Verso la Maturità - Sistemi e Reti
  • Introduzione
  • Reti Wi-Fi
  • Crittografia
  • VLAN
  • TLS
  • Sicurezza EMAIL
  • Attacchi Informatici
  • Cookies
  • IDS e IPS
  • Honeypot
  • VPN
  • Firewall
  • Windows Server
Powered by GitBook
On this page
  • IDS: Intrusion Detection System
  • Cosa fa e cosa non fa
  • IPS: Intrusion Prevention System
  • Insider Attacks
  • Host-Based IDS
  • Snort

Was this helpful?

IDS e IPS

IDS: Intrusion Detection System

Nella sicurezza informatica l'Intrusion Detection System o IDS è un dispositivo software o hardware (o a volte la combinazione di entrambi) utilizzato per identificare accessi non autorizzati ai computer o alle reti locali. Le intrusioni rilevate possono essere quelle prodotte da cracker esperti, da tool automatici o da utenti inesperti che utilizzano programmi semiautomatici.

Esempio di IDS: Snort

  • è basato su delle regole conservate in database.

  • analizza i pacchetti confrontandoli con le regole.

  • in caso le regole non sono rispettate viene generato un alert (allarme) e i dettagli vengono scritti nei log.

Un IDS è composto da quattro componenti:

  • uno o più sensori utilizzati per ricevere le informazioni dalla rete o dai computer.

  • una console utilizzata per monitorare lo stato della rete e dei computer.

  • un motore che analizza i dati prelevati dai sensori e provvede a individuare eventuali falle nella

    sicurezza informatica.

  • un database cui si appoggia il motore di analisi e dove sono memorizzate una serie di regole utilizzate per identificare violazioni della sicurezza.

Cosa fa e cosa non fa

  • Non modifica e non blocca i pacchetti

  • Non è un firewall, non svolge difesa attiva

  • Non cerca di bloccare intrusioni, ma le rileva quando si verificano

IPS: Intrusion Prevention System

In informatica gli Intrusion prevention system sono dei componenti sviluppati per incrementare la sicurezza informatica di un sistema informatico. Sono stati sviluppati per impedire ad un programma non autorizzato di entrare in esecuzione. La tecnologia Intrusion prevention spesso viene considerata come un'estensione della tecnologia IDS sebbene sia più simile ad una lista di controllo degli accessi di un firewall.

L'IPS NON è un firewall, poiché un firewall lavora su IP e Porte, mentre un IPS lavora su programmi e utenti.

Insider Attacks

Per Insider Attack si intendono gli attacchi provenienti dall'interno della rete che non possono essere bloccati dagli IDS. Sono quindi più difficili da identificare e prevenire. Un semplice esempio può essere un dipendente malintenzionato che, dopo essere stato licenziato, decide di vendicarsi con la compagnia manomettendo il sistema o rubando dati sensibile per poi venderli alla concorrenza.

Host-Based IDS

  • Specialized software to monitor system activity to detect suspicious behavior

  • two approaches:

    • signature detection: defines proper behavior

    • anomaly detection: defines normal/expected behavior

Snort

SNORT è un IDS

Usa un sistema di regole con un header che include

  • action

  • protocol

  • source IP:port

  • direction

  • destination IP:port

E tante altre opzioni# IDS

PreviousCookiesNextHoneypot

Last updated 5 years ago

Was this helpful?