[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Agosto 2001 ml@sikurezza.org Soggetto: R: IDS Mittente: Caris Ruben Data: 23 Aug 2001 08:08:20 -0000
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 > A cosa serve un IDS tra il router ed il firewall quando cmq chi mi > scannera' la rete superera' comunque l'IDS e avra' comunque il suo > report delle porte aperte e potra' in ogni modo mappare la mia > DMZ. IDS sta per Intrusion Detection System...la parola lo dice da se. Non serve per segare i pacchetti cattivi (anche se e' possibile farlo), ma serve solamente per avere un idea dei tipi di pacchetti e dei tipi di attacchi che qualche malintenzionato sta lanciando verso la tua rete/server. [>] Dipende come strutturi il tutto... In realtà puoi anche fare in modo che un sensore, visto un traffico non "consono" mandi alla Console un Alert; da questa poi può esserci un'interazione con il firewall. Quindi a fronte di un alert è possibile far chiudere delle porte etc... Ovvio che qui si apre la polemica dei "False Positive"... cioè di pacchetti che ti passano sotto il naso e sono "buoni" ma il sensore non li percepisce come tali. Per un ping di test rischi di chiuderti da Internet per un SyNattak! :))))))) Un IDS di fatto NON aumenta la sicurezza della tua rete, ma ti fornisce un quadro generale da consultare successivamente... [>] Sempre se implementato in maniera non "proattva". Ci sono prodotti di IDS che si interfacciano con, appunto, il firewall e con il sistema di monitoraggio che di per sè è più complesso, non poche volte, di un IDS. (Vedi ISS+PATROL+NOKIA APP.) La console di un IDS può proporre azioni oltre che loggare tutto su un db... che vanno al di fuori del "chiudi la porta che gira il pacchetto"... Ovviamente alle spalle c'è un progetto ben studiato. Devi tenere in considerazione l'esistenza di sensori di rete e di sistema. Entrambi mandano i dati alla Console ma mentre il primo ti dice che l'ip X.X.X.X sta mandando pacchetti di tipo X all'host X, il secondo ti dice se qualche modifica avviene su di un server... home page, registry, files che vuoi tu... analizzando i FS e i log propri del SO. Quindi credo che un vero IDS non sia un sensore buttato lì, in rete, che ti dice cosa passa per una rete... altrimenti ci metti un IPTRAF o qualcosa di più bello (Etherboy ?), ma un insieme di sensori che ti possano dare un chiaro quadro di ciò che succede in un preciso istante nella rete e su determinati server. [>] Ciao! jOBe -----BEGIN PGP SIGNATURE----- Version: PGP 7.0.4 iQA/AwUBO4Pdazlk3CEbHwATEQJYNACgmEIUjvfLW3qFbWGG0ERzU9d9YF0An0/5 /kJwf5nfvPgKspirH7suJW7J =qLhJ -----END PGP SIGNATURE----- ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005