall'esterno. Altri combinano strumenti di sistema tradizionali, configurazioni modificate, e registrazioni del tipo 'verbose', con l'esperienza e l'intuizione dell'amministratore, in modo tale da ottenere un kit di rilevazione potente ed efficace. La valutazione delle svariate tecniche di rilevazione d'intrusione, può facilitare la scelta di quella più idonea alla vostra organizzazione.