Sistemi di Rilevamento Intrusioni (IDS) e Gestione Avanzata del Logging

Classificato in Informatica

Scritto il in italiano con una dimensione di 3,54 KB

Sistemi di Rilevamento delle Intrusioni (IDS)

HIDS: Host-Based Intrusion Detection System

HIDS (Host-Based Intrusion Detection System) è un sistema di rilevamento delle intrusioni basato sull'host.

Caratteristiche Essenziali per un IDS Efficace

  • Deve imporre il minimo overhead sul sistema.
  • Deve osservare le anomalie rispetto alla normale routine di azioni svolte sul sistema.
  • Deve essere adattabile ai vari tipi di sistemi.
  • Deve funzionare anche se si modificano o si aggiungono nuove applicazioni al sistema.

NIDS: Network-Based Intrusion Detection System

Vantaggi (Pro)

  • Real time (in tempo reale).
  • Costi minori rispetto agli HIDS.
  • Non dipendono dalle architetture e dai sistemi operativi, perché si basano sui protocolli di rete.

Svantaggi (Contro)

  • Il traffico cifrato rende difficile il compito ai NIDS.

Dettagli HIDS

Vantaggi (Pro)

  • Utili contro attacchi di tipo Masquerader.

Svantaggi (Contro)

  • Non sono real time: si corre il rischio che l'attacco venga scoperto solo dopo che ha causato danni o disservizi.

Compiti Fondamentali degli HIDS

  • Controllare i processi in esecuzione per rilevare programmi modificati.
  • Rilevamento di buffer overflow.
  • Rilevare tentativi di attacco al sistema.
  • Controllare l’integrità del file system.
  • Controllare le modifiche ai permessi e ai proprietari dei file.
  • Controllare l’utilizzo delle risorse da parte dei processi in esecuzione.

Logging e Gestione dei Log

Tipi di Log

  • Log di registrazione, riconoscimento e accesso: È il noto login o logon.
  • Log di sistema: Memorizza, attraverso il relativo sistema operativo, gli eventi significativi.
  • Log di base dati: Registra le operazioni fatte sulla base dati.
  • Log di sicurezza: Memorizza tutte le operazioni che sono considerate critiche.
  • Log di applicazione: Eventi caratteristici dell'applicazione e che fungono in certi casi.

Gestione dei Log su Linux

Il log di sistema, o syslog, è la procedura di registrazione degli eventi importanti all'interno di un cosiddetto file di log. Questo sistema è gestito principalmente dal daemon syslogd, che viene configurato attraverso /etc/syslog.conf. Altri programmi o daemon possono aggiungere annotazioni al log inviando messaggi a syslogd.

Definizioni Chiave

syslogd
Demone che si occupa della registrazione del log di sistema.
klogd
È il daemon specifico di Linux per l'intercettazione e la registrazione dei messaggi del kernel.

Livelli di Priorità (Severity)

Le parole chiave riferite alle priorità possono essere le seguenti:

  • debug
  • info
  • notice
  • warning
  • err (error)
  • crit (critical)
  • alert
  • emerg (emergency)

Logrotate: Gestione dello Spazio Log

Su macchine ad alto traffico, o sotto attacco DoS (Denial of Service) o con particolari problemi ricorrenti, le dimensioni dei log possono crescere a dismisura in pochissimo tempo, fino a saturare il file system.

Karma: 8%
Visite: 0

Voci correlate:

Tag:
Logging Sicurezza Informatica Monitoraggio Sistema IDS Klogd Buffer Overflow Rilevamento Intrusioni Attacchi Masquerader Logrotate File System Integrity Syslog Linux Syslogd NIDS HIDS Cyber Security