Sigurnost je vitalno pitanje u svakom sistemu. Neki vjeruju da su * nix sistemi neranjivi na bilo kakav napad ili da se ne mogu zaraziti zlonamjernim softverom. A to je pogrešno shvatanje. Uvijek morate biti na oprezu, ništa nije 100% sigurno. Stoga biste trebali implementirati sisteme koji vam pomažu da otkrijete, zaustavite ili minimizirate štetu od sajber napada. U ovom članku ćete vidjeti šta je IDS i neki od najboljih za vašu distribuciju Linuxa.
Šta je IDS?
Un IDS (Intrusion Detection System) ili sistem za otkrivanje upada, je sistem za nadzor koji otkriva sumnjive aktivnosti i generira niz upozorenja za prijavu kršenja (mogu se otkriti upoređivanjem potpisa datoteka, obrazaca skeniranja ili zlonamjernih anomalija, praćenja ponašanja, konfiguracija, mrežnog prometa...) koji su se možda dogodili u sistem.
Zahvaljujući ovim upozorenjima, možete istražiti izvor problema i poduzeti odgovarajuće mjere za otklanjanje prijetnje. Iako ne otkriva sve napade, postoje metode izbjegavanja i ne blokira ih, samo ih prijavljuje. Osim toga, ako se zasniva na potpisima, najnovije prijetnje (0-dan) također mogu pobjeći i ostati neotkrivene.
Vrste
U osnovi postoje dvije vrste IDS-a:
- HIDS (IDS zasnovan na hostu)- Raspoređuje se na određenoj krajnjoj tački ili mašini i dizajniran je za otkrivanje unutrašnjih i eksternih pretnji. Primjeri su OSSEC, Wazuh i Samhain.
- NIDS (mrežni IDS)- Za praćenje cijele mreže, ali nedostatak vidljivosti unutar krajnjih tačaka povezanih na tu mrežu. Primjeri su Snort, Suricata, Bro i Kismet.
Razlike sa firewall-om, IPS-om i UTM-om, SIEM-om...
Postoje razni pojmovi koji mogu dovesti u zabludu, ali to ima razlike sa IDS-om. Neki od pojmova vezanih za sigurnost koje biste također trebali znati su:
- firewall: Više liči na IPS nego na IDS, jer je aktivan sistem detekcije. Vatrozid je dizajniran da blokira ili dozvoli određene komunikacije, ovisno o pravilima koja su konfigurirana. Može se implementirati i softverski i hardverski.
- IPS: je akronim za sistem za prevenciju upada i dopuna je IDS-u. To je sistem koji može spriječiti određene događaje, pa je stoga aktivan sistem. Unutar IPS-a mogu se razlikovati 4 osnovna tipa:
- NIPS- Zasnovano na mreži i stoga potražite sumnjiv mrežni promet.
- WIPS: Kao NIPS, ali za bežične mreže.
- NBA- zasniva se na ponašanju mreže, ispitujući neobičan promet.
- HIPS- Potražite sumnjive aktivnosti na jedinstvenim hostovima.
- UTM: je akronim za Unified Threat Management, sistem upravljanja za sajber sigurnost koji pruža višestruke centralizirane funkcije. Na primjer, oni uključuju firewall, IDS, antimalware, antispam, filtriranje sadržaja, neki čak i VPN, itd.
- Ostalo: Postoje i drugi pojmovi vezani za sajber sigurnost za koje ste sigurno čuli:
- SIM: je akronim za Security Information Manager, ili upravljanje sigurnosnim informacijama. U ovom slučaju, to je centralni registar koji grupiše sve sigurnosne podatke za generiranje izvještaja, analizu, donošenje odluka itd. To jest, skup kapaciteta za pohranjivanje ovih informacija na duži rok.
- SEM: Funkcija Security Event Manager, ili upravljanje sigurnosnim događajima, odgovorna je za otkrivanje abnormalnih obrazaca u pristupima, pruža mogućnost praćenja u realnom vremenu, korelacije događaja itd.
- siem: to je kombinacija SIM i SEM i jedan je od glavnih alata koji se koriste u SOC ili sigurnosnim operativnim centrima.
Najbolji IDS za Linux
Što se tiče najbolji IDS sistemi koje možete pronaći za GNU / Linux, imate sljedeće:
- brate (zeek): NIDS je tipa i ima funkcije evidentiranja i analize prometa, nadzora SNMP prometa, FTP, DNS i HTTP aktivnosti itd.
- OSSEC: je HIDS tipa, otvorenog koda i besplatno. Osim toga, radi se o više platformi, a njegova evidencija također uključuje FTP, podatke web servera i e-poštu.
- Snort: jedan je od najpoznatijih, otvorenog koda i NIDS tipa. Uključuje sniffer za pakete, log za mrežne pakete, inteligenciju prijetnji, blokiranje potpisa, ažuriranje sigurnosnih potpisa u realnom vremenu, mogućnost detekcije vrlo brojnih događaja (OS, SMB, CGI, prelivanje bafera, skriveni portovi,...).
- Meerkat: drugi tip NIDS, također open source. Može pratiti aktivnosti niskog nivoa, kao što su TCP, IP, UDP, ICMP i TLS, u realnom vremenu za aplikacije kao što su SMB, HTTP i FTP. Omogućava integraciju sa alatima trećih strana kao što su Anaval, Squil, BASE, Snorby, itd.
- Sigurnosni luk: NIDS / HIDS, još jedan IDS sistem posebno fokusiran na Linux distribucije, sa mogućnošću otkrivanja uljeza, nadzora poslovanja, njuškanja paketa, uključuje grafiku onoga što se dešava, a možete koristiti alate kao što su NetworkMiner, Snorby, Xplico, Sguil, ELSA , i Kibana.
Dodao bih Wazuha na listu