Un sistema di rilevamento delle intrusioni (IDS) è una tecnologia di sicurezza di rete originariamente costruita per rilevare gli exploit di vulnerabilità contro un’applicazione o un computer di destinazione. I sistemi di prevenzione delle intrusioni (IPS) hanno esteso le soluzioni IDS aggiungendo la capacità di bloccare le minacce oltre a rilevarle ed è diventata l’opzione dominante per le tecnologie IDS/IPS. Questo articolo elaborerà la configurazione e le funzioni che definiscono l’implementazione degli IDS.
Un IDS ha solo bisogno di rilevare le minacce e come tale è collocato fuori banda sull’infrastruttura di rete, il che significa che non è nel vero percorso di comunicazione in tempo reale tra il mittente e il ricevitore delle informazioni. Piuttosto, le soluzioni IDS spesso sfruttano una porta TAP o SPAN per analizzare una copia del flusso di traffico in linea (e quindi garantire che l’IDS non abbia un impatto sulle prestazioni della rete in linea).
L’IDS è stato originariamente sviluppato in questo modo perché all’epoca la profondità di analisi richiesta per il rilevamento delle intrusioni non poteva essere eseguita a una velocità che potesse tenere il passo con i componenti sul percorso di comunicazione diretto dell’infrastruttura di rete.
Come spiegato, l’IDS è anche un dispositivo solo in ascolto. L’IDS monitora il traffico e riporta i suoi risultati a un amministratore, ma non può intervenire automaticamente per evitare che un exploit rilevato prenda il controllo del sistema. Gli attaccanti sono in grado di sfruttare le vulnerabilità molto rapidamente una volta entrati nella rete, rendendo l’IDS un’implementazione inadeguata per il dispositivo di prevenzione.
La seguente tabella riassume le differenze tecnologiche intrinseche all’IPS e all’impiego dell’IDS:
| Sistema di prevenzione delle intrusioni | Distribuzione dell’IDS | |
|---|---|---|
| Posizione nell’infrastruttura di rete | Parte della linea diretta di comunicazione (inline) | Outdoor alla linea diretta di comunicazione (out-of-band) |
| Tipo di sistema | Attivo (monitor & difende automaticamente) e/o passivo | Passivo (monitor & notifica) |
| Meccanismi di rilevamento | 1. Rilevamento statistico basato sulle anomalie 2. Rilevamento delle firme: – Firme di exploit – Firme di vulnerabilità |
1. Rilevamento delle firme: – Firme di exploit |