Linux үчүн мыкты IDS

IDS интрузияны аныктоо системасы

Коопсуздук ар бир системада маанилүү маселе болуп саналат. Кээ бирөөлөр * nix тутумдары ар кандай чабуулдарга кол тийбестигине же зыяндуу программаларды жуктуруп алууга болбойт деп эсептешет. Жана бул туура эмес түшүнүк. Сиз дайыма сак болушуңуз керек, эч нерсе 100% коопсуз эмес. Ошондуктан, сиз кибер чабуулду аныктоого, токтотууга же зыянды азайтууга жардам берген системаларды ишке киргизишиңиз керек. Бул макалада сиз көрө аласыз IDS деген эмне жана эң жакшысы сиздин Linux дистрибутивиңиз үчүн.

ID деген эмне?

Un IDS (Intrusion Detection System) же чабуулду аныктоо системасы, шектүү аракеттерди аныктаган жана бузуулар жөнүндө билдирүү үчүн бир катар эскертүүлөрдү жараткан мониторинг системасы (алар файл колдорун салыштыруу, сканерлөө үлгүлөрү же зыяндуу аномалиялар, жүрүм-турумга, конфигурацияларга, тармак трафигине мониторинг жүргүзүү аркылуу аныкталышы мүмкүн...) система.

Бул эскертүүлөрдүн аркасында сиз жасай аласыз маселенин булагын изилдөө жана коркунучту жоюу үчүн тиешелүү чараларды көрүшөт. Бирок, ал бардык чабуулдарды аныктабаса да, качуу ыкмалары бар жана аларды бөгөттөбөйт, жөн гана кабарлайт. Андан тышкары, эгерде ал кол тамгаларга негизделсе, эң акыркы (0 күндүк) коркунучтар да качып, байкалбай калышы мүмкүн.

түрү

Негизинен, бар ID эки түрү:

  • HIDS (Host-Based IDS): Ал белгилүү бир акыркы чекитке же машинага орнотулган жана ички жана тышкы коркунучтарды аныктоо үчүн иштелип чыккан. Мисