INTRUSION DETECTION SYSTEMS (IDS), open source anche su windows

 Il rilevamento di intrusioni è la pratica di usare strumenti automatici e intelligenti per rilevare tentativi di intrusione in tempo reale. Questi strumenti sono chiamati Intrusion Detection Systems (IDS). Essi rappresentano una parte importante di qualsiasi architettura di network security fornendo un livello di difesa che monitorizza il traffico di rete per attività sospette e avvisa l’amministratore del sistema quando è individuato traffico potenzialmente ostile. I sistemi di rilevamento di intrusioni sono un fenomeno relativamente nuovo, emerso nei primi anni ’80.

Da allora sono stati condotti migliaia di studi sugli IDS e oggi esistono centinaia di sistemi di rilevamento delle intrusioni. Essi sono divisi fondamentalmente in due categorie:

• Sistemi basati su regole. Si appoggiano a librerie e database di attacchi e di firme di attacchi conosciuti. Quest’ultima fa in modo che l'IDS sia programmato per interpretare una serie di pacchetti, o una parte di dati contenuti in essi, come un attacco. Per la rilevazione di un'intrusione vengono utilizzati degli algoritmi, chiamati pattern matching algorithms, che si basano sul confronto tra le stringhe memorizzate al loro interno (sono delle stringhe che contengono la configurazione di un attacco sotto forma di regola) e la stringa che è stata acquisita dall'IDS. Se la stringa acquisita dall'IDS e una di quelle memorizzate coincidono, l'algoritmo riconosce un attacco e lo comunica all'IDS che opererà nel modo più consono a quello programmato. Questo sistema viene molto usato dagli IDS commerciali che periodicamente mettono a disposizione degli utenti alcuni algoritmi con un elenco aggiornato dei tipi di attacco. In tal modo l'IDS posseduto dall'utente è sempre aggiornato. Il principale inconveniente dei sistemi basati sulle regole è che dipendono dalla tempestività: il database degli attacchi deve essere aggiornato, e mantenuto diligentemente. Inoltre, a volte ci può essere una relazione inversa fra la specificità delle regole e il tasso di rilevamenti assicurato. Cioè se una regola è troppo specifica, gli attacchi che sono simili ma non identici riusciranno a passare.
• Sistemi che si adattano. Questi usano tecniche più avanzate, compresa l’intelligenza artificiale, non solo per riconoscere le firme degli attacchi noti, ma anche per impararne di nuove. I principali inconvenienti dei sistemi che si adattano sono la manutenzione, il fatto che richiedono conoscenze avanzate di matematiche e statistica e l’elevato costo. Sono quindi usati soprattutto in ambienti di ricerca.

Snort è un sistema di rilevamento e prevenzione delle intrusioni open source. È in grado di effettuare analisi del traffico in tempo reale e la registrazione. 
E' il più diffuso sistema IDS/IPS, può controllare, rilevare e rispondere alle diverse strategie di attacco utilizzando le signature, il protocollo o tecniche di ispezione anomalie-based. 
Molti strumenti di sicurezza vengono eseguiti principalmente su piattaforme Linux / Unix, a discapito degli ambienti Windows. . 
Per fortuna adesso alcune funzionalità di Snort sono disponibili anche su questo o.s. Windows.

Per eseguire una installazione di base di Snort su un sistema Windows, sarà necessario scaricare un paio di programmi.
In primo luogo abbiamo bisogno di ottenere del file eseguibile di Snort da Snort.org. 
Snort per funzionare correttamente, avrà bisogno di mettere la nostra scheda di rete (NIC) in modalità promiscua per poter vedere tutto il traffico che transita da essa.
Per fare questo su Windows, avremo bisogno di scaricare la libreria Packet Capture Windows da WinPCap.org

LE REGOLE
Ci sono una serie di linee guida da seguire nella scrittura di nuove regole. 
Esse devono essere scritte su di un'unica riga, infatti, il parser di Snort non riconosce regole scritte su più linee. 
Bisogna suddividere le regole in due sezioni logiche: 

• header: contiene le azioni delle regole, protocollo, indirizzo IP di origine e destinazione, e le informazioni sulle porte. Di conseguenza esso contiene le informazioni che definiscono “chi, dove e cosa fare” dei pacchetti.
• options: contiene messaggi di alert, informazioni su quali parti dei pacchetti devono essere analizzate per determinare se le regole di azione devono essere eseguite. Tale sezione non è specificatamente richiesta da tutte le regole.

Anche se lo spazio occupato dall’eseguibile è di pochi bytes, è preferibile installare Snort su di una macchina ad esso dedicata con nessun servizio attivo, 
tranne che ssh, controllabile con una metodologia sia a singola che a doppia interfaccia.Nella prima, si ascolta il traffico sulla rete dallo stesso lato dell’amministratore.
Nella seconda, un’interfaccia ascolta il traffico sulla rete in modo promiscuo mentre l’altra può essere usata dall’amministratore per controllare il sistema da remoto
I vantaggi di Snort sono:

1. se ci sono nuovi attacchi l’amministratore può facilmente sviluppare nuove regole per rilevarli, molto più velocemente di un qualsiasi prodotto commerciale
2. prende poco tempo per l’installazione e l’applicazione
3. ha una struttura modulare
4. codice open source
5. utilizzato in reti eterogenee: può inviare allarmi a workstation Windows attraverso Samba

Riferiementi ai siti web:www.snort.org   -  www.wincap.org