Logo principale
La vocazione discende come pioggia su di noi e dal basso risale in vapore per congiungersi all'alto. (TAO)
Torna alla pagina iniziale Aggiungi ai Preferiti Area Riservata Contatto
::: Testo | A- | A+ | A0 :::
   Pagina iniziale // Reti // Intrusion Detection Systems
::: Cambia visualizzazione ::: who am i? :::   

Intrusion Detection Systems

<< | 2 di 2

Spiegazione dei sistemi di intrusione e recensione dei prodotti migliori per prevenire attacchi dall'esterno..

I prodotti più noti


Abbiamo introdotto gli Intrusion Detection Systems come delle estensioni dei
normali network analyzers, o meglio come delle soluzioni che consentono il
costante monitoraggio della rete, al fine di identificare particolari tipologie
di attacchi, eventuali operazioni sospette, nonché violazioni alle policy di
sicurezza implementate.



CyberCop
é un IDS recentemente rilasciato da Network Associates.



L’installazione di CyberCop non richiede alcuna riconfigurazione della rete, né
l’aggiunta di plug in. Come gli altri IDS, CyberCop costuisce uno strato di
software aggiuntivo che opera monitorando le porte ed i servizi abilitati dal
firewall.



CyberCop si compone di due elementi: il Management server ed i sensori. Questi
ultimi vengono collocati sui punti strategici della rete e colloquiano con il
management server, comunicandogli tutti gli eventi sospetti. Questi eventi sono
inquadrati secondo un set di 170 attacchi differenti. Uno dei progettisti di
CyberCop é lo stesso di SATAN, uno dei tool di auditing più noti,
disponibile in public domain, forse ancora per poco. I commerciali di Network
Associates affermano che ciò rappresenta il vero valore aggiunto di CyberCop.



In caso di tentativo di accesso, il management server avvisa in tempo reale
l’amministratore della sicurezza, con un report dettagliato dell’accaduto. I
progettisti ritengono che CyberCop può in soli dieci minuti cristallizzare la
situazione e dare l’input al security manager per i provvedimenti del caso. La
gestione della configurazione di CyberCop, così come la ricetrasmissione dei
rapporti di intrusion detection, può avvenire da remoto con una connessione
crittografata che parte soltanto previa autenticazione dei soggetti.



Naturalmente tutto il traffico monitorato viene memorizzato su log files, che in
qualsiasi momento possono essere consultati dal security manager, sia per
tracciare gli attacchi sia per un successivo step in sede giudiziaria.



La configurazione e il posizionamento dei sensori sono semplificati da un set di
installazione pre configurato, il quale consente di facilitare le operazioni e
di limitare le falle.



Bro
é un real time Intrusion Detection System, studiato e sviluppato da Vern
Parxon e da altri esperti del Network Research Group dell’ Università di Berkley.



Il codice sorgente di Bro é disponibile public domain; anche per questo motivo,
si può affermare che il principio su cui si basa Bro é di stampo decisamente
accademico. Con un’interfaccia spartana, indicante un’attenzione maggiore data
alla sostanza più che alla GUI, Bro basa la sua operatività sulla velocità di
scansione (Fddi Rate), notifica in real time delle violazioni, nonché chiara
separazione tra l’engine, la policy impostata e le opzioni di estensibilità.



Bro é suddiviso in varie componenti: l’"event engine" la cui attività consiste
nella traduzione del traffico intercettato a livello kernel in eventi di alto
livello, e il "policy script interpreter" che si occupa di definire la policy
impostata, sempre a mezzo di determinate istruzioni scritte in un linguaggio
proprietario. In questo modo, l’amministratore può utilizzare la granularità di
questo IDS per adattare il sistema alle sue esigenze. I servizi monitorati in
maniera prioritaria da Bro sono: Finger, FTP e il Telnet; inoltre la funzione
Portmapper di questa soluzione consente di controllare anche l’attività sulle
singole porte.



