Els millors IDS per a Linux

Isaac

1 Comentari

IDS intrusion detection system

La seguretat és un tema vital a qualsevol sistema. Alguns creuen que els sistemes nix són invulnerables a qualsevol atac o que no poden ser infectats amb codi maliciós. I això és una idea errònia. Sempre cal mantenir la guàrdia, res no és 100% segur. Per això, hauries d'implementar sistemes que t'ajudin a detectar, frenar o minimitzar els danys d'un ciberatac. En aquest article veuràs què és un IDS i alguns dels millors per al teu distro Linux.

Què és un IDS?

Un IDS (Intrusion Detection System), o sistema de detecció d'intrusos, és un sistema de monitoratge que detecta activitats sospitoses i genera una sèrie d'alertes per informar de les violacions (poden ser detectades per comparació de signatures dels arxius, escaneig de patrons o anomalies malicioses, monitoritzant comportament, configuracions, trànsit de xarxa…) que s'hagin pogut produir al sistema.

Gràcies a aquestes alertes, es pot investigar l'origen del problema i prendre mesures adequades per posar remei a l'amenaça. Encara que, no detecta tots els atacs, hi ha mètodes d'evasió, i tampoc els bloqueja, només n'informa. A més, si es basa en firmes, les amenaces més recents (0-day), també poden escapar-se i no ser detectades.

Tipus

Fonamentalment, hi ha dos tipus d'IDS:

  • HIDS (Host-Based IDS): s'implementa en un endpoint o màquina en particular i està dissenyat per detectar amenaces internes i externes. Exemples són OSSEC, Wazuh, i Samhain.
  • NIDS (Network-based IDS): per supervisar tota una xarxa, però no tenen visibilitat dins dels endpoints connectats a aquesta xarxa. Exemples són Snort, Suricata, Bro, i Kismet.

Diferències amb un firewall, IPS i UTM, SIEM…

Existeixen diversos termes que poden portar a confusió, però que tenen diferències amb un IDS. Alguns dels termes relacionats amb la seguretat que també hauries de conèixer són:

  • Firewall: s'assembla més a un IPS que a un IDS, ja que és un sistema de detecció actiu. Un tallafocs està dissenyat per bloquejar o permetre certes comunicacions, segons les regles que s'hagin configurat. Es pot implementar tant per programari com per maquinari.
  • IPS: són les sigles d'Intrusion Prevention System, i és un complement per a un IDS. És un sistema capaç de prevenir certs esdeveniments, per tant, és un sistema actiu. Dins dels IPS es poden distingir 4 tipus fonamentals:
    • NIPS: basats en xarxa i per tant busquen trànsit de xarxa sospitós.
    • WIPS: com els NIPS, però per a xarxes sense fil.
    • NBA: es basa en el comportament de la xarxa, examinant trànsit inusual.
    • HIPS: busquen activitats sospitoses en host únics.
  • UTM: són les sigles d'Unified Threat Managment, un sistema de gestió per a ciberseguretat que proporciona múltiples funcions centralitzades. Per exemple, inclouen firewall, IDS, antimalware, antispam, filtratge de continguts, alguns fins i tot VPN, etc.
  • Altres: també hi ha altres termes relacionats amb la ciberseguretat que segur que has escoltat:
    • SI: són les sigles de Security Information Manager, o gestió d'informació de seguretat. En aquest cas, és un registre central que agrupa totes les dades referents a seguretat per generar informes, analitzar, prendre decisions, etc. És a dir, un conjunt de capacitats per emmagatzemar a llarg termini aquesta informació.
    • SEM: una funció Security Event Manager, o gestió d'esdeveniments de seguretat, s'encarrega de detectar patrons anormals en accessos, atorga la capacitat de monitorització a temps real, correlació d'esdeveniments, etc.
    • SIEM: és la combinació de SIM i SEM, i és una de les principals eines utilitzades a SOC o centres d'operacions de seguretat.

Els millors IDS per a Linux

IDS

Quant a els millors sistemes IDS que podeu trobar per a GNU/Linux, tens els següents:

  • Bro (Zeek): és de tipus NIDS i té funcions de registre de trànsit i anàlisi, monitor de trànsit SNMP, i activitat FTP, DNS, i HTTP, etc.
  • OSSEC: és de tipus HIDS, de codi obert i gratuït. A més, és multiplataforma, i els seus registres també inclouen FTP, dades del servidor web i email.
  • Snort: és un dels més famosos, de codi obert, i de tipus NIDS. Inclou sniffer per a paquets, registre per a paquets de xarxa, threat intelligence, bloqueig de signatures, actualitzacions en temps real de les signatures de seguretat, habilitat per detectar esdeveniments molt nombrosos (OS, SMB, CGI, buffer overflow, ports ocults,…).
  • Suricata: altre tipus NIDS, també de codi obert. Podeu monitoritzar activitat a baix nivell, com TCP, IP, UDP, ICMP, i TLS, en temps real per a aplicacions com SMB, HTTP, i FTP. Permet la integració amb eines de tercers com ara Anaval, Squil, BASE, Snorby, etc.
  • Ceba de seguretat: NIDS/HIDS, un altre sistema IDS especialment focalitzat a les distros Linux, amb capacitat per detectar intrusos, monitorització empresarial, sniffer de paquets, inclou gràfics del que passa, i es poden fer servir eines com NetworkMiner, Snorby, Xplico, Sguil, ELSA , i Kibana.

El contingut d'l'article s'adhereix als nostres principis de ètica editorial. Per notificar un error punxa aquí.

Un comentari, deixa el teu

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   Electro va dir
    fa 2 anys

    Afegiria Wazuh a la llista

    Respondre a Elektro