Meilleur IDS pour Linux

Système de détection d'intrusion IDS

La sécurité est une question vitale dans tout système. Certains pensent que les systèmes * nix sont invulnérables à toute attaque ou qu'ils ne peuvent pas être infectés par des logiciels malveillants. Et c'est une idée fausse. Il faut toujours rester sur ses gardes, rien n'est sûr à 100%. Par conséquent, vous devez mettre en œuvre des systèmes qui vous aident à détecter, arrêter ou minimiser les dommages d'une cyberattaque. Dans cet article, vous verrez qu'est-ce qu'un IDS et certains des meilleurs pour votre distribution Linux.

Qu'est-ce qu'un IDS ?

Un IDS (Intrusion Detection System), ou système de détection d'intrusion, est un système de surveillance qui détecte les activités suspectes et génère une série d'alertes pour signaler les violations (elles peuvent être détectées en comparant les signatures de fichiers, les modèles d'analyse ou les anomalies malveillantes, le comportement de surveillance, les configurations, le trafic réseau ...) qui ont pu se produire dans le système.

Grâce à ces alertes, vous pouvez rechercher la source du problème et prendre les mesures appropriées pour remédier à la menace. Bien qu'il ne détecte pas toutes les attaques, il existe des méthodes d'évasion, et il ne les bloque pas, il ne fait que les signaler. De plus, si elle est basée sur des signatures, les menaces les plus récentes (0-jour), peuvent également s'échapper et passer inaperçues.

type

Fondamentalement, il y a deux types d'IDS:

  • HIDS (IDS basé sur l'hôte)- Il est déployé sur un point de terminaison ou une machine particulier et est conçu pour détecter les menaces internes et externes. Les exemples sont l'OSSEC, Wazuh et Samhain.
  • NIDS (IDS basé sur le réseau)- Pour surveiller un réseau entier, mais manque de visibilité au sein des points de terminaison connectés à ce réseau. Les exemples sont Snort, Suricata, Bro et Kismet.

Différences avec un firewall, IPS et UTM, SIEM...

divers termes qui peuvent être trompeurs, mais qui ont des différences avec un IDS. Certains des termes liés à la sécurité que vous devez également connaître sont :

  • Pare-feu: Il ressemble plus à un IPS qu'à un IDS, car il s'agit d'un système de détection actif. Un pare-feu est conçu pour bloquer ou autoriser certaines communications, selon les règles qui ont été configurées. Il peut être mis en œuvre à la fois par logiciel et par matériel.
  • IPS: est l'acronyme de Intrusion Prevention System, et est un complément à un IDS. C'est un système capable d'empêcher certains événements, c'est donc un système actif. Au sein de l'IPS, on distingue 4 types fondamentaux :
    • PIN- Basé sur le réseau et recherchez donc le trafic réseau suspect.
    • WIPS: Comme NIPS, mais pour les réseaux sans fil.
    • NBA- est basé sur le comportement du réseau, en examinant le trafic inhabituel.
    • HANCHES- Recherchez les activités suspectes sur des hôtes uniques.
  • UTM: est l'acronyme de Unified Threat Management, un système de gestion de la cybersécurité qui fournit de multiples fonctions centralisées. Par exemple, ils incluent le pare-feu, IDS, antimalware, antispam, filtrage de contenu, certains même VPN, etc.
  • D'autres: Il existe également d’autres termes liés à la cybersécurité que vous avez sûrement entendus :
    • OUI: est l'acronyme de Security Information Manager, ou gestion des informations de sécurité. Dans ce cas, il s'agit d'un registre central qui regroupe toutes les données liées à la sécurité pour générer des rapports, analyser, prendre des décisions, etc. C'est-à-dire un ensemble de capacités pour stocker ces informations sur le long terme.
    • SEM: une fonction Security Event Manager, ou gestion des événements de sécurité, est chargée de détecter les schémas anormaux dans les accès, offre la possibilité de surveiller en temps réel, la corrélation des événements, etc.
    • SIEM: c'est la combinaison de SIM et SEM, et c'est l'un des principaux outils utilisés dans les centres d'opérations SOC ou de sécurité.

Meilleur IDS pour Linux

IDS

En ce qui concerne les meilleurs systèmes IDS que vous pouvez trouver pour GNU / Linux, vous disposez des éléments suivants :

  • Frère (Zeek): Il est de type NIDS et a des fonctions de journalisation et d'analyse du trafic, de surveillance du trafic SNMP, et d'activité FTP, DNS et HTTP, etc.
  • OSSEC: Il est de type HIDS, open source et gratuit. De plus, il est multiplateforme et ses enregistrements incluent également le FTP, les données du serveur Web et le courrier électronique.
  • Renifler: c'est l'un des plus célèbres, open source et de type NIDS. Il comprend un renifleur de paquets, un journal des paquets réseau, des informations sur les menaces, le blocage des signatures, des mises à jour en temps réel des signatures de sécurité, la capacité de détecter de très nombreux événements (OS, SMB, CGI, buffer overflow, ports cachés,…).
  • suricate: un autre type NIDS, également open source. Il peut surveiller les activités de bas niveau, telles que TCP, IP, UDP, ICMP et TLS, en temps réel pour des applications telles que SMB, HTTP et FTP. Il permet l'intégration avec des outils tiers tels qu'Anaval, Squil, BASE, Snorby, etc.
  • Oignon de sécurité: NIDS / HIDS, un autre système IDS spécialement axé sur les distributions Linux, avec la possibilité de détecter les intrus, la surveillance commerciale, le renifleur de paquets, inclut des graphiques de ce qui se passe, et vous pouvez utiliser des outils tels que NetworkMiner, Snorby, Xplico, Sguil, ELSA , et Kibana.

Le contenu de l'article adhère à nos principes de éthique éditoriale. Pour signaler une erreur, cliquez sur c'est par ici !.

Un commentaire, laissez le vôtre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   électrique dit

    J'ajouterais Wazuh à la liste