Please enable JavaScript.
Coggle requires JavaScript to display documents.
Sistemi di intrusion detection (IDS) Lez. 20, Sistemi di intrusion …
Sistemi di intrusion
detection
(IDS)
Lez. 20
Scopo
Rilevare intrusioni sulla
rete tentate o avvenute
Analisi attività sui sistemi
Sulla rete (ip scan)
Comportamenti pericolosi
degli utenti
Traffico anomalo
Tecniche
Pattern matching
Verifica traffico irregolare
Imparano prima
traffico corretto
Rischio falsi positivi
Impostazione esplicita
autorizzazioni
Difficile da gestire e manutenere
Host IDS (HIDS)
Analisi attività
singolo sistema
Log
Stato file
Processi
Chiamate di sistema
Accesso a risorse
Analisi macchine virtuali
Caratteristiche
Conoscono il contesto
Un
Hids
per
singolo sistema
Limiti
Se sistema viene compromesso
anche loro potrebbero esserlo
Attacchi
DoS
Network IDS (NIDS)
Analisi traffico
Sniffing
No ip
Invisibile alla rete
Mirroring
Caratteristiche
Indipendenti dal so
Vedono tutto il
traffico
Anche quello che
Hids
non vedrebbe
Limiti
No contesto
Migliora se integrato
con altri sistemi
Traffico
intenso/complesso
Possibili problemi
ri risorse
Riconoscere traffico
inusuale
Falsi positivi/negativi
Caratteristiche generali
Non sostituiscono firewall
Meno interferenze traffico rete
Installazione meno invasiva
Metodologie di analisi
Database attacchi noti
Euristica
Ricerca comportamenti
anomali
Tempistiche
Tempo reale
Non sempre necessaria
Analisi successiva
Patttern complessi
Attacchi
Ids
hanno privilegi
elevati
Pacchetti malformati
Input validation
Buffer overflow
Sistemi di intrusion
prevention
Bloccano attacchi
Funzione attiva
Si interpongono
al traffico
Simi a firewall
default permit
Azioni
Blocco traffico
Reset
Attivare regole
firewall
Honeypot
Sistema trappola
per attaccanti
Appositamente più
semplici da attaccare
Adatti per
analisi attacchi