Linux용 최고의 IDS

IDS 침입탐지시스템

보안은 모든 시스템에서 중요한 문제입니다. 일부는 *nix 시스템이 어떤 공격에도 취약하지 않거나 맬웨어에 감염될 수 없다고 생각합니다. 그리고 그것은 오해입니다. 항상 경계심을 유지해야 하며 100% 안전한 것은 없습니다. 따라서 사이버 공격의 피해를 감지, 중지 또는 최소화하는 데 도움이 되는 시스템을 구현해야 합니다. 이 기사에서 보게 될 IDS 란 무엇이며 최고 중 일부는 무엇입니까 당신의 리눅스 배포판을 위해.

아이디가 뭔가요?

Un IDS(침입 감지 시스템) 또는 침입 감지 시스템, 의심스러운 활동을 감지하고 일련의 경고를 생성하여 위반 사항을 보고하는 모니터링 시스템입니다(파일 서명 비교, 패턴 또는 악성 이상 검사, 동작, 구성, 네트워크 트래픽 모니터링 등을 통해 감지할 수 있음). 시스템.

이러한 알림 덕분에 다음을 수행할 수 있습니다. 문제의 원인을 조사하다 위협을 시정하기 위해 적절한 조치를 취하십시오. 모든 공격을 탐지하지는 못하지만 회피 방법도 있고 차단도 하지 않고 보고만 한다. 또한 서명을 기반으로 하는 경우 가장 최근(0일) 위협도 탈출하여 탐지되지 않을 수 있습니다.

유형

기본적으로 두 가지 유형의 ID:

  • HIDS(호스트 기반 IDS): 특정 엔드포인트 또는 머신에 구축되며, 내부 및 외부 위협을 탐지하도록 설계되었습니다. 예를 들면 OSSEC, Wazuh 및 Samhain이 있습니다.
  • NIDS(네트워크 기반 IDS): 전체 네트워크를 모니터링하지만 해당 네트워크에 연결된 끝점에 대한 가시성이 부족합니다. 예를 들면 Snort, Meerkat, Bro 및 Kismet이 있습니다.

방화벽, IPS 및 UTM, SIEM과의 차이점…

그곳에 혼동을 일으킬 수 있는 다양한 용어, 그러나 IDS와 차이점이 있습니다. 또한 알고 있어야 하는 보안 관련 용어는 다음과 같습니다.

  • 방화벽: 능동 탐지 시스템이기 때문에 IDS라기보다 IPS에 가깝습니다. 방화벽은 구성된 규칙에 따라 특정 통신을 차단하거나 허용하도록 설계되었습니다. 소프트웨어와 하드웨어 모두에서 구현할 수 있습니다.
  • IPS: Intrusion Prevention System의 약자로 IDS를 보완합니다. 특정 이벤트를 방지할 수 있는 시스템이므로 활성 시스템입니다. IPS 내에서 4가지 기본 유형을 구별할 수 있습니다.
    • 닙스: 네트워크 기반이므로 의심스러운 네트워크 트래픽을 찾습니다.
    • 와이프: NIPS와 비슷하지만 무선 네트워크용입니다.
    • NBA: 네트워크의 동작을 기반으로 비정상적인 트래픽을 검사합니다.
    • 엉덩이- 고유한 호스트에서 의심스러운 활동을 찾습니다.
  • UTM: 통합 위협 관리(Unified Threat Management)의 약자로서 여러 중앙 집중식 기능을 제공하는 사이버 보안 관리 시스템입니다. 예를 들어 방화벽, IDS, 맬웨어 방지 프로그램, 스팸 방지, 콘텐츠 필터링, VPN 등이 포함됩니다.
  • 기타 : 사이버 보안과 관련하여 분명히 들어본 다른 용어도 있습니다.
    • YES: Security Information Manager 또는 보안 정보 관리의 약자입니다. 이 경우 보안과 관련된 모든 데이터를 그룹화하여 보고서 생성, 분석, 의사 결정 등을 수행하는 중앙 레지스트리입니다. 즉, 해당 정보를 장기간 저장할 수 있는 기능 집합입니다.
    • SEM: Security Event Manager 기능 또는 보안 이벤트 관리는 액세스의 비정상적인 패턴을 감지하는 역할을 하며, 실시간 모니터링, 이벤트 상관 관계 등을 제공합니다.
    • SIEM: SIM과 SEM의 합성어로 SOC나 보안운영센터에서 사용하는 주요 도구 중 하나이다.

Linux용 최고의 IDS

IDS

에 관한 GNU/Linux용으로 찾을 수 있는 최고의 IDS 시스템, 다음이 있습니다.

  • 형(젝): NIDS 방식으로 트래픽 로그 및 분석, SNMP 트래픽 모니터, FTP, DNS, HTTP 활동 등의 기능을 가지고 있습니다.
  • OSSEC: HIDS 방식의 오픈소스이며 무료입니다. 또한 크로스 플랫폼이며 로그에는 FTP, 웹 서버 데이터 및 이메일도 포함됩니다.
  • 흡입: 가장 유명한 오픈 소스 중 하나이며 NIDS 유형입니다. 패킷 스니퍼, 네트워크 패킷 로깅, 위협 인텔리전스, 서명 차단, 보안 서명의 실시간 업데이트, 매우 많은 이벤트(OS, SMB, CGI, 버퍼 오버플로, 숨겨진 포트 등)를 감지하는 기능이 포함됩니다.
  • Suricata: 또 다른 NIDS 유형이며 또한 오픈 소스입니다. TCP, IP, UDP, ICMP 및 TLS와 같은 낮은 수준의 활동을 SMB, HTTP 및 FTP와 같은 애플리케이션에 대해 실시간으로 모니터링할 수 있습니다. Anaval, Squil, BASE, Snorby 등과 같은 타사 도구와의 통합을 허용합니다.
  • 보안 양파: 침입자를 감지하는 기능, 비즈니스 모니터링, 패킷 스니퍼를 포함하는 Linux 배포판에 특히 중점을 둔 또 다른 IDS 시스템인 NIDS/HIDS에는 어떤 일이 발생하는지 그래프가 포함되어 있으며 NetworkMiner, Snorby, Xplico, Sguil, ELSA와 같은 도구를 사용할 수 있습니다. 그리고 키바나.

코멘트를 남겨주세요

코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자: AB Internet Networks 2008 SL
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.

  1.   전기

    목록에 Wazuh를 추가하겠습니다.