NIDS (Network Intrusion Detection System) e NIPS (Network Intrusion Prevention System)

author
5 minutes, 11 seconds Read
X

Privacy & Cookie

Questo sito utilizza i cookie. Continuando, accetti il loro utilizzo. Ulteriori informazioni, tra cui come controllare i cookie.

Capito!

Pubblicità

NIDS e NIPS (Behavior based, signature based, anomaly based, euristic)

Un sistema di rilevamento delle intrusioni (IDS) è un software che gira su un server o un dispositivo di rete per monitorare e monitorare l’attività di rete. Utilizzando un IDS, un amministratore di rete può configurare il sistema per monitorare l’attività di rete per comportamenti sospetti che possono indicare tentativi di accesso non autorizzati. Gli IDS possono essere configurati per valutare i log di sistema, esaminare le attività di rete sospette e disconnettere le sessioni che sembrano violare le impostazioni di sicurezza.

IDSS può essere venduto con firewall. I firewall da soli prevengono molti attacchi comuni, ma di solito non hanno l’intelligenza o le capacità di reporting per monitorare l’intera rete. Un IDS, in combinazione con un firewall, consente sia una postura reattiva con il firewall che una postura preventiva con l’IDS.

In risposta a un evento, gli ID possono reagire disabilitando i sistemi, chiudendo le porte, terminando le sessioni, l’inganno (reindirizzamento a honeypot) e persino potenzialmente chiudendo la rete. Un ID basato sulla rete che adotta misure attive per arrestare o prevenire un’intrusione è chiamato Network Intrusion Prevention System (NIPS). Quando si opera in questa modalità, sono considerati sistemi attivi.

I sistemi di rilevamento passivo registrano l’evento e si affidano alle notifiche per avvisare gli amministratori di un’intrusione. Evitare o ignorare un attacco è un esempio di risposta passiva, in cui un attacco non valido può essere ignorato in modo sicuro. Uno svantaggio dei sistemi passivi è il ritardo tra il rilevamento delle intrusioni e le eventuali misure di bonifica adottate dall’amministratore.

I sistemi di prevenzione delle intrusioni (IPS) come IDSS seguono lo stesso processo di raccolta e identificazione di dati e comportamenti, con l’aggiunta della capacità di bloccare (prevenire) l’attività.

Un ID basato sulla rete esamina i pattern di rete, come un numero insolito o richieste destinate a un particolare server o servizio, come un server FTP. I sistemi ID di rete dovrebbero essere posizionati il più in anticipo possibile, ad esempio sul firewall, su un rubinetto di rete, su una porta span o su un hub, per monitorare il traffico esterno. I sistemi ID host, d’altra parte, sono posizionati su singoli host dove possono monitorare in modo più efficiente gli eventi generati internamente.

L’utilizzo di ID di rete e host migliora la sicurezza dell’ambiente.

Snort è un esempio di un sistema di rilevamento e prevenzione delle intrusioni di rete. Conduce analisi del traffico e la registrazione dei pacchetti su reti IP. Snort utilizza un linguaggio flessibile basato su regole per descrivere il traffico che dovrebbe raccogliere o passare e un motore di rilevamento modulare.

Network based intrusion detection tenta di identificare comportamenti non autorizzati, illeciti e anomali basati esclusivamente sul traffico di rete. Utilizzando i dati acquisiti, gli ID di rete elaborano e segnalano qualsiasi traffico sospetto. A differenza di un sistema di prevenzione delle intrusioni, un sistema di rilevamento delle intrusioni non blocca attivamente il traffico di rete. Il ruolo di un ID di rete è passivo, solo la raccolta, l’identificazione, la registrazione e l’avviso.

Host based Intrusion Detection System (HIDS) tenta di identificare comportamenti non autorizzati, illeciti e anomali su un dispositivo specifico. HIDS generalmente coinvolge un agente installato su ogni sistema, il monitoraggio e l’avviso sul sistema operativo locale e l’attività dell’applicazione. L’agente installato utilizza una combinazione di firme, regole ed euristiche per identificare attività non autorizzate. Il ruolo di un ID host è passivo, solo raccolta, identificazione, registrazione e avviso. Tripwire è un esempio di un HIDS.

Al momento non esistono standard aperti completamente maturi per ID. L’Internet Engineering Task Force (Internetf) è l’organismo che sviluppa nuovi standard Internet. Hanno un gruppo di lavoro per sviluppare un formato comune per gli avvisi IDS.

I seguenti tipi di metodologie di monitoraggio possono essere utilizzati per rilevare intrusioni e comportamenti dannosi: firma, anomalia, monitoraggio euristico e basato su regole.

Un ID basato sulla firma monitora i pacchetti sulla rete e li confronta con un database di firme o attributi provenienti da minacce malevoli note. Questo è simile al modo in cui la maggior parte dei software antivirus rileva il malware. Il problema è che ci sarà un ritardo tra una nuova minaccia che viene scoperta in natura e la firma per rilevare che la minaccia viene applicata ai tuoi ID.

Una firma ID di rete è un modello che vogliamo cercare nel traffico. Le firme vanno da un controllo molto semplice del valore di un campo di intestazione a firme molto complesse che possono effettivamente tracciare lo stato di una connessione o eseguire un’analisi approfondita del protocollo.

Un IDS basato su anomalie esamina il traffico, l’attività, le transazioni o il comportamento in corso alla ricerca di anomalie (cose al di fuori della norma) su reti o sistemi che potrebbero indicare un attacco. Un IDS basato su anomalie monitorerà il traffico di rete e lo confronterà con una linea di base stabilita. La linea di base identificherà ciò che è “normale” per quella rete, quale tipo di larghezza di banda viene generalmente utilizzata, quali protocolli vengono utilizzati, quali porte e dispositivi generalmente si connettono tra loro e avvisano l’amministratore quando viene rilevato traffico anomalo rispetto alla linea di base.

Un monitoraggio della sicurezza basato su euristica utilizza un database iniziale di tipi di attacco noti, ma altera dinamicamente le loro firme in base al comportamento appreso del traffico di rete. Un sistema euristico utilizza algoritmi per analizzare il traffico che passa attraverso la rete. I sistemi euristici richiedono una maggiore messa a punto per evitare falsi positivi nella rete.

Un sistema basato sul comportamento cerca variazioni nel comportamento come traffico insolitamente elevato, violazioni delle policy e così via. Cercando deviazioni nel comportamento, è in grado di riconoscere potenziali minacce e rispondere rapidamente.
Analogamente alle regole di controllo degli accessi firewall, un sistema di monitoraggio della sicurezza basato su regole si basa sull’amministratore per creare regole e determinare le azioni da intraprendere quando tali regole vengono trasgredite.

• http://netsecurity.about.com/cs/hackertools/a/aa030504.htm
• http://www.sans.org/security-resources/idfaq/
• CompTIA Security + Guida allo studio: Esame SY0-301, Quinta edizione di Emmett Dulaney

http://neokobo.blogspot.com/2012/01/118-nids-and-nips.html

Pubblicità

Similar Posts

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.