Come proteggere la rete aziendale?
Sistemi di protezione di rete, installazione e configurazione.
SicurezzaRete offre l’installazione, configurazione e assistenza di sistemi IPS per la prevenzione delle intrusione e sistemi di monitoraggio puntuali IPS e di supervisione centralizzata SIEM.
statici e dinamici (Stateful Packet Inspection o SPI). Oggi tali sistemi sono necessari per i sistemi permanentemente connessi ad Internet con linee adsl, hdsl, fibra ottica o CDN. Ottieni la necessaria protezione della rete aziendale e dei dati in essa contenuta nei confronti di accessi illeciti.
Utilizzando prodotti opensource possiamo installare i diversi sistemi e metterli in servizio. Questi possono produrre alert utili al personale interno all’azienda per decidere se e quando intervenire per approfondire eventuali tentativi di accesso o manomissione di dati aziendali.
Installazione, configurazione e assistenza IDS
Un IDS è un sistema di rilevamento delle intrusioni che monitora passivamente il traffico di rete alla ricerca di minacce e avvisa gli amministratori,
Per le aziende che lo richiedono, come richiesto dalla normativa per numerosi soggetti, Sicurezzarete può installare e configurare un sistema IDS che controlli le minacce che possono danneggiare il business on-line.
Installazione, configurazione e assistenza IPS
Un IPS è un sistema di prevenzione delle intrusioni che blocca attivamente le minacce rilevate in tempo reale.
Per le aziende che lo richiedono, come richiesto dalla normativa per numerosi soggetti, Sicurezzarete può installare e configurare un sistema IPS che controlli le minacce che possono danneggiare il business on-line.
Installazione, configurazione e assistenza SIEM
Un IPS è un sistema di prevenzione delle intrusioni che blocca attivamente le minacce rilevate in tempo reale.
Per le aziende che lo richiedono, come richiesto dalla normativa per numerosi soggetti, Sicurezzarete può installare e configurare un sistema SIEM che controlli le minacce che possono danneggiare il business on-line.
IDS vs IPS
Quando un IPS rileva un’intrusione, a differenza dei più datati IDS (Intrusion Detection System), interviene per bloccare il traffico e impedirgli di raggiungere il suo obiettivo. Come si può immaginare, garantire che il sistema blocchi solo il traffico dannoso è di fondamentale importanza. Un IDS si limita a rilevare il traffico e inviare un avviso. Dato il volume di traffico su una rete o un host tipico odierno, un IDS ha un’utilità limitata.
Tra i prodotti software opensource utilizzati come IDS e IPS possiamo trovare i seguenti.
Tripwire
Il primo pacchetto EPEL è Tripwire, uno strumento di monitoraggio dell’integrità dei file, di cui Seth Kenlon ha scritto per Enable Sysadmin ad aprile. Il compito di Tripwire è monitorare i file sull’host e inviare un avviso se cambiano in modi indesiderati. Ad esempio, è possibile monitorare un file binario come /bin/bash e inviare un avviso se il file cambia in qualche modo, come i permessi o altri attributi. Gli aggressori spesso modificano i file binari più comuni e aggiungono un payload che ha lo scopo di mantenere attivo l’accesso al server. Tripwire può rilevarlo.
fail2ban
Il secondo pacchetto EPEL è fail2ban. Fail2ban è più uno strumento in stile IPS, in quanto monitora e interviene quando rileva qualcosa di anomalo. Un’implementazione comune di fail2ban è il monitoraggio dei log di OpenSSH. Creando una firma che identifica un accesso non riuscito, fail2ban può rilevare più tentativi di accesso da un singolo indirizzo sorgente e bloccarlo. In genere, fail2ban lo fa aggiungendo regole al firewall dell’host, ma in realtà può eseguire qualsiasi script si possa immaginare. Ad esempio, è possibile scrivere uno script per bloccare l’IP sul firewall locale e quindi trasmettere tale IP a un sistema centrale che distribuirà il blocco del firewall ad altri sistemi. Bisogna però fare attenzione, perché bloccarsi globalmente da tutti i sistemi della rete può essere piuttosto imbarazzante.
OSSEC
OSSEC-HIDS, menzionato in precedenza, è uno dei miei preferiti. È più un coltellino svizzero di strumenti. Combina strumenti come tripwire e fail2ban in un unico strumento. Può essere gestito centralmente e utilizza tunnel crittografati per comunicare con i client. La community è molto attiva e vengono create continuamente nuove firme. Vale sicuramente la pena dargli un’occhiata.
Snort
Snort è un IDS/IPS (NIDS/NIPS) basato sulla rete. Laddove gli HIDS vengono installati sui server con l’intento di monitorare i processi sul server stesso, i NIDS vengono implementati per monitorare il traffico di rete. Snort è stato recentemente acquisito da Cisco. Cisco ha continuato a supportare Snort come open source, integrandolo contemporaneamente nella propria linea di prodotti. Snort, come la maggior parte dei NIDS/NIPS, funziona ispezionando ogni pacchetto mentre attraversa il sistema. Snort può essere implementato come IDS, eseguendo il mirroring del traffico sul sistema, oppure come IPS, allineandolo al traffico. In entrambi i casi, Snort ispeziona il traffico e lo confronta con un set di firme e modelli euristici, alla ricerca di traffico dannoso. Le firme di Snort vengono aggiornate regolarmente e utilizzano libpcap, la stessa libreria utilizzata da molti popolari strumenti di ispezione di rete come tcpdump e wireshark.
Suricata
Suricata è un IDS/IPS progettato per essere multi-thread, il che lo rende molto più veloce rispetto ai prodotti concorrenti. Come Snort, utilizza firme e rilevamento euristico. Infatti, può utilizzare la maggior parte delle regole di Snort senza alcuna modifica. Dispone inoltre di un proprio set di regole che gli consente di utilizzare funzionalità aggiuntive come il rilevamento e l’estrazione dei file.
Zeek (ex Bro)
Bro è una delle applicazioni IDS più datate qui menzionate.
Zeek è spesso utilizzato come strumento di analisi di rete, ma può anche essere implementato come IDS. Come Snort, Zeek utilizza libpcap per l’acquisizione dei pacchetti. Una volta che i pacchetti entrano nel sistema, tuttavia, è possibile applicare un numero qualsiasi di framework o script. Questo consente a Zeek di essere molto flessibile. Gli script possono essere scritti in modo molto specifico, mirando a specifici tipi di traffico o scenari, oppure Zeek può essere implementato come IDS, utilizzando diverse firme per identificare e segnalare il traffico sospetto.