Network intrusion detection system

I NIDS, Network Intrusion Detection System, sono degli strumenti informatici, software o hardware, dediti ad analizzare il traffico di uno o piu segmenti di una LAN al fine di individuare anomalie nei flussi o probabili intrusioni informatiche.

I piu comuni NIDS sono composti da una o piu sonde dislocate sulla rete, che comunicano con un server centralizzato, che in genere si appoggia ad un Database. Fra le attività anomale che un NIDS rileva possono presentarsi: accessi non autorizzati, propogazione di software malevolo, acquisizione abusiva di privilegi appartenenti a soggetti autorizzati, intercettazione del traffico (sniffing), negazioni di servizio (DoS).

Le logiche su cui i NIDS si basano per riconoscere flussi non autorizzati si distinguono in:

• Pattern Matching: l'abilità del NIDS di confrontare i flussi a delle signatures, stile Antivirus, e di notificarli prontamente. Le signatures in genere indicano un set di condizioni, ad esempio: Se un pacchetto è IPv4, TCP, la porta di destinazione la 31337, e il payload contiene foo, fai scattare "l'allarme".
• Anomaly Detection: il riconoscimento di flussi sospetti grazie ad un sofisticato meccanismo di funzioni e algoritmi matematici che si rifanno alle RFC e ai loro standard. Se uno o piu flussi non rispettano gli standard, il sistema segnala l'errore con il consueto allarme.

Quando i NIDS rilevano degli eventi significativi li classificano in base alla loro criticità, ad esempio Low, Medium, High; spesso si presentano dei falsi positivi, ovvero eventi che in realtà non costituiscono un pericolo per i sistemi informatici, dovuti in genere a malconfigurazioni da parte degli amministratori dei sistemi. In genere i sensori di rete che comunicano con il server centralizzato del NIDS effettuano un monitoring full-duplex passivo della rete, posizionati dietro un TAP, brutalmente definibile come un 'rubinetto' che regola il traffico e che si preoccupa di far rimanere la sonda invisibile sulla rete. Affinche i sensori lavorino correttamente devono essere sottoposti ad un continuo aggiornamento delle signatures per contrastare le vulnerabilità piu recenti.

I moderni NIDS lavorano sempre con dei Firewall, a tal scopo stanno prendendo sempre piu piede nel settore commerciale gli IPS, intrusion prevention system, che oltre a fornire il controllo sui flussi, procedono ulteriormente bloccando quelli non autorizzati.

In un sistema informatico che implementa valide politiche di sicurezza, un buon sistema di incident response e che adotta firewall, antivirus e tutte le più moderne misure di sicurezza, i NIDS giocano un ruolo fondamentale, in quanto:

• analizzano il payload dei pacchetti identificando il traffico anomalo;
• danno informazioni sulle scansioni che la rete ha ricevuto;
• permettono di ricevere allarmi real-time;
• evidenziano eventuali errori nella configurazione del sistema;
• evidenziano eventuali vulnerabilità della rete;
• permettono di monitorare il comportamento degli utenti interni alla rete;
• segnalano se qualche altra misura di sicurezza, come il firewall o l’antivirus, non ha funzionato correttamente;
• rilevano eventuali attacchi provenienti dalla rete interna verso la rete esterna;
• rilevano la presenza di eventuali worm che cercano di inviare informazioni all’esterno della rete;
• effettuano il monitoraggio delle risorse condivise utilizzate;
• permettono di capire quali misure preventive adottare al fine di evitare eventuali attacchi futuri;
• sono difficili da rilevare in quanto agiscono passivamente.

Le ampie funzionalità descritte hanno portato alcuni amministratori di rete a pensare che i NIDS siano in grado di segnalare e risolvere qualsiasi problema di sicurezza. Paradossalmente, pensare che i NIDS garantiscano totale sicurezza date le loro enormi potenzialità, può risultare controproducente in quanto ciò genererebbe un falso senso di sicurezza. Non esiste, infatti, né totale sicurezza, né un unico prodotto che permetta di essere totalmente sicuri.

Anche se i NIDS sono sicuramente necessari a garantire un buon livello di sicurezza del sistema, da soli non sarebbero sufficienti in quanto:

• non sostituiscono l’esistente staff di sicurezza in quanto necessitano di costante monitoraggio;
• non individuano attacchi che sfruttano vulnerabilità non ancora rese pubbliche detti 0-day;
• agiscono passivamente, ovvero non bloccano il traffico dannoso anche se possono essere configurati per interagire con un firewall;
• quando c’è una grande quantità di traffico da processare, è possibile che vengano persi dei pacchetti, con conseguente fallimento nella rilevazione di un attacco;
• non possono analizzare informazioni criptate;
• identificano un tentativo d’attacco ma non rilevano se questo è riuscito;
• presentano problemi nel gestire attacchi che utilizzano pacchetti fram- mentati;
• incrementando il numero delle firme , può essere ridotta l’efficenza del NIDS;
• richiedono notevoli risorse in termini di spazio per l’archiviazione dei log;
• non sostituiscono gli altri meccanismi di protezione.

Da quanto detto, emerge che i NIDS sono necessari ad aumentare il controllo sull’attività dei sistemi ma non sono sufficienti a garantire la continuità del servizio in quanto agiscono passivamente.

Sia i firewall che i NIDS collaborano al fine di prevenire accessi abusivi ad una rete. Entrambi sono fondamentali ma nessuno è sufficiente a garantire da solo un elevato livello di sicurezza. A parte queste analogie, ci sono delle sostanziali differenze tecniche che li caratterizzano. I firewall hanno funzione di filtraggio dei pacchetti allo scopo di bloccare il traffico non conforme alle loro politiche. I pacchetti vengono filtrati in base all’indirizzo IP sorgente o di destinazione e alle corrispettive porte. Difficilmente i log memorizzati riguardano il traffico permesso, in quanto ritenuto affidabile. Se alcuni dei pacchetti dannosi riuscissero a superare il firewall a causa di una configurazione non corretta dello stesso, o di una qualsiasi vulnerabilità sfruttata, non solo sarebbe possibile portare a termine un attacco con successo ma, sopratutto, non verrebbe memorizzata alcuna informazione in merito. Per ovviare a questo problema, entrano in gioco i NIDS, i quali analizzano il contenuto di tali pacchetti e segnalano con un allarme ogni attività anomala individuata, indipendentemente dal successo o dall’insuccesso della stessa. Inoltre nel caso in cui un attacco provenisse dall’interno della rete, il firewall non avrebbe utilità alcuna. Esso infatti, pur essendo capace di filtrare il traffico verso e dalla rete esterna, non ha alcun potere sul traffico interno alla rete. Altra debolezza dei firewall è dovuta al fatto che talvolta gli utenti per ingenuità o impazienza si collegano a Internet creando connessioni non autorizzate tramite modem. Questo comportamento mette a rischio l’intera rete perchè il traffico generato, anche in questo caso, non sarà filtrato dal firewall. I NIDS, pertanto, pur monitorando il traffico interno alla rete, non eliminano i firewall.

• Danilo Vizzarro, "Progettazione di un Intrusion Detection System", December 2006.

• Sicurezza informatica
• Intrusion detection system (IDS)

• (EN) Snort - Popolare NIDS Open Source
• (EN) ISS RealSecure Network IDS
• (EN) The RFC Archive