Un sistema di rilevamento delle intrusioni (IDS) monitora il traffico di rete e monitora le attività sospette e avvisa il sistema o l'amministratore di rete. In alcuni casi, l'IDS può anche rispondere a traffico anomalo o malevolo intraprendendo azioni quali il blocco dell'utente o dell'indirizzo IP di origine dall'accesso alla rete.
Gli ID sono disponibili in una varietà di "sapori" e si avvicinano all'obiettivo di rilevare il traffico sospetto in modi diversi. Esistono sistemi di rilevamento delle intrusioni basati su rete (NIDS) e basati su host (HIDS). Esistono IDS che rilevano in base alla ricerca di firme specifiche di minacce conosciute - analogamente al modo in cui il software antivirus rileva e protegge contro malware - e vi sono IDS che rilevano in base al confronto tra pattern di traffico e baseline e alla ricerca di anomalie. Ci sono IDS che semplicemente monitorano e avvisano e ci sono IDS che eseguono un'azione o azioni in risposta a una minaccia rilevata. Tratteremo brevemente ognuno di questi.
NIDS
I sistemi di rilevamento delle intrusioni di rete sono collocati in un punto strategico o punti all'interno della rete per monitorare il traffico da e verso tutti i dispositivi sulla rete. Idealmente, si dovrebbe eseguire la scansione di tutto il traffico in entrata e in uscita, tuttavia ciò potrebbe creare un collo di bottiglia che comprometterebbe la velocità generale della rete.
HIDS
I sistemi di rilevamento delle intrusioni dell'host vengono eseguiti su singoli host o dispositivi sulla rete. Un HIDS monitora solo i pacchetti in entrata e in uscita dal dispositivo e avviserà l'utente o l'amministratore di attività sospette rilevate
Firma-Based
Un IDS basato su firma monitorerà i pacchetti sulla rete e li confronterà con un database di firme o attributi da minacce dannose conosciute. Questo è simile al modo in cui la maggior parte dei software antivirus rileva il malware. Il problema è che ci sarà un ritardo tra una nuova minaccia scoperta in natura e la firma per rilevare la minaccia che viene applicata al tuo IDS. Durante questo intervallo di tempo, il tuo IDS non sarebbe in grado di rilevare la nuova minaccia.
Anomaly-Based
Un IDS basato sull'anomalia monitorerà il traffico di rete e lo confronterà con una linea di base stabilita. La linea di base identificherà ciò che è "normale" per quella rete - quale tipo di larghezza di banda viene generalmente utilizzata, quali protocolli vengono utilizzati, quali porte e dispositivi generalmente si connettono tra loro e avvisano l'amministratore o l'utente quando viene rilevato un traffico anomalo, o significativamente diverso rispetto alla linea di base.
ID passivo
Un ID passivo rileva e avverte semplicemente. Quando viene rilevato un traffico sospetto o malevolo, viene generato un avviso e inviato all'amministratore o all'utente e spetta a loro prendere provvedimenti per bloccare l'attività o rispondere in qualche modo.
ID reattivo
Un ID reattivo non solo rileverà il traffico sospetto o dannoso e avviserà l'amministratore, ma intraprenderà azioni proattive predefinite per rispondere alla minaccia. In genere ciò significa bloccare qualsiasi ulteriore traffico di rete dall'indirizzo IP o dall'utente di origine.
Uno dei sistemi di rilevamento delle intrusioni più conosciuti e diffusi è l'open source, Snort disponibile gratuitamente. È disponibile per numerose piattaforme e sistemi operativi, inclusi Linux e Windows. Snort ha un seguito ampio e fedele e ci sono molte risorse disponibili su Internet dove è possibile acquisire firme da implementare per rilevare le minacce più recenti.
C'è una linea sottile tra un firewall e un IDS. Esiste anche una tecnologia chiamata IPS - Intrusion Prevention System. Un IPS è essenzialmente un firewall che combina il filtraggio a livello di rete e a livello di applicazione con un IDS reattivo per proteggere proattivamente la rete. Sembra che col passare del tempo i firewall, IDS e IPS assumano più attributi gli uni dagli altri e sfocino ancora di più la linea.
In sostanza, il firewall è la prima linea di difesa perimetrale. Le best practice raccomandano che il firewall sia configurato in modo esplicito per DENY tutto il traffico in entrata e quindi si aprono buchi dove necessario. Potrebbe essere necessario aprire la porta 80 per ospitare siti Web o la porta 21 per ospitare un file server FTP. Ognuno di questi buchi può essere necessario da un punto di vista, ma rappresentano anche i possibili vettori di traffico dannoso per entrare nella rete piuttosto che essere bloccati dal firewall.
È qui che entrerà il tuo IDS. Sia che tu realizzi un NIDS su tutta la rete o un HIDS sul tuo dispositivo specifico, l'IDS controllerà il traffico in entrata e in uscita e identificherà il traffico sospetto o malevolo che potrebbe in qualche modo scavalcato il tuo firewall o potrebbe anche provenire dalla tua rete.
Un IDS può essere un ottimo strumento per il monitoraggio proattivo e la protezione della rete da attività dannose, tuttavia sono anche soggetti a falsi allarmi. Con quasi tutte le soluzioni IDS implementate, è necessario "sintonizzarle" una volta che sono state installate per la prima volta. È necessario che l'IDS sia configurato correttamente per riconoscere il traffico normale sulla rete rispetto a quello che potrebbe essere il traffico dannoso e l'utente o gli amministratori responsabili della risposta agli avvisi di IDS devono comprendere cosa significano gli avvisi e come rispondere in modo efficace.
