Monitorare le reti mediante IDS (Intrusion Detection Systems)
Durata: 8h
A chi è rivolto il corso?
Responsabili di Sicurezza Informatica, Tecnici di Sicurezza Informatica, IT Security Auditors
Prerequisiti:
Conoscenze base di Sistemi Operativi (Windows, Linux)
Obiettivi:
Conoscere gli strumenti utilizzabili per monitorare la sicurezza della propria rete. Impostare opportune logiche di auditing per gli eventi critici di violazione della sicurezza. Ottimizzare l’utilizzo degli strumenti di rivelazione delle intrusioni per la propria rete. Conoscere le possibilità in termini di contromisure in circostanze di violazioni della sicurezza, impostabili automaticamente mediante gli IDS. Esercitarsi concretamente sulla configurazione e l’utilizzo di un sistema IDS.
Agenda del corso:
Perché utilizzare un IDS nella propria rete
- Ruolo e funzioni degli IDS nella sicurezza della rete
- Punti di forza e debolezze
- Dove e quando gli IDS devono essere usati
- Chi amministra gli IDS
- IDS vs. Firewall
- Insourcing vs. Outsourcing
Classificazione degli IDS
- Tipologie di Intrusion Detection Systems:
- Network-Based
- Host-Based
- IDS Ibridi
- IDS passivi e IDS attivi
- Integrity monitors
- Anomaly Based
- Kernel monitors
- Real-time vs. Pole for later
Architettura degli IDS
- Componenti di un sistema IDS
- Sensori
- Collettori
- Console di gestione
IDS basati su Rete (Network based IDS)
- Introduzione
- Architettura
- Sistema distribuito a nodi di rete
- Vantaggi/Svantaggi
CASE STUDY: le principali vulnerabilità dei sistemi e possibili utilizzi degli IDS
Momento di riflessione riguardante i casi proposti dai partecipanti: verranno prese in considerazione le vulnerabilità principali solitamente riscontrate e le possibili contromisure da adottare mediante IDS
IDS basati su Host (Host based IDS)
- Introduzione
- Architettura
- Sistema distribuito basato su host
- Vantaggi/Svantaggi
Le Signature degli IDS e loro analisi
- Concetto di Signature
- Vulnerabilità comuni
- Signature di traffico normale
- Signature di traffico anomalo
IDS Open Source
- Snort, Aide, Tripwire
- Architettura
- Installazione
- Configurazione
- Logging
ESERCITAZIONE PRATICA: Installazione e Configurazione di Snort, Simulazione di un tentativo di attacco, Analisi dei log registrati.
Contromisure agli attacchi mediante gli IDS
- Monitoraggio del traffico
- Generazione di messaggi di allerta: tipologie di allertamento
- Impostazione di azioni basate su politiche di sicurezza
- Forzare la disconnessione della sessione
- Bloccare l’accesso alla rete alla sorgente dell’attacco
- Bloccare tutti gli accessi alla rete
Cenni sugli IDS Commerciali
ESERCITAZIONE PRATICA:
- Installazione e Configurazione di OSSec,
- Simulazione di un tentativo di attacco,
- Analisi dei log registrati.
Gli IDS nella gestione degli attacchi: tuning dei sistemi
- Sistemi early-warning
- Procedure di escalation
- Politiche di sicurezza e procedure
- Definire l’ambito degli attacchi ed incidenti da gestire
- Definizione dei livelli di allarme degli IDS
- Le possibili fonti di risposta agli incidenti
- Integrazione di IDS e Firewall
- Sviluppare un’efficace capacità di risposta agli incidenti