אבטחה היא נושא חיוני בכל מערכת. יש הסבורים שמערכות * nix אינן פגיעות לכל התקפה או שלא ניתן להדביק אותן בתוכנות זדוניות. וזו תפיסה שגויה. אתה תמיד צריך לשמור על השמירה שלך, שום דבר לא בטוח ב-100%. לכן, עליך להטמיע מערכות שעוזרות לך לזהות, לעצור או למזער את הנזק של מתקפת סייבר. במאמר זה תוכלו לראות מהו IDS וכמה מהטובים ביותר להפצת לינוקס שלך.
מה זה IDS?
Un IDS (מערכת זיהוי חדירה), או מערכת זיהוי חדירה, היא מערכת ניטור המזהה פעילויות חשודות ומייצרת סדרה של התראות לדיווח על הפרות (ניתן לזהות אותן על ידי השוואת חתימות קבצים, דפוסי סריקה או חריגות זדוניות, התנהגות ניטור, תצורות, תעבורת רשת...) שאולי התרחשו ב המערכת.
הודות להתראות אלה, אתה יכול לחקור את מקור הבעיה ולנקוט פעולות מתאימות כדי לתקן את האיום. אמנם, הוא לא מזהה את כל התקיפות, יש שיטות התחמקות, והוא לא חוסם אותן, הוא רק מדווח עליהן. בנוסף, אם הוא מבוסס על חתימות, האיומים האחרונים (0-יום) יכולים גם הם לברוח ולהיעלם.
סוגים
ביסודו של דבר, יש שני סוגים של IDS:
- HIDS (IDS מבוסס מארח)- הוא נפרס על נקודת קצה או מכונה מסוימת ונועד לזהות איומים פנימיים וחיצוניים. דוגמאות הן OSSEC, Wazuh ו-Samhain.
- NIDS (IDS מבוסס רשת)- לנטר רשת שלמה, אך חסרה נראות בתוך נקודות הקצה המחוברות לאותה רשת. דוגמאות הן Snort, Suricata, Bro ו-Kismet.
הבדלים עם חומת אש, IPS ו-UTM, SIEM ...
שם מונחים שונים שעלולים להטעות, אבל יש הבדלים עם IDS. כמה מהמונחים הקשורים לאבטחה שכדאי גם להכיר הם:
- Firewall: זה נראה יותר כמו IPS מאשר IDS, מכיוון שזו מערכת זיהוי פעילה. חומת אש נועדה לחסום או לאפשר תקשורת מסויימת, בהתאם לכללים שהוגדרו. זה יכול להיות מיושם הן על ידי תוכנה והן על ידי חומרה.
- שב"ס: הוא ראשי התיבות של Intrusion Prevention System, ומהווה השלמה ל-IDS. זוהי מערכת המסוגלת למנוע אירועים מסוימים, ולכן היא מערכת פעילה. בתוך ה-IPS, ניתן להבחין בין 4 סוגים בסיסיים:
- NIPS- מבוסס רשת ולכן חפש תעבורת רשת חשודה.
- WIPS: כמו NIPS, אבל עבור רשתות אלחוטיות.
- ה-NBA- מבוסס על התנהגות הרשת, בחינת תעבורה חריגה.
- מָתנַיִם- חפש פעילות חשודה על מארחים ייחודיים.
- UTM: הוא ראשי התיבות של Unified Threat Management, מערכת ניהול לאבטחת סייבר המספקת מספר פונקציות מרכזיות. לדוגמה, הם כוללים חומת אש, IDS, אנטי תוכנות זדוניות, אנטי ספאם, סינון תוכן, חלקם אפילו VPN וכו'.
- אחר: ישנם גם מונחים אחרים הקשורים לאבטחת סייבר שבוודאי שמעתם:
- כן: הוא ראשי התיבות של Security Information Manager, או ניהול מידע אבטחה. במקרה זה, מדובר ברישום מרכזי שמקבץ את כל הנתונים הקשורים לאבטחה להפקת דוחות, ניתוח, קבלת החלטות וכו'. כלומר, קבוצה של יכולות לאחסן מידע זה לטווח ארוך.
- SEM: פונקציית Security Event Manager, או ניהול אירועי אבטחה, אחראית על זיהוי דפוסים חריגים בגישה, מספקת יכולת ניטור בזמן אמת, מתאם של אירועים וכו'.
- SIEM: זהו השילוב של SIM ו-SEM, והוא אחד הכלים העיקריים המשמשים ב-SOC או במרכזי תפעול אבטחה.
IDS הטוב ביותר עבור לינוקס
במונחים של מערכות ה-IDS הטובות ביותר שתוכל למצוא עבור GNU / Linux, יש לך את הדברים הבאים:
- אחי (זיק): הוא מסוג NIDS ויש לו פונקציות של רישום וניתוח תעבורה, ניטור תעבורת SNMP ופעילות FTP, DNS ו-HTTP וכו'.
- OSSEC: הוא מסוג HIDS, קוד פתוח וחינמי. בנוסף, הוא חוצה פלטפורמות, והרשומות שלו כוללות גם FTP, נתוני שרתי אינטרנט ודואר אלקטרוני.
- נְחִירָה: זהו אחד מסוגי הקוד הפתוח וה-NIDS המפורסמים ביותר. זה כולל רחרח לחבילות, יומן מנות רשת, מודיעין איומים, חסימת חתימות, עדכונים בזמן אמת של חתימות אבטחה, יכולת לזהות אירועים רבים מאוד (מערכת הפעלה, SMB, CGI, הצפת מאגר, יציאות נסתרות,...).
- סורי: סוג אחר NIDS, גם קוד פתוח. הוא יכול לנטר פעילות ברמה נמוכה, כגון TCP, IP, UDP, ICMP ו-TLS, בזמן אמת עבור יישומים כגון SMB, HTTP ו-FTP. זה מאפשר אינטגרציה עם כלים של צד שלישי כגון Anaval, Squil, BASE, Snorby וכו'.
- בצל ביטחון: NIDS / HIDS, מערכת IDS נוספת המתמקדת במיוחד בהפצות לינוקס, עם יכולת לזהות פולשים, ניטור עסקי, רחרח מנות, כולל גרפיקה של מה שקורה, וניתן להשתמש בכלים כגון NetworkMiner, Snorby, Xplico, Sguil, ELSA , וקיבנה.
הייתי מוסיף את Wazuh לרשימה