Che cos'è un sistema di rilevamento delle intrusioni?
Le reti di informazioni possono essere altamente sensibili agli attacchi dannosi da worm, virus e varie altre minacce di rete, con nuovi problemi periodici che affiorano su questi fronti. Tali attacchi possono paralizzare le reti, distruggere dati importanti e influire negativamente sulla produttività. Per evitare che ciò accada, vengono istituiti sistemi di rilevamento delle intrusioni (IDS) per proteggere le reti di informazioni.
Un sistema di rilevamento delle intrusioni funge da salvaguardia che rileva gli attacchi prima o mentre si verificano, avvisa l'amministrazione del sistema e quindi prende le misure appropriate per disabilitare gli attacchi, ripristinando la rete alla sua normale capacità operativa. Di solito è richiesto un certo grado di supervisione e indagine umana nei sistemi di rilevamento delle intrusioni, poiché l'IDS non è completamente infallibile. Un sistema di rilevamento delle intrusioni potrebbe, ad esempio, non riuscire a identificare alcune minacce di rete o, in caso di reti occupate, potrebbe non essere in grado di controllare tutto il traffico che passa attraverso la rete.
Nel suo funzionamento quotidiano, il sistema di rilevamento delle intrusioni monitora l'attività dell'utente e il traffico sulla rete e controlla le configurazioni del sistema e i file di sistema. Se vengono rilevate anomalie o attacchi, il sistema di rilevamento delle intrusioni imposta immediatamente un allarme per portare la questione all'attenzione dell'amministratore di sistema. Il sistema può quindi procedere con la gestione delle minacce della rete o consentire all'amministratore di decidere il modo migliore per affrontare il problema.
Esistono tre tipi principali di sistemi di rilevamento delle intrusioni che formano insieme un sistema di prevenzione delle intrusioni. Il primo è il rilevamento delle intrusioni di rete, che mantiene una libreria di minacce di rete note. Il sistema controlla su Internet e aggiorna costantemente questa libreria; in questo modo il sistema viene tenuto informato sulle ultime minacce della rete ed è in grado di proteggere meglio la rete. Il traffico di passaggio viene monitorato e verificato con la libreria e se qualsiasi attacco noto o comportamento anomalo corrisponde a quelli presenti nella libreria, il sistema si innesta per bloccarlo.
Il rilevamento delle intrusioni nel nodo di rete è la seconda parte del sistema di prevenzione delle intrusioni. Verifica e analizza il traffico che passa dalla rete a un host specifico. La terza parte è il sistema di rilevamento delle intrusioni dell'host, che verifica eventuali modifiche al sistema corrente; se alcuni file vengono modificati o eliminati, il sistema di rilevamento delle intrusioni dell'host emette un allarme. Può disabilitare direttamente l'attacco o impostare un nuovo ambiente di sicurezza migliorato.