Cos’è un Intrusion Detection System (IDS)?

I moderni Intrusion Detection System (in italiano: “sistema di ri­le­va­men­to delle in­tru­sio­ni) sono una valida in­te­gra­zio­ne al con­ven­zio­na­le firewall. Ana­liz­za­no e mo­ni­to­ra­no sistemi e intere reti in tempo reale e quando rilevano po­ten­zia­li fonti di pericolo allertano im­me­dia­ta­men­te l’am­mi­ni­stra­to­re o l’am­mi­ni­stra­tri­ce. La difesa vera e propria contro l’attacco è poi affidata a un altro software.

Cosa c’è dietro un IDS (Intrusion Detection System)?

Per quanto i moderni sistemi di sicurezza per i computer e le reti siano avanzati, anche i cy­be­rat­tac­chi diventano sempre più astuti e ben studiati. Per questo motivo è con­si­glia­bi­le pro­teg­ge­re le in­fra­strut­tu­re sensibili con diversi mec­ca­ni­smi. Un Intrusion Detection System (IDS) è un’in­te­gra­zio­ne ec­cel­len­te per il firewall: un sistema di questo tipo rileva tem­pe­sti­va­men­te gli attacchi e i po­ten­zia­li pericoli, in­for­man­do subito gli am­mi­ni­stra­to­ri e le am­mi­ni­stra­tri­ci, che possono così in­tra­pren­de­re le azioni di difesa ne­ces­sa­rie. Il sistema di ri­le­va­men­to delle in­tru­sio­ni è inoltre in grado di in­di­vi­dua­re gli attacchi quando hanno già superato il firewall.

A dif­fe­ren­za ad esempio di un Intrusion Pre­ven­tion System, un IDS non difende dagli attacchi, ma analizza tutte le attività in una rete e le confronta con appositi modelli. Se si ve­ri­fi­ca­no azioni insolite, il sistema allerta l’utente fornendo in­for­ma­zio­ni precise sull’origine e il tipo di attacco.

Quali sono i tipi di Intrusion Detection System?

Si distingue tra tre tipi di IDS: possono essere basati su host (HIDS), basati su rete (NIDS) o ibridi (ovvero combinare HIDS e NIDS).

HIDS: Intrusion Detection System basati su host

L’Intrusion Detection System basato su host è la forma più vecchia del sistema di sicurezza. L’IDS viene in­stal­la­to di­ret­ta­men­te sul relativo sistema. Analizza i dati di­ret­ta­men­te a livello di registro e di kernel, con­trol­lan­do anche altri file di sistema. Per poter essere usato nelle stazioni di lavoro autonome, l’Intrusion Detection System basato su host ricorre ad agenti di mo­ni­to­rag­gio che pre­fil­tra­no il traffico di dati e inoltrano le in­for­ma­zio­ni così acquisite al server centrale. Il metodo è molto preciso ed esteso, ma può essere aggirato dagli attacchi DoS e DDoS. Inoltre, questo sistema di ri­le­va­men­to delle in­tru­sio­ni dipende dal sistema operativo.

NIDS: Intrusion Detection System basati su rete

Un IDS basato su rete scansiona i pacchetti di dati che vengono inviati e ricevuti all’interno di una rete. Così, i modelli insoliti o di­scor­dan­ti vengono rilevati e segnalati ra­pi­da­men­te. Da questo punto di vista, il volume di dati inviati può risultare pro­ble­ma­ti­co. Se supera le capacità dell’Intrusion Detection System, il mo­ni­to­rag­gio non riesce più a essere capillare.

Intrusion Detection System ibrido

Oggi si punta molto sugli Intrusion Detection System ibridi, che coniugano i due diversi approcci. Questi sistemi sono co­sti­tui­ti da sensori basati su host, sensori basati su rete e un livello di gestione in cui con­flui­sco­no i risultati, che vengono poi ana­liz­za­ti ap­pro­fon­di­ta­men­te. Anche il comando parte da questo livello.

Scopo d’impiego e vantaggi di un IDS

Un Intrusion Detection System non dovrebbe mai essere con­si­de­ra­to o usato come un sostituto del firewall. Co­sti­tui­sce invece un’ec­cel­len­te in­te­gra­zio­ne per iden­ti­fi­ca­re meglio i pericoli lavorando in tandem con il firewall. Poiché l’Intrusion Detection System può ana­liz­za­re au­to­no­ma­men­te il più alto livello del modello ISO/OSI, spesso rileva fonti di pericolo nuove e pre­ce­den­te­men­te sco­no­sciu­te, anche quando il firewall è già stato superato.

Come funziona un Intrusion Detection System?

Il tipo più uti­liz­za­to di Intrusion Detection System è quello ibrido, che lavora sia sull’host sia nella rete. Le in­for­ma­zio­ni raccolte vengono valutate nel sistema di gestione centrale, dove lavorano tre diversi com­po­nen­ti.

