E dopo una lezione tenuta da Dianiele Vizzarro vi riporto quanto detto e
appreso in questa lezione.
Prima di inziare dobbiamo definire cos'è un intrusione: un intrusione è
appunto qualsiasi processo che mira a guadagnare un privilegio all'interno
della rete.Quindi un Intrusion Detection è qualsiasi processo di
scoperta,analisi e reporting dell'attività non autorizzata.Esistono diverse
tipologie di IDS: gli AIDS (Application-based IDS) che vengono installati su
una singola macchina e raccolgono informazioni a livello applicativo, gli HIDS(Host-based IDS)che invece controllano il traffico di rete relativo ad un determinato host, e i NIDS (Network-based IDS) che sono quelli di cui ci occuperemo.
Sono quindi,software che implementano una scheda di rete in modalità promiscua,cioè non risponderanno ad eventuali richieste all'esterno e quindi difficili da rilevare.Si occupano di sniffare e analizzare,confrontandolo con un database di policy e se questo risulta
traffico illecito,viene generato un allert e quindi un log.
I NIDS analizzano il payload dei pacchetti,danno informazioni sulle eventuali scansioni della rete (sys scan,fin scan,...),permettono di monitorare il comportamento degli utenti,inoltre segnalano se qualche altra misura di sicurezza non ha funzionato.Quindi una differenza sostanziale tra firewall e NIDS è che,il firewall filtra i pacchetti in base agli IP e non tiene nessuna traccia di quello che il traffico permesso fa.
Il NIDS intercetta ma non blocca eventuali attacchi.Questo affiancato a un
firewall permettono di rilevare dialer,worm,virus e trojan che tentano di
inviare informazioni all'esterno della rete. Un buon IDS è snort (www.snort.org).Per qualsiasi informazione e/o chiarimenti e approfondimenti potete contattarmi e io approfondirò di più il discorso!!
Ciauz!
interessante falcon, bravo!
SitemapIndex
RSS Feed