|
Gli strumenti automatici e intelligenti per rilevare tentativi di intrusione in tempo reale sono chiamati Intrusion Detection Systems (IDS).
Essi rappresentano una parte importante di qualsiasi architettura di network security fornendo un livello di difesa che monitorizza il traffico di rete per attività sospette e avvisa l’amministratore del sistema quando è individuato traffico potenzialmente ostile.
I sistemi di rilevamento di intrusioni sono un fenomeno relativamente nuovo, emerso nei primi anni ’80.
Da allora sono stati condotti migliaia di studi sugli IDS e oggi esistono centinaia di sistemi di rilevamento delle intrusioni.
I possibili attacchi che un IDS deve individuare sono:
Attacchi passivi come lo Sniffing, consistente nello spiare il traffico altrui che attraversa un elemento della rete.
Attacchi attivi come gli attacchi al routing, che consiste nel cambiare in maniera illecita il corretto indirizzamento di una porzione di traffico di rete; lo spoofing in cui l’attaccante dialoga con un server sulla rete, spacciandosi per un computer autorizzato; il denial of service, ossia la negazione di un servizio offerto
Riassumendo, i requisiti di base di un buon IDS sono i seguenti:
1.
Un sistema deve riconoscere qualsiasi attività o evento sospetto che potrebbe potenzialmente essere un attacco.
2.
Il comportamento di un intruso dovrebbe essere rilevato al più basso livello possibile.
3.
Il sistema deve essere in grado di adattarsi ai cambiamenti dei metodi di un attacco.
4.
Il sistema deve essere in grado di manipolare attacchi multipli.
5.
Il sistema deve essere scalabile e facilmente aggiornabile per rispecchiare i cambiamenti della rete.
6.
Il sistema deve essere in grado di proteggersi dagli attacchi.
|
