Els millors IDS per a Linux

Isaac

5 minuts

IDS intrusion detection system

La seguretat és un tema vital a qualsevol sistema. Alguns creuen que els sistemes nix són invulnerables a qualsevol atac o que no poden ser infectats amb codi maliciós. I això és una idea errònia. Sempre cal mantenir la guàrdia, res no és 100% segur. Per això, hauries d'implementar sistemes que t'ajudin a detectar, frenar o minimitzar els danys d'un ciberatac. En aquest article veuràs què és un IDS i alguns dels millors per al teu distro Linux.

Què és un IDS?

Un IDS (Intrusion Detection System), o sistema de detecció d'intrusos, és un sistema de monitoratge que detecta activitats sospitoses i genera una sèrie d'alertes per informar de les violacions (poden ser detectades per comparació de signatures dels arxius, escaneig de patrons o anomalies malicioses, monitoritzant comportament, configuracions, trànsit de xarxa…) que s'hagin pogut produir al sistema.

Gràcies a aquestes alertes, es pot investigar l'origen del problema i prendre mesures adequades per posar remei a l'amenaça. Encara que, no detecta tots els atacs, hi ha mètodes d'evasió, i tampoc els bloqueja, només n'informa. A més, si es basa en firmes, les amenaces més recents (0-day), també poden escapar-se i no ser detectades.

Tipus

Fonamentalment, hi ha dos tipus d'IDS:

  • HIDS (Host-Based IDS): s'implementa en un endpoint o màquina en particular i està dissenyat per detectar amenaces internes i externes. Exemples són OSSEC, Wazuh, i Samhain.
  • NIDS (Network-based IDS): per supervisar tota una xarxa, però no tenen visibilitat dins dels endpoints connectats a aquesta xarxa. Exemples són Snort, Suricata, Bro, i Kismet.

Diferències amb un firewall, IPS i UTM, SIEM…

Existeixen diversos termes que poden portar a confusió, però que tenen diferències amb un IDS. Alguns dels termes relacionats amb la seguretat que també hauries de conèixer són:

  • Firewall: s'assembla més a un IPS que a un IDS, ja que és un sistema de detecció actiu. Un tallafocs està dissenyat per bloquejar o permetre certes comunicacions, segons les regles que s'hagin configurat. Es pot implementar tant per programari com per maquinari.
  • IPS: són les sigles d'Intrusion Prevention System, i és un complement per a un IDS. És un sistema capaç de prevenir certs esdeveniments, per tant, és un sistema actiu. Dins dels IPS es poden distingir 4 tipus fonamentals:
    • NIPS: basats en xarxa i per tant busquen trànsit de xarxa sospitós.
    • WIPS: com els NIPS, però per a xarxes sense fil.
    • NBA: es basa en el comportament de la xarxa, examinant trànsit inusual.
    • HIPS: busquen activitats sospitoses en host únics.
  • UTM: són les sigles d'Unified Threat Managment, un sistema de gestió per a ciberseguretat que proporciona múltiples funcions centralitzades. Per exemple, inclouen firewall, IDS, antimalware, antispam, filtratge de continguts, alguns fins i tot VPN, etc.
  • Altres: també hi ha altres termes relacionats amb la ciberseguretat que segur que has escoltat:
    • SI: són les sigles de Security Information Manager, o gestió d'informació de seguretat. En aquest cas, és un registre central que agrupa totes les dades referents a seguretat per generar informes, analitzar, prendre decisions, etc. És a dir, un conjunt de capacitats per emmagatzemar a llarg termini aquesta informació.
    • SEM: una funció Security Event Manager, o gestió d'esdeveniments de seguretat, s'encarrega de detectar patrons anormals en accessos, atorga la capacitat de monitorització a temps real, correlació d'esdeveniments, etc.
    • SIEM: és la combinació de SIM i SEM, i és una de les principals eines utilitzades a SOC o centres d'operacions de seguretat.

Els millors IDS per a Linux

IDS

Quant a els millors sistemes IDS que podeu trobar per a GNU/Linux, tens els següents:

  • Bro (Zeek): és de tipus NIDS i té funcions de registre de trànsit i anàlisi, monitor de trànsit SNMP, i activitat FTP, DNS, i HTTP, etc.
  • OSSEC: és de tipus HIDS, de codi obert i gratuït. A més, és multiplataforma, i els seus registres també inclouen FTP, dades del servidor web i email.
  • Snort: és un dels més famosos, de codi obert, i de tipus NIDS. Inclou sniffer per a paquets, registre per a paquets de xarxa, threat intelligence, bloqueig de signatures, actualitzacions en temps real de les signatures de seguretat, habilitat per detectar esdeveniments molt nombrosos (OS, SMB, CGI, buffer overflow, ports ocults,…).
  • Suricata: altre tipus NIDS, també de codi obert. Podeu monitoritzar activitat a baix nivell, com TCP, IP, UDP, ICMP, i TLS, en temps real per a aplicacions com SMB, HTTP, i FTP. Permet la integració amb eines de tercers com ara Anaval, Squil, BASE, Snorby, etc.
  • Ceba de seguretat: NIDS/HIDS, un altre sistema IDS especialment focalitzat a les distros Linux, amb capacitat per detectar intrusos, monitorització empresarial, sniffer de paquets, inclou gràfics del que passa, i es poden fer servir eines com NetworkMiner, Snorby, Xplico, Sguil, ELSA , i Kibana.

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   Electro va dir
    fa 2 anys

    Afegiria Wazuh a la llista

    Respondre a Elektro