Най-добрият IDS за Linux

Isaac

5 Minutos

IDS система за откриване на проникване

Сигурността е жизненоважен въпрос във всяка система. Някои смятат, че * nix системите са неуязвими за всяка атака или че не могат да бъдат заразени със зловреден софтуер. И това е погрешно схващане. Винаги трябва да се пазите, нищо не е 100% безопасно. Ето защо трябва да внедрите системи, които да ви помогнат да откриете, спрете или сведете до минимум щетите от кибератака. В тази статия ще видите какво е IDS и някои от най-добрите за вашата Linux дистрибуция.

Какво е IDS?

Un IDS (система за откриване на проникване) или система за откриване на проникване, е система за наблюдение, която открива подозрителни дейности и генерира поредица от сигнали за докладване на нарушения (те могат да бъдат открити чрез сравняване на файлови подписи, модели на сканиране или злонамерени аномалии, поведение на наблюдение, конфигурации, мрежов трафик ...), които може да са възникнали в системата.

Благодарение на тези сигнали можете проучете източника на проблема и да предприеме подходящи действия за отстраняване на заплахата. Въпреки че не открива всички атаки, има методи за избягване и не ги блокира, а само ги докладва. Освен това, ако се основава на подписи, най-новите заплахи (0-ден) също могат да избягат и да останат неоткрити.

Тип

По принцип има два вида IDS:

  • HIDS (базирани на хост IDS)- Разгръща се на определена крайна точка или машина и е предназначена да открива вътрешни и външни заплахи. Примери са OSSEC, Wazuh и Samhain.
  • NIDS (мрежово базирани IDS)- За наблюдение на цяла мрежа, но липса на видимост в крайните точки, свързани към тази мрежа. Примери са Snort, Suricata, Bro и Kismet.

Разлики със защитна стена, IPS и UTM, SIEM ...

там различни термини, които могат да бъдат подвеждащи, но това има разлики с IDS. Някои от термините, свързани със сигурността, които също трябва да знаете, са:

  • Firewall: Прилича повече на IPS, отколкото на IDS, тъй като е активна система за откриване. Защитната стена е проектирана да блокира или позволява определени комуникации, в зависимост от конфигурираните правила. Може да се реализира както чрез софтуер, така и чрез хардуер.
  • IPS: е акроним за система за предотвратяване на проникване и е допълнение към IDS. Това е система, способна да предотврати определени събития, следователно е активна система. В IPS могат да се разграничат 4 основни типа:
    • НИПС- Мрежово базирани и следователно търсете подозрителен мрежов трафик.
    • WIPS: Като NIPS, но за безжични мрежи.
    • НБА- се основава на поведението на мрежата, като изследва необичаен трафик.
    • HIPS- Потърсете подозрителна активност на уникални хостове.
  • UTM: е акроним за Unified Threat Management, система за управление на киберсигурността, която предоставя множество централизирани функции. Например, те включват защитна стена, IDS, анти-зловреден софтуер, антиспам, филтриране на съдържание, някои дори VPN и т.н.
  • Други: Има и други термини, свързани с киберсигурността, които със сигурност сте чували:
    • YES: е съкращението за Security Information Manager или управление на информацията за сигурност. В този случай това е централен регистър, който групира всички данни, свързани със сигурността, за да генерира отчети, анализира, взема решения и т.н. Тоест набор от капацитети за съхраняване на тази информация в дългосрочен план.
    • SEM: функцията Security Event Manager или управлението на събития за сигурност е отговорна за откриването на необичайни модели в достъпа, предоставя възможност за наблюдение в реално време, корелация на събития и т.н.
    • Сием: това е комбинацията от SIM и SEM и е един от основните инструменти, използвани в SOC или оперативните центрове за сигурност.

Най-добрият IDS за Linux

IDS

Относно най-добрите IDS системи, които можете да намерите за GNU / Linux, имате следното:

  • брато (Зийк): Той е от типа NIDS и има функции за регистриране и анализ на трафика, наблюдение на SNMP трафик и FTP, DNS и HTTP активност и др.
  • OSSEC: е тип HIDS, с отворен код и безплатен. В допълнение, той е кросплатформен и неговите записи включват също FTP, данни от уеб сървър и имейл.
  • сумтене: това е един от най-известните, с отворен код и тип NIDS. Включва снифер за пакети, лог за мрежови пакети, разузнаване на заплахи, блокиране на подписи, актуализации в реално време на защитни подписи, способност за откриване на многобройни събития (OS, SMB, CGI, препълване на буфер, скрити портове, ...).
  • Suricata: друг тип NIDS, също с отворен код. Може да наблюдава активност на ниско ниво, като TCP, IP, UDP, ICMP и TLS, в реално време за приложения като SMB, HTTP и FTP. Позволява интеграция с инструменти на трети страни като Anaval, Squil, BASE, Snorby и др.
  • Сигурност Лук: NIDS / HIDS, друга IDS система, специално фокусирана върху Linux дистрибуции, с възможност за откриване на натрапници, бизнес мониторинг, снифер на пакети, включва графики на случващото се и можете да използвате инструменти като NetworkMiner, Snorby, Xplico, Sguil, ELSA , и Кибана.

Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорник за данните: AB Internet Networks 2008 SL
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.

  1.   Electro каза той
    hace 2 година

    Бих добавил Wazuh към списъка

    Отговорете на Elektro