Re: R: IDS

On Fri, Aug 24, 2001 at 08:04:23PM +0100, ~MeRliNo wrote:

> Probabilmente questo e' l'unico motivo con il quale posso giustificare 
> l'introduzione di un IDS, cio' non toglie che aprirsi verso Internet significa 
> assumersi dei rischi e che un IDS non e' uno strumento necessario alla 
> protezione di una rete. 

Secondo me il problema sta nel fatto che in certi ambienti lavorativi si
crede che un IDS sia la manna dal cielo. 
E' importante precisare alcuni punti:
1) Nella maggior parte dei casi un IDS (o NIDS) in se' non e' uno
"strumento necessario alla protezione di una rete" (come dici tu),serve
per analizzare il traffico che passa e non e' poco. Un IDS lavora a
un livello piu' alto di un "semplice" firewall perche' ti permette anche
di analizzare il contenuto dei pacchetti e (come e' gia' stato detto sul
thread) di creare delle regole ad hoc per loggare/fare il cazzo che ti
pare.
2) E' chiaro che aprirsi ad Internet esponga dei rischi,un IDS non e'
fatto per sostituire un firewall a mio parere,sono degli strumenti che
si completano tra di loro.
3)IMHO analizzare il traffico che passa nella tua rete,sopratutto se la
rete deve,nello stesso tempo,avere una parvenza di sicurezza ed essere
aperta ad internet,e' molto importante. Non puoi toglierti di mezzo i
portscan semplicemente bloccando gli icmp sul router,bisogna che,se ti
interessa,ci sia qualche strumento (in questo caso un NIDS tipo snort)
che ti segnali cosa sta succedendo e cosa sta passando da e verso quelle
macchine.

ciao
---
Night_Haw
GnuPG key id:1024D/4FE33FC4
---

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List