Iss Realsicure
per Windows NT 4.0 di Internet Security Systems é uno degli
IDS più conosciuti e venduti sul mercato. Naturalmente non é detto che sia uno
dei migliori ma, per le ragioni che andremo a descrivere di seguito, é da
considerarsi sicuramente valido.



Il principio operativo di base é quello comune agli altri IDS: monitoraggio del
traffico in transito e confronto delle attività con il pattern in dotazione. In
caso di matching con quest’ultimo, spedizione dell’alert ed eventuali
contromisure automatiche.



L’attività sospetta, documentata con le notizie relative alla cronologia
dell’attacco, sorgente e destinazione, più altri dati a scelta, può essere
gestita in maniera estremamente dinamica.



Il monitoraggio del traffico é soprattutto di packet filtering: é possibile,
infatti, configurare RealSecure per controllare il traffico TCP/IP in tutte le
sue accezioni (TCP, UDP, ICMP), porte di partenza e destinazione, Ip address
eccetera. Inoltre é possibile controllare il traffico in base ai servizi
utilizzati, anche perché il pattern degli attacchi segue, soprattutto, questa
ripartizione schematica.



La filosofia che hanno seguito i progettisti di Iss é la seguente: partendo
dall’assunto che gran parte degli attacchi proviene dall’interno,
l’amministratore ha bisogno di un prodotto che controlli tutto il traffico (non
solo quello consentito dal sistema di sicurezza perimetrale). Circa l’attività
consentita dal firewall, inoltre, é indispensabile un controllo anche su quest’ultima,
in quanto, come poc’anzi ribadito, anche un utente autorizzato può "bucare" un
sistema.



Per quanto sopra, la politica di sicurezza impostata da RealSicure ha i seguenti
obiettivi:



  • Controllare ed identificare a priori chi può accedere al sistema e chi no;

  • Quali protocolli e/o servizi sono consentiti;

  • Quali nuovi host sono aggiunti alla rete e quali sono i relativi diritti
    di "colloquio" con il resto dell’infrastruttura.


Partendo da questi presupposti, sono state sviluppate in RealSicure una serie
di features, finalizzate, a dire di Iss, alla massima facilitazione del lavoro
dell’administrator, nonché alla massima flessibiltà di utilizzo.


Le polemiche sull’efficacia degli IDS


Quanto un IDS può influire sulle prestazioni di una rete? E quanto é
realmente efficace? Sono queste le domande che maggiormente si pone il
management. In ordine alle richieste di calcolo e di banda bisogna tener
presente innanzitutto due particolari: la gestione della centrale e del
management devono essere possibile da macchine dedicate. Per questo scopo, per
esempio, RealSecure Engine richiede come minimo un P 200 MHz , 32 Mb di Ram, 100
Mb minimo di spazio su disco per i log files ed i database, 10 Mb per il
software e una Nic Ethernet che operi in modalità promiscua. Una console di
gestione remota, invece, richiede, in caso di IDS funzionanti su sistemi Intel,
un P 200, 32 Mb di Ram e 100 Mb di spazio su disco per ogni motore di scansione
che gestisce. A parte le previsioni delle case produttrici di questi sistemi
circa le risorse minime, un altro fattore da considerare è: con l’avvento (per
ora forse un pò lontano) di topologie del tipo GigaBit Ethernet e così via,
sistemi di questo genere non costituiranno mica un collo di bottiglia? La
domanda é evidentemente retorica, ma non troppo.



Relativamente alla concreta utilità degi IDS, due noti esperti di sicurezza
americani, Thomas T Ptacek e Thimoty N Newsham, hanno recentemente sollevato una
polemica circa la reale efficacia degli Intrusion Detection Systems.



Sono molti i punti "deboli" di questi tipi di dispositivo, secondo questi
studiosi .Tuttavia la maggior parte di questi "talloni d’Achille" risiede nei
modelli di analisi.