Mo­ni­to­rag­gio dati

Con il mo­ni­to­rag­gio dati, appositi sensori rac­col­go­no tutti i dati per­ti­nen­ti e li filtrano in base alla rilevanza. Si tratta sia di in­for­ma­zio­ni da parte dell’host sia di file di registro e dati di sistema. Vengono con­si­de­ra­ti anche i pacchetti di dati inviati at­tra­ver­so la rete. L’IDS rileva e ordina anche indirizzi di origine e di de­sti­na­zio­ne e altre ca­rat­te­ri­sti­che im­por­tan­ti. Il pre­sup­po­sto più im­por­tan­te è che i dati raccolti pro­ven­ga­no da una fonte af­fi­da­bi­le o dallo stesso Intrusion Detection System. Solo in questo modo è possibile garantire che i dati non siano stati pre­ce­den­te­men­te ma­ni­po­la­ti.

Analisi

Il secondo com­po­nen­te dell’Intrusion Detection System è l’ana­liz­za­to­re, che valuta tutti i dati ottenuti e pre­fil­tra­ti sfrut­tan­do diversi modelli. Il controllo viene eseguito in tempo reale, ope­ra­zio­ne che in de­ter­mi­na­te cir­co­stan­ze può sot­to­por­re a forte sol­le­ci­ta­zio­ne so­prat­tut­to la CPU e la RAM. L’analisi può essere eseguita in modo rapido e ordinato solo quando le capacità ne­ces­sa­rie sono suf­fi­cien­ti. L’ana­liz­za­to­re può contare su due metodi diversi:

• Misuse Detection: con la tecnica del Misuse Detection (tra­du­ci­bi­le con “ri­le­va­men­to per uso improprio”), l’ana­liz­za­to­re tenta di ri­co­no­sce­re tra i dati ricevuti schemi di attacco già noti. Questi sono salvati in un database separato, che viene ag­gior­na­to re­go­lar­men­te. Gli attacchi sferrati con una firma già re­gi­stra­ta possono così essere rilevati tem­pe­sti­va­men­te. Quelli che invece non sono ancora noti al sistema non vengono rilevati.
• Anomaly Detection: questa tecnica (tra­du­ci­bi­le con “ri­le­va­men­to per anomalia”) si basa sull’os­ser­va­zio­ne dell’intero sistema. Non appena una o più fasi di lavoro deviano dalla norma, viene segnalata l’anomalia, ad esempio quando il carico della CPU supera un valore pre­sta­bi­li­to o gli accessi a una pagina aumentano in modo inusuale. L’Intrusion Detection System può anche con­trol­la­re la suc­ces­sio­ne temporale degli eventi per rilevare gli schemi di attacco sco­no­sciu­ti. Talvolta vengono però segnalate anche anomalie innocue.

Allarme

Il terzo e ultimo passaggio dell’Intrusion Detection System è l’invio effettivo dell’allarme. Nel caso in cui sia stato rilevato un attacco o sia stato re­gi­stra­to un com­por­ta­men­to sospetto, il sistema informa l’am­mi­ni­stra­to­re o l’am­mi­ni­stra­tri­ce. La notifica può essere inviata per e-mail, tramite un allarme locale o un messaggio sullo smart­pho­ne o sul tablet.

Quali sono gli svantaggi di un Intrusion Detection System?

No­no­stan­te l’Intrusion Detection System sia un’ottima in­te­gra­zio­ne per l’ar­chi­tet­tu­ra di sicurezza, neanche questo metodo è a prova di errori. Abbiamo già abbozzato sopra alcuni dei possibili svantaggi. Gli IDS basati su host sono soggetti ad attacchi DDoS, mentre quelli basati su rete possono rag­giun­ge­re i loro limiti nelle strutture di rete più grandi, la­scian­do­si sfuggire pacchetti di dati. Allo stesso tempo, spesso con de­ter­mi­na­te con­fi­gu­ra­zio­ni l’Anomaly Detection segnala falsi allarmi. Inoltre, l’IDS è idoneo soltanto per rilevare i pericoli. Per la difesa contro gli attacchi serve un altro software.

Intrusion Detection System: l’esempio Snort

Uno degli IDS più famosi e più amati è Snort. Questo strumento di sicurezza, svi­lup­pa­to da Martin Roesch già nel 1998, non solo è mul­ti­piat­ta­for­ma e open source, ma mette anche a di­spo­si­zio­ne degli utenti ampie misure di pre­ven­zio­ne come Intrusion Pre­ven­tion System. Il programma è proposto in una versione gratuita e in una a pagamento, che comprende tra l’altro ag­gior­na­men­ti più rapidi.