Paras IDS Linuxille

Isaac

5 minuuttia

IDS tunkeutumisen havaitsemisjärjestelmä

Turvallisuus on tärkeä asia missä tahansa järjestelmässä. Jotkut uskovat, että *nix-järjestelmät ovat haavoittumattomia hyökkäyksille tai että niitä ei voi saada haittaohjelmilla. Ja se on väärinkäsitys. Sinun on aina oltava varuillaan, mikään ei ole 100% turvallista. Siksi sinun tulee ottaa käyttöön järjestelmiä, jotka auttavat sinua havaitsemaan, pysäyttämään tai minimoimaan kyberhyökkäyksen aiheuttamat vahingot. Tässä artikkelissa näet mikä on IDS ja joitain parhaista Linux-distrollesi.

Mikä on henkilöllisyystodistus?

Un IDS (Intrusion Detection System) tai tunkeutumisen havainnointijärjestelmä, on valvontajärjestelmä, joka havaitsee epäilyttävät toiminnot ja luo sarjan hälytyksiä ilmoittaakseen rikkomuksista (ne voidaan havaita vertaamalla tiedostojen allekirjoituksia, skannausmalleja tai haitallisia poikkeavuuksia, valvontakäyttäytymistä, määrityksiä, verkkoliikennettä...), joita on saattanut tapahtua systeemi.

Näiden hälytysten ansiosta voit tutkia ongelman lähdettä ja ryhtyä tarvittaviin toimiin uhan poistamiseksi. Vaikka se ei havaitse kaikkia hyökkäyksiä, on olemassa kiertotapoja, eikä se myöskään estä niitä, se vain raportoi siitä. Lisäksi, jos se perustuu allekirjoituksiin, viimeisimmät (0 päivän) uhat voivat myös paeta ja jäädä huomaamatta.

Tyypit

Pohjimmiltaan on kahden tyyppisiä tunnuksia:

  • HIDS (isäntäpohjainen IDS): Se on otettu käyttöön tietyssä päätepisteessä tai koneessa, ja se on suunniteltu havaitsemaan sisäiset ja ulkoiset uhat. Esimerkkejä ovat OSSEC, Wazuh ja Samhain.
  • NIDS (verkkopohjainen IDS): Tarkkaile koko verkkoa, mutta ei näe verkkoon kytkettyjä päätepisteitä. Esimerkkejä ovat Snort, Meerkat, Bro ja Kismet.

Erot palomuurin, IPS:n ja UTM:n, SIEM:n kanssa…

Siellä erilaisia ​​termejä, jotka voivat aiheuttaa sekaannusta, mutta niillä on eroja IDS:n kanssa. Jotkut turvallisuuteen liittyvistä termeistä, jotka sinun tulee myös olla tietoisia, ovat:

  • palomuuri: Se on enemmän kuin IPS kuin IDS, koska se on aktiivinen tunnistusjärjestelmä. Palomuuri on suunniteltu estämään tai sallimaan tietyt viestit määritettyjen sääntöjen mukaan. Se voidaan toteuttaa sekä ohjelmistolla että laitteistolla.
  • IPS: tulee sanoista Intrusion Prevention System, ja se täydentää IDS:ää. Se on järjestelmä, joka pystyy estämään tietyt tapahtumat, joten se on aktiivinen järjestelmä. IPS:ssä voidaan erottaa 4 perustyyppiä:
    • NIPS: verkkopohjainen ja etsi siksi epäilyttävää verkkoliikennettä.
    • Pyyhkii: kuten NIPS, mutta langattomille verkoille.
    • NBA: Se perustuu verkon toimintaan, joka tutkii epätavallista liikennettä.
    • HIPS- Etsi epäilyttävää toimintaa ainutlaatuisista isännistä.
  • UTM: tarkoittaa Unified Threat Managementia, kyberturvallisuuden hallintajärjestelmää, joka tarjoaa useita keskitettyjä toimintoja. Niihin kuuluvat esimerkiksi palomuuri, IDS, haittaohjelmien torjunta, roskapostin esto, sisällön suodatus, jotkut jopa VPN jne.
  • Muut: On myös muita kyberturvallisuuteen liittyviä termejä, jotka olet varmasti kuullut:
    • KYLLÄ: tarkoittaa Security Information Manageria tai tietoturvatietojen hallintaa. Tässä tapauksessa se on keskusrekisteri, joka ryhmittelee kaikki tietoturvaan liittyvät tiedot raporttien luomista, analysointia, päätösten tekemistä jne. Toisin sanoen joukko ominaisuuksia mainitun tiedon pitkäaikaista tallentamista varten.
    • SEM: Security Event Manager -toiminto tai suojaustapahtumien hallinta vastaa epänormaalien käyttökuvioiden havaitsemisesta, tarjoaa mahdollisuuden seurata reaaliajassa, korreloida tapahtumia jne.
    • SIEM: Se on SIM:n ja SEM:n yhdistelmä, ja se on yksi tärkeimmistä SOC- tai turvatoimintokeskuksissa käytetyistä työkaluista.

Paras IDS Linuxille

IDS

Suhteen parhaat IDS-järjestelmät, joita voit löytää GNU/Linuxille, sinulla on seuraavat:

  • Veli (Zek): Se on NIDS-tyyppinen ja siinä on liikenneloki- ja -analyysitoiminnot, SNMP-liikenteen valvonta sekä FTP-, DNS- ja HTTP-toiminta jne.
  • OSSEC: se on HIDS-tyyppinen, avoimen lähdekoodin ja ilmainen. Lisäksi se on monialustainen, ja sen lokit sisältävät myös FTP:n, verkkopalvelimen tiedot ja sähköpostin.
  • tuhahtaa: Se on yksi tunnetuimmista avoimen lähdekoodin ja NIDS-tyypeistä. Sisältää pakettien haistamisen, verkkopakettien kirjaamisen, uhkien tiedustelupalvelun, allekirjoitusten eston, suojausallekirjoitusten reaaliaikaiset päivitykset, kyvyn havaita erittäin lukuisia tapahtumia (OS, SMB, CGI, puskurin ylivuoto, piilotetut portit jne.).
  • suricata: toinen NIDS-tyyppi, myös avoin lähdekoodi. Se voi seurata matalan tason toimintaa, kuten TCP, IP, UDP, ICMP ja TLS, reaaliajassa sovelluksissa, kuten SMB, HTTP ja FTP. Mahdollistaa integroinnin kolmannen osapuolen työkaluihin, kuten Anaval, Squil, BASE, Snorby jne.
  • Turvallisuus sipuli: NIDS/HIDS, toinen IDS-järjestelmä, joka on keskittynyt erityisesti Linux-jakeluihin ja joka pystyy havaitsemaan tunkeilijat, liiketoiminnan valvonnan, pakettien haistaja, sisältää kaavioita siitä, mitä tapahtuu, ja työkaluja, kuten NetworkMiner, Snorby, Xplico, Sguil, ELSA, voidaan käyttää. ja Kibana.

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   Electro dijo
    sitten 2 vuotta

    Lisäisin Wazuhin listaan

    Vastaa Elektrolle