Najbolji IDS za Linux

Isaac

5 minuta

IDS sistem za detekciju upada

Sigurnost je vitalno pitanje u svakom sistemu. Neki vjeruju da su * nix sistemi neranjivi na bilo kakav napad ili da se ne mogu zaraziti zlonamjernim softverom. A to je pogrešno shvatanje. Uvijek morate biti na oprezu, ništa nije 100% sigurno. Stoga biste trebali implementirati sisteme koji vam pomažu da otkrijete, zaustavite ili minimizirate štetu od sajber napada. U ovom članku ćete vidjeti šta je IDS i neki od najboljih za vašu distribuciju Linuxa.

Šta je IDS?

Un IDS (Intrusion Detection System) ili sistem za otkrivanje upada, je sistem za nadzor koji otkriva sumnjive aktivnosti i generira niz upozorenja za prijavu kršenja (mogu se otkriti upoređivanjem potpisa datoteka, obrazaca skeniranja ili zlonamjernih anomalija, praćenja ponašanja, konfiguracija, mrežnog prometa...) koji su se možda dogodili u sistem.

Zahvaljujući ovim upozorenjima, možete istražiti izvor problema i poduzeti odgovarajuće mjere za otklanjanje prijetnje. Iako ne otkriva sve napade, postoje metode izbjegavanja i ne blokira ih, samo ih prijavljuje. Osim toga, ako se zasniva na potpisima, najnovije prijetnje (0-dan) također mogu pobjeći i ostati neotkrivene.

Vrste

U osnovi postoje dvije vrste IDS-a:

  • HIDS (IDS zasnovan na hostu)- Raspoređuje se na određenoj krajnjoj tački ili mašini i dizajniran je za otkrivanje unutrašnjih i eksternih pretnji. Primjeri su OSSEC, Wazuh i Samhain.
  • NIDS (mrežni IDS)- Za praćenje cijele mreže, ali nedostatak vidljivosti unutar krajnjih tačaka povezanih na tu mrežu. Primjeri su Snort, Suricata, Bro i Kismet.

Razlike sa firewall-om, IPS-om i UTM-om, SIEM-om...

Postoje razni pojmovi koji mogu dovesti u zabludu, ali to ima razlike sa IDS-om. Neki od pojmova vezanih za sigurnost koje biste također trebali znati su:

  • firewall: Više liči na IPS nego na IDS, jer je aktivan sistem detekcije. Vatrozid je dizajniran da blokira ili dozvoli određene komunikacije, ovisno o pravilima koja su konfigurirana. Može se implementirati i softverski i hardverski.
  • IPS: je akronim za sistem za prevenciju upada i dopuna je IDS-u. To je sistem koji može spriječiti određene događaje, pa je stoga aktivan sistem. Unutar IPS-a mogu se razlikovati 4 osnovna tipa:
    • NIPS- Zasnovano na mreži i stoga potražite sumnjiv mrežni promet.
    • WIPS: Kao NIPS, ali za bežične mreže.
    • NBA- zasniva se na ponašanju mreže, ispitujući neobičan promet.
    • HIPS- Potražite sumnjive aktivnosti na jedinstvenim hostovima.
  • UTM: je akronim za Unified Threat Management, sistem upravljanja za sajber sigurnost koji pruža višestruke centralizirane funkcije. Na primjer, oni uključuju firewall, IDS, antimalware, antispam, filtriranje sadržaja, neki čak i VPN, itd.
  • Ostalo: Postoje i drugi pojmovi vezani za sajber sigurnost za koje ste sigurno čuli:
    • SIM: je akronim za Security Information Manager, ili upravljanje sigurnosnim informacijama. U ovom slučaju, to je centralni registar koji grupiše sve sigurnosne podatke za generiranje izvještaja, analizu, donošenje odluka itd. To jest, skup kapaciteta za pohranjivanje ovih informacija na duži rok.
    • SEM: Funkcija Security Event Manager, ili upravljanje sigurnosnim događajima, odgovorna je za otkrivanje abnormalnih obrazaca u pristupima, pruža mogućnost praćenja u realnom vremenu, korelacije događaja itd.
    • siem: to je kombinacija SIM i SEM i jedan je od glavnih alata koji se koriste u SOC ili sigurnosnim operativnim centrima.

Najbolji IDS za Linux

IDS

Što se tiče najbolji IDS sistemi koje možete pronaći za GNU / Linux, imate sljedeće:

  • brate (zeek): NIDS je tipa i ima funkcije evidentiranja i analize prometa, nadzora SNMP prometa, FTP, DNS i HTTP aktivnosti itd.
  • OSSEC: je HIDS tipa, otvorenog koda i besplatno. Osim toga, radi se o više platformi, a njegova evidencija također uključuje FTP, podatke web servera i e-poštu.
  • Snort: jedan je od najpoznatijih, otvorenog koda i NIDS tipa. Uključuje sniffer za pakete, log za mrežne pakete, inteligenciju prijetnji, blokiranje potpisa, ažuriranje sigurnosnih potpisa u realnom vremenu, mogućnost detekcije vrlo brojnih događaja (OS, SMB, CGI, prelivanje bafera, skriveni portovi,...).
  • Meerkat: drugi tip NIDS, također open source. Može pratiti aktivnosti niskog nivoa, kao što su TCP, IP, UDP, ICMP i TLS, u realnom vremenu za aplikacije kao što su SMB, HTTP i FTP. Omogućava integraciju sa alatima trećih strana kao što su Anaval, Squil, BASE, Snorby, itd.
  • Sigurnosni luk: NIDS / HIDS, još jedan IDS sistem posebno fokusiran na Linux distribucije, sa mogućnošću otkrivanja uljeza, nadzora poslovanja, njuškanja paketa, uključuje grafiku onoga što se dešava, a možete koristiti alate kao što su NetworkMiner, Snorby, Xplico, Sguil, ELSA , i Kibana.

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   električni rekao je
    čini 2 godina

    Dodao bih Wazuha na listu

    Odgovorite Elektro