| HT articoli
| SicurezzaHost Intrusion Detection System e difesa dell'host
di Gabriele IzzoTable of Contents:
- Host Intrusion Detection System e difesa dell'host
- Attacco ad un host
- AIDE, una soluzione per l'HIDS
- Il file di configurazione di AIDE
- Il funzionamento di AIDE
- Impostare una verifica periodica automatica
- Conclusioni su AIDE
Un Host Intrusion Detection System (HIDS) è un sistema di difesa attiva, fondamentale per la difesa di un pc, considerato che anche un computer apparentemente senza importanza può contenere informazioni importanti per un attaccante. Un sistema di questo tipo, in realtà è un po' rudimentale ma molto efficace in quanto verifica che file importanti non siano stati modificati; rileva un'intrusione e consente all'amministratore di prendere precauzioni per evitare danni maggiori.
Un HIDS rientra nella categoria degli IDS che controllano il singolo host; è file system based, in grado di rilevare cambiamenti ai file nel sistema (modifiche nel file delle password, nel database degli utenti e della gestione dei privilegi, ecc ). Gli IDS di questo tipo funzionano producendo un hash crittografico unico per i file da controllare, che poi custodiscono in un luogo sicuro. Ad intervalli regolari (ad esempio una volta al giorno), l'hash memorizzato, ritenuto buono, viene comparato con quello generato dalla copia attuale di ogni file, per determinare se il file sia stato modificato.
Un IDS può utilizzare un file di configurazione, che generalmente è bene non lasciare nel file system per motivi di sicurezza, inserendolo solo nel momento del bisogno. Allo stesso modo, anche il file contenente le informazioni accumulate riguardo allo stato del file system va protetto, preferibilmente togliendolo dal file system stesso, in modo da garantire che non possa essere letto e alterato.