Vengono infatti presi in considerazione gli IDS "troppo basati" sul metodo della
Signature Analisys detta anche "misuse detection". Viene infatti obiettato che,
spesso, vengono implementate policy troppo rigide e vincolate al mero signature
matching, in pratica troppo basate su monitoring passivo. Queste possono
portare, se si commettono errori in sede di configurazione, anche ad una raffica
di falsi allarmi, specialmente quando si usano determinati servizi. A tal fine i
due studiosi, che si dichiarano più vicini ad impostazioni di tipo active proxy
monitoring, richiedono la massima granularità degli IDS basati su questa
metodica. Una cosa va però puntualizzata: come più volte viene ribadito dagli
attori di questa costruttiva discussione, evidenziare delle potenziali falle nel
modello di analisi ed operativo di un Intrusion Detection System, non significa
etichettare questi dispositivi come irrimediabilmente insicuri, anzi. Si tratta
di evidenziare una serie di miglioramenti da apportare a prodotti il cui scopo é
realmente interessante, al fine di rendere questi sistemi i più sicuri
possibili.


Conclusioni


Gli analisti ritengono che l’attuale status tecnologico degli Intrusion
detection Systems sia assimilabile a quello dei firewall di alcuni anni fa,
alcuni paragonano gli IDS, viste anche le metodiche di approccio al problema, ai
primi antivirus, con tutti i problemi che essi avevano tempo addietro. Forse, e
lo sottolineiamo, le soluzioni in commercio sono ancora “immature”. Tuttavia é
da ritenersi che prodotti come quelli che abbiamo citato in questo articolo,
possano dire la loro, autorevolmente, entro poco tempo, se non addirittura
diventare dei punti di riferimento.


Chi abusa del mio sistema?


Fondamentalmente esistono due termini che definiscono gli intrusi di un
sistema informatico: hacker e cracker.



Il termine hacker, di cui spesso i media hanno abusato ultimamente, indica colui
che entra nei sistemi altrui per divertimento, studio, curiosità o semplicemente
per dimostrare di essere in grado di farlo. Nella maggior parte dei casi
l’hacker non causa danni al sistema vittima anzi, non sono rari i casi in cui
l’hacker descrive agli amministratori dei sistemi violati le tecniche utilizzate
e i modi per chiudere i buchi utilizzati. L’intrusione da parte di un hacker è
difficile da rilevare e un bravo hacker può rimanere nascosto e in ascolto in un
sistema vittima per settimane se non mesi prima di essere scovato.



Il termine cracker, invece, indica colui che viola i sistemi informatici con
l’intento ben preciso di provocare un danno (economico, d’immagine, etc...).
Esempi classici sono le sostituzioni di pagine web.



Un’altra distinzione da fare è quella fra intrusi esterni ed interni.



  1. Outsiders: sono coloro che operano dall’esterno del network che
    intendono attaccare. Normalmente gli attacchi portati da queste persone sono
    limitati alle macchine periferiche del network (web server, mail servers, news
    servers, etc...).

  2. Insiders: sono coloro che sono autorizzati all’uso della rete e che
    cercano di abusarne. Un tipico esempio è quello di un dipendente che ha
    diritti limitati e che tenta di acquisire privilegi amministrativi. Le
    statistiche indicano che gli attacchi interni ammontano all’80% del totale e
    spesso i danni provocati sono maggiori.


IDS Tools (Link esterni in inglese)



Vulnerability Scanner Tools (Link esterni in inglese)


<< Pag. precedente | Pagina 2 di 2

Articolo visitato 1138 volte e votato 13 volte (media: 4.0000 su 5)

Voto:
Un commento:
(facoltativo)
::: Pagina iniziale ::: Torna all'inizio della pagina ::: Stampa la pagina ::: 
Valid HTML 4.01 Transitional Valid CSS!