IDS terbaik untuk Linux

Isaac

5 menit

Sistem deteksi intrusi IDS

Keamanan adalah masalah vital dalam sistem apa pun. Beberapa percaya bahwa sistem * nix kebal terhadap serangan apa pun atau bahwa mereka tidak dapat terinfeksi malware. Dan itu adalah kesalahpahaman. Anda harus selalu waspada, tidak ada yang 100% aman. Oleh karena itu, Anda harus menerapkan sistem yang membantu Anda mendeteksi, menghentikan, atau meminimalkan kerusakan akibat serangan dunia maya. Dalam artikel ini Anda akan melihat apa itu IDS dan beberapa yang terbaik untuk distro Linux Anda.

Apa itu IDS?

Un IDS (Intrusion Detection System), atau sistem deteksi intrusi, adalah sistem pemantauan yang mendeteksi aktivitas mencurigakan dan menghasilkan serangkaian peringatan untuk melaporkan pelanggaran (dapat dideteksi dengan membandingkan tanda tangan file, pola pemindaian atau anomali berbahaya, perilaku pemantauan, konfigurasi, lalu lintas jaringan ...) yang mungkin terjadi di sistem.

Berkat peringatan ini, Anda bisa selidiki sumber masalahnya dan mengambil tindakan yang tepat untuk mengatasi ancaman tersebut. Meskipun tidak mendeteksi semua serangan, ada metode penghindaran, dan tidak memblokirnya, hanya melaporkannya. Selain itu, jika didasarkan pada tanda tangan, ancaman terbaru (0 hari), juga dapat lolos dan tidak terdeteksi.

Jenis

Pada dasarnya, ada dua jenis IDS:

  • HIDS (ID Berbasis Host)- Ini digunakan pada titik akhir atau mesin tertentu dan dirancang untuk mendeteksi ancaman internal dan eksternal. Contohnya adalah OSSEC, Wazuh, dan Samhain.
  • NIDS (ID berbasis jaringan)- Untuk memantau seluruh jaringan, tetapi tidak memiliki visibilitas dalam titik akhir yang terhubung ke jaringan itu. Contohnya adalah Snort, Suricata, Bro, dan Kismet.

Perbedaan dengan firewall, IPS dan UTM, SIEM...

di sana berbagai istilah yang bisa menyesatkan, tetapi memiliki perbedaan dengan IDS. Beberapa istilah terkait keamanan yang juga harus Anda ketahui adalah:

  • firewall: Ini lebih mirip IPS daripada IDS, karena merupakan sistem deteksi aktif. Firewall dirancang untuk memblokir atau mengizinkan komunikasi tertentu, tergantung pada aturan yang telah dikonfigurasi. Itu dapat diimplementasikan baik oleh perangkat lunak maupun perangkat keras.
  • IPS: adalah singkatan dari Intrusion Prevention System, dan merupakan pelengkap dari IDS. Ini adalah sistem yang mampu mencegah peristiwa tertentu, oleh karena itu merupakan sistem yang aktif. Dalam IPS, 4 tipe dasar dapat dibedakan:
    • NIPS- Berbasis jaringan dan karenanya mencari lalu lintas jaringan yang mencurigakan.
    • WIP: Seperti NIPS, tetapi untuk jaringan nirkabel.
    • NBA- didasarkan pada perilaku jaringan, memeriksa lalu lintas yang tidak biasa.
    • HIPS- Cari aktivitas mencurigakan di host unik.
  • UTM: adalah singkatan dari Unified Threat Management, sebuah sistem manajemen untuk keamanan siber yang menyediakan beberapa fungsi terpusat. Misalnya, mereka termasuk firewall, IDS, antimalware, antispam, pemfilteran konten, beberapa bahkan VPN, dll.
  • Otros: Ada juga istilah lain terkait keamanan siber yang pasti pernah Anda dengar:
    • YA: adalah singkatan dari Security Information Manager, atau manajemen informasi keamanan. Dalam hal ini, ini adalah registri pusat yang mengelompokkan semua data terkait keamanan untuk menghasilkan laporan, menganalisis, membuat keputusan, dll. Artinya, seperangkat kapasitas untuk menyimpan informasi ini dalam jangka panjang.
    • SEM: fungsi Security Event Manager, atau security event management, bertanggung jawab untuk mendeteksi pola abnormal dalam akses, menyediakan kemampuan untuk memantau secara real time, korelasi kejadian, dll.
    • SIEM: ini adalah kombinasi dari SIM dan SEM, dan merupakan salah satu alat utama yang digunakan di SOC atau pusat operasi keamanan.

IDS terbaik untuk Linux

IDS

Dalam hal sistem IDS terbaik yang dapat Anda temukan untuk GNU / Linux, Anda memiliki yang berikut ini:

  • Kakak (Zeek): Ini adalah jenis NIDS dan memiliki fungsi pencatatan dan analisis lalu lintas, pemantauan lalu lintas SNMP, dan aktivitas FTP, DNS, dan HTTP, dll.
  • OSSEC: adalah tipe HIDS, open source dan gratis. Selain itu, ini adalah lintas platform, dan catatannya juga mencakup FTP, data server web, dan email.
  • Mendengus: ini adalah salah satu yang paling terkenal, open source, dan tipe NIDS. Ini termasuk sniffer untuk paket, log untuk paket jaringan, intelijen ancaman, pemblokiran tanda tangan, pembaruan tanda tangan keamanan real-time, kemampuan untuk mendeteksi sangat banyak peristiwa (OS, SMB, CGI, buffer overflow, port tersembunyi, ...).
  • Suricata: NIDS jenis lain, juga open source. Itu dapat memantau aktivitas tingkat rendah, seperti TCP, IP, UDP, ICMP, dan TLS, secara real time untuk aplikasi seperti SMB, HTTP, dan FTP. Ini memungkinkan integrasi dengan alat pihak ketiga seperti Anaval, Squil, BASE, Snorby, dll.
  • Bawang Keamanan: NIDS / HIDS, sistem IDS lain yang khusus berfokus pada distro Linux, dengan kemampuan untuk mendeteksi penyusup, pemantauan bisnis, packet sniffer, termasuk grafik dari apa yang terjadi, dan Anda dapat menggunakan alat seperti NetworkMiner, Snorby, Xplico, Sguil, ELSA , dan Kibana.

tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai dengan *

*

*

  1. Bertanggung jawab atas data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.

  1.   Elektro dijo
    dahulu 2 tahun

    Saya akan menambahkan Wazuh ke daftar

    Balas Elektro