IPS e IDS - IPS e IDS PDF

Preview

Summary

IPS e IDS...

Description

IDS (Intrusion Detection Systems) Cos’è? IDS (Intrusion Detection System) è un dispositivo hardware o software utilizzato per identificare accessi non autorizzati ai computer o alle reti locali. Un esempio di IDS è Snort. Rappresenta il sistema d’allarme di una rete che vuole proteggersi da sola. Funzionamento Un IDS analizza i pacchetti e li confronta con delle regole conservate in un database. In caso le regole non sono rispettate, viene generato un alert (allarme) e i dettagli vengono scritti nei log. Gli attacchi individuabili sono: servizi vulnerabili, dati malformati o applicazioni malevole, accessi illeciti, virus, trojan, worm. Quando trovano un intrusione, gli IDS possono approcciarsi in due modi: ● Passivi: notificano all’operatore tramite la console ed eventualmente gli inviano una email. ● Attivi: prendono delle opportune contromisure per gestire la violazione. I principali venditori sono: cisco, iss, axent, ecc. Operazioni svolte Analizzano gli attacchi in tempo reale tramite gli eventi in base a specifici parametri(attacco conosciuto, evento non permesso, ecc). Tipologie ● Network Intrusion Detection system ● Host intrusion Detection System ● Distribuited (o Hybrid) Intrusion detection System Componenti ● Sensori: ricevono informazioni sulla rete. ● Console: monitorano lo stato della rete. ● Motore: analizza i dati prelevati dai sensor. ● Database: sono memorizzate le regole per identificare le violazioni. Usualmente sono analizzati i log di sistema, l’integrità dei file locali ed i pacchetti destinati agli host della rete. Tecniche di rilevamento Ci sono due principali tecniche di rilevamento: ● Misure Detection: identifica le intrusioni ricercando pattern nel traffico di rete o nei dati generati dalle applicazioni. Codifica e confronta una serie di caratteristici delle varie tipologie di scenari conosciuti. ○ Vantaggi: produce pochi falsi positivi ed è affidabile ○ Svantaggi: i pattern di intrusione devono essere inseriti manualmente e non può rilevare gli attacchi 0-day. ● Anomaly Detection: analizza il sistema alla ricerca di anomalie. Vengono realizzati dei profili dell’utilizzo normale del sistema ricavati da misure statistiche ed euristiche sulle caratteristiche dello stesso. Stila una serie di regole che definiscono lo stato normale del sistema.

○ ○

Vantaggi: è molto flessibile ed è in grado di migliorarsi da solo. Svantaggi: selezione delle caratteristiche del sistema da adottare. Spesso il monitoraggio è molto pesante da controllare.

NIDS Network Intrusion Detection system: analizzano il traffico di uno o più segmenti di una Lan. Utilizzano delle sonde(sensori) che comunicano con un server(motore) che si appoggia al database. Sopperiscono alla mancanze di un firewall: analizza anche il traffici che il fw non blocca, risolvendo anche errori di configurazione del fw stesso. Si basano su due logiche: Pattern Matching e Anomaly Detection. L’implementazione dei sensori è molto complessa poichè devono essere apparire trasparenti sulla rete (attuano la funzione di sniffing). Richiedono un’operazione di stima del traffico nei vari segmenti. Usualmente sono posizionati in punti strategici: punti di passaggio( router, gateway), punti vulnerabili(server web, servizi esposti all’esterno) ed in punti sensibili della rete(DB aziendale, servers interni). Vantaggi: ● sono difficili da rilevare. ● evidenziano errori nella configurazione ed eventuali vulnerabilità. ● permettono di monitorare il comportamento degli utenti. ● rilevano eventuali attacchi provenienti dalla rete interna. Svantaggi: ● non sostituiscono lo staff di sicurezza. ● non analizzano informazioni criptate. ● se si incrementa il numero delle firme, l’efficienza del NIDS viene ridotta. ● richiedono notevoli risorse in termini di spazio. IPS A differenza deI NIDS, operano su livelli diversi sulla pilo ISO/OSI (livello 4 per i DOS e livello 7 per le malformazioni di dati), per il resto funzionano allo stesso modo. Ci sono diversi tipi: ● Host Based IPS: sono strumenti installati su di una macchina e hanno lo scopo di proteggere il pc interessato. Integrano funzioni di fw, sandboxing, ecc. Sono usati per la protezione di macchine mobile. ● Network IPS: simili ai NIDS ma con la possibilità di controllare attacchi su più fronti. ● Content Based IPS: controllo sul confronto del traffico con i parametri di determinati attacchi ● Protocol Analisys: controllo sull’analisi dei protocolli di rete individuando violazioni. ● Rate Based IPS: viene posta particolare attenzione sull’analisi di determinati tipi di protocolli e sul loro carico di dati. Produce un’enorme quantità di falsi positivi. HIDS Hanno sensori che sono: ● posizionati su host della rete ● moduli del sistema residente della macchina ● analizzano in tempo reale diverse funzioni(log, attivita utenti, ecc) Hanno un comportamento simile agli antivirus, ma agiscono in tre differenti approcci: ● isolamento: isolano la risorsa attaccata ● notifica: notificano l’attacco(senza agire)

●

riavvio: riavviano il sistema(provvedimento esterno)

DHIDS Uniscono ed integrano le peculiarità e gli approcci di : NIDS e HIDS. Permettono una versione globale ed approfondita delle attività all’interno di un sistema....