Un sistema di rilevamento delle intrusioni (IDS) rileva gli attacchi ai computer e alle reti di computer. Può essere installato come hardware o eseguito come software direttamente sui sistemi che devono essere monitorati, o può servire come supplemento a un firewall.
Un IDS può funzionare in due modi diversi. Il più grande funziona con l'aiuto di alcuni filtri e firme in cui sono descritti specifici modelli di attacco. I dati raccolti vengono poi confrontati con le firme conosciute che si trovano nel database dei modelli. Non appena un nuovo evento corrisponde a uno dei modelli, scatta un allarme intrusione. Tuttavia, un prerequisito per un funzionamento permanentemente sicuro è l'inserimento permanente di nuove firme.
Una parte minore degli IDS utilizzati fa uso di metodi euristici al fine di rilevare anche modelli di attacco precedentemente sconosciuti o deviazioni dallo stato normale, se possibile.
Al contrario dei sistemi di prevenzione delle intrusioni (IPS), un IDS si limita solo al rilevamento degli attacchi senza prevenirli attivamente o allontanarli. Se rileva un modello di attacco, invia informazioni su di esso all'amministratore o all'utente, che può quindi avviare contromisure appropriate.
Architetture dei sistemi di rilevamento delle intrusioni
Gli IDS sono divisi in tre tipi diversi a seconda della loro architettura: Host-based, Network-based e Hybrid.
Gli IDS host-based sono stati sviluppati dai militari e sono la varietà più antica. Sono utilizzati per la sicurezza dei mainframe, devono essere installati su ogni singolo sistema e supportano il rispettivo sistema operativo. Essi raccolgono dati di sistema dai file di log, dal registro o dai dati del kernel e li confrontano con modelli di attacco conosciuti.
Un IDS basato sulla rete è installato in modo tale da poter registrare tutti i pacchetti di dati all'interno della rete e analizzarli per trovare modelli di attacco sospetti. Tuttavia, deve funzionare ad alto livello per tenere il passo con la larghezza di banda delle reti moderne. Se questo non è il caso, non ci può più essere un monitoraggio senza soluzione di continuità.
Un IDS ibrido combina entrambi i metodi precedenti e quindi offre una protezione migliore. Di solito consiste di tre componenti: un sistema di gestione centrale e sensori basati su host e rete.
Quali IDS esistono?
Il leader del mercato è Snort, che è stato sviluppato dalla società Sourcefire. È un sistema di rilevamento delle intrusioni della comunità open source che è anche disponibile in una versione commerciale. Questo include, tra le altre cose, supporto e aggiornamenti immediati. Il sistema di rilevamento delle intrusioni è disponibile per Linux, Windows e MacOS.
Altri noti IDS sono Botshield, Tripwire, Bro, Prelude, Tiger, Samahain e Xray, ma questi sono solitamente adattati a un solo sistema operativo.