Il ruolo degli Ids

Management

I sistemi di rilevamento delle intrusioni (Ids – Intrusion Detection System) analizzano il traffico di tutti i pacchettiin transito sulla rete aziendale e permettono di individuare eventuali anomalie o attacchi

I sistemi di controllo delle intrusioni (Ids – Intrusion Detection System) sono stati progettati con lo scopo di individuare e segnalare eventuali violazioni all’interno della rete locale, siano esse in corso di esecuzione o semplicemente tentate. Questo significa che l’Ids non va a sostituire il firewall bensì a integrarsi con esso, in quanto il lavoro svolto è leggermente differente. Andando nello specifico bisogna sottolineare come il monitoraggio del traffico dei dati generalmente avvenga sul flusso di pacchetti Tcp in transito sulla rete locale e qui l’Ids, tramite una specifica sonda (tra l’altro all’interno di una rete ci possono essere più sonde centralmente controllate), affianca alle funzioni del semplice analizzatore di rete quelle di riconoscimento degli attacchi. Questo significa che esso non si limita a registrare cosa sta transitando bensì a comprendere se tale flusso dei dati sia normale oppure rappresenti un tentativo di attacco. Il processo di funzionamento, come si vedrà poi, è quasi del tutto simile a quello dei programmi antivirus e avviene sia tramite il confronto delle impronte (esattamente come i pattern file virali) sia in maniera euristica (allo stesso modo dei moderni antivirus). Detto in parole più semplici, l’Ids dispone di un database degli attacchi, che serve come termine di paragone per il traffico in transito che viene analizzato. Nel momento in cui viene identificato un attacco, l’Intrusion detection system è in grado di rispondere con specifiche azioni, la più ovvia delle quali è il blocco del flusso di dati così da impedire che l’attacco provochi dei danni alla rete.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore