Le differenze tra un firewall e un sistema di rilevamento delle intrusioni

Il rischio di attacchi di hacking e intrusioni di rete è un dato di fatto per tutti coloro che si avventurano online. Il firewall del tuo sistema e il suo sistema di rilevamento delle intrusioni funzionano entrambi per proteggerti da tali minacce. Il compito del firewall è impedire agli intrusi di entrare nella tua rete; l’IDS non li tiene fuori, ma tiene traccia dei tentativi di intrusione.

firewall

Un firewall limita l’accesso alla rete controllando il traffico e decidendo a quali pacchetti consentire l’accesso. La Boston University lo confronta con una guardia di sicurezza che decide chi può ottenere l’autorizzazione. Il firewall monitora le porte che connettono la rete a Internet e controlla i pacchetti di dati prima di consentire loro il passaggio. Un firewall può accettare un pacchetto, rilasciarlo – cancellandolo dall’esistenza – o negarlo, restituendolo al mittente.

IDS

Se i firewall sono guardie di sicurezza, i sistemi di rilevamento delle intrusioni sono telecamere di sicurezza. Un IDS monitora il traffico e individua i modelli di attività, avvisandoti se conclude che la tua rete è sotto attacco. Il rilevamento della firma confronta le informazioni di rete o di sistema con gli attacchi già elencati nel database IDS. Il rilevamento delle anomalie confronta il traffico di rete corrente con i normali livelli di dimensione o attività del pacchetto e analizza il risultato in modo statistico. Se il traffico di rete raggiunge improvvisamente un livello elevato, ad esempio, ciò potrebbe indicare un attacco di hacking.

Criterio firewall

La politica che determina quale traffico è accettato da un firewall è fondamentale per la sua efficacia. Se il criterio o il set di regole è troppo restrittivo, rifiuterà il traffico che la tua rete deve ricevere. La prima volta che si collega una stampante alla rete, il firewall potrebbe bloccarla, quindi il sistema non può vedere la stampante e inviare file da trasformare in copia cartacea. Molti firewall hanno un’impostazione predefinita in cui tutto il traffico esterno viene rifiutato fino a quando non lo si autorizza specificamente.

Falsi positivi IDS

Come i firewall, un IDS può generare falsi positivi o schemi di avviso che non mostrano realmente un attacco. Un IDS viene fornito con un database di firme pericolose integrato. Se il database genera più falsi avvisi di quelli che si desidera gestire, in teoria è possibile personalizzare il database per risolvere il problema. In pratica, è difficile personalizzare centinaia di firme. Il numero totale di firme non è importante quanto avere firme che corrispondono a un’ampia varietà di tipi di attacco.