Sicurezza  »  Articoli  »  Tecniche di sicurezza 

Non basta configurare correttamente i dispositivi hardware ed i software nella propria rete per stare tranquilli, sono molti i tentativi di intrusione che le nostre reti, aziendali e non, subiscono in maniera gratuita. Ovviamente, anche il miglior sistema di prevenzione delle intrusioni può fallire. La seconda linea di difesa consiste nella rilevazione degli accessi non legittimi. Alla luce di questo appare indispensabile usare un IDS (Intrusion Detection Systems): uno strumento capace di individuare automaticamente le intrusioni.

Cos'è e cosa fa un IDS

L'Intrusion Detection System è uno strumento, software o hardware, impiegato per individuare accessi non autorizzati ai computer oppure alle reti locali. Questi attacchi comprendono: gli attacchi alle reti informatiche attraverso lo sfruttamento di una vulnerabilità nota di un servizio, gli attacchi attraverso l'invio di dati malformati, i tentativi di accesso agli host tramite l'innalzamento illecito dei privilegi degli utenti, gli accessi non autorizzati ai file ed i classici programmi malevoli come virus, cavalli di troia (trojan) e worm di rete.

Evidentemente un buon IDS deve essere in grado di segnalarci le svariate intrusioni generate da cracker, da virus, da tools automatici oppure da utenti smanettoni che utilizzano programmini realizzati appositamente. Gli IDS rappresentano ormai una parte importante di qualsiasi architettura di network security fornendo un livello di difesa che monitorizza il traffico dati per evidenziare attività sospette e segnalare prontamente all'amministratore di sistema quando viene individuato del traffico potenzialmente pericoloso oppure un comportamento sospetto. Nonostante esistano una miriade di soluzioni, per il rilevamento delle intrusioni, fondamentalmente possiamo dividere questi strumenti in due sole categorie:

• Sistemi basati su regole;
• Sistemi adattativi.

Gli IDS della prima categoria sfruttano database, librerie e firme di attacco (o signature) per rilevare le intrusioni. In pratica, quando il traffico di rete oppure un'attività di rete, corrisponde ad una regola ben nota all'IDS questi segnala il tentativo di intrusione. Il limite principale di questo tipo di IDS è che l'affidabilità di tale strumento dipende interamente dalla tempestività con cui il database degli attacchi viene aggiornato. Il database deve essere aggiornatissimo ed anche molto completo. In realtà non sempre le regole sono efficienti, questo vuol dire che se una regola viene preparata in maniera troppo specifica, gli attacchi che sono simili, ma non identici alla regola, passeranno inosservati. La tecnica basata sulle firme è molto simile a quella usata per il rilevamento dei virus, che permette di bloccare i file infetti e si tratta della tecnica oggi più diffusa.

Il secondo tipo di IDS usa tecniche più avanzate, come il pattern recognition e l'intelligenza artificiale, non solo per riconoscere i diversi attacchi, ma anche per acquisirne di nuovi. Questi strumenti, molto potenti e affidabili, sono poco diffusi a causa dell'elevato costo, inoltre richiedono conoscenze matematiche e statistiche avanzate per il loro utilizzo, nonché computer molto performanti. Non dimenticate che l'IDS non cerca di bloccare le eventuali intrusioni, cosa che compete al firewall, ma tenta di rilevarle laddove si verifichino. Nel nostro excursus prenderemo in esame generalmente i sistemi basati su regole dato che il secondo tipo di IDS è diffuso solo nell'ambiente della ricerca.

Altri articoli

Altre guide

Altre newsletter