Come funzionano i sistemi di rilevamento delle intrusioni (IDS)? A quanto ho capito, monitorano il traffico di rete, ma cosa cercano esattamente? Come possono distinguere l'attività regolare dalle intrusioni?
Come funzionano i sistemi di rilevamento delle intrusioni (IDS)? A quanto ho capito, monitorano il traffico di rete, ma cosa cercano esattamente? Come possono distinguere l'attività regolare dalle intrusioni?
Di solito hai due tipi di IDS, basati sulla rete e basati su host, e questi possono essere tipi di risposta statistica o di firma.
ID firma sono semplici, veloci e possono essere aggiornati facilmente. Di solito i venditori forniscono file di firma, in modo simile al modo in cui i fornitori di anti-virus forniscono le firme dei virus. Per questo motivo la maggior parte degli IDS usa il riconoscimento delle firme. Lo svantaggio è che non identificheranno un nuovo attacco a meno che non abbia una firma che corrisponde a un attacco esistente.
IDS statistici o euristici scopri come si presenta il traffico "buono" o normale e avvisa su tutto ciò che non è normale. Ciò significa che sono molto più bravi a individuare nuovi attacchi, ma richiede periodi di apprendimento inizialmente installati e regolarmente sull'implementazione di nuovi server, servizi e quando sono previsti nuovi tipi di traffico o volumi.
Gli IDS di rete di solito vengono implementati al perimetro di un'organizzazione e hanno visibilità di tutto il traffico che entra (e talvolta esce) dall'organizzazione. Se il traffico ha indicazioni che potrebbe essere dannoso, viene registrato o contrassegnato su un sistema o una persona di risposta.
Per una grande organizzazione, la quantità di diversi tipi di traffico validi può essere molto elevata e i tipi di traffico possono variare nel tempo, pertanto la configurazione e la messa a punto di un IDS basato su una rete perimetrale possono richiedere molte risorse. Per questo motivo, la maggior parte delle grandi aziende la esternalizza ai fornitori che forniscono il servizio a molte organizzazioni. Questi venditori hanno una migliore visibilità degli attacchi, un vantaggio di scala su ottimizzazione e risposta e la capacità di aggiornare le firme per tutti i loro clienti contemporaneamente.
Gli IDS basati su host sono solitamente implementati internamente per server specifici ad alto valore. I tipi di traffico e il carico sono in genere molto più bassi e più prevedibili, pertanto il fabbisogno di risorse è generalmente inferiore.
Dai anche un'occhiata a questa domanda - alcune discussioni su IDS basati su anomalie.
Wikipedia ha un buon inizio su una risposta a questa domanda.
Un estratto:
Tutti i sistemi di rilevamento delle intrusioni utilizzano una delle due tecniche di rilevamento:
Statistical anomaly-based IDS:
A statistical anomaly-based IDS establishes a performance baseline based on normal network traffic evaluations. It will then sample current network traffic activity to this baseline in order to detect whether or not it is within baseline parameters. If the sampled traffic is outside baseline parameters, an alarm will be triggered.
Signature-based IDS:
Network traffic is examined for preconfigured and predetermined attack patterns known as signatures. Many attacks today have distinct signatures. In good security practice, a collection of these signatures must be constantly updated to mitigate emerging threats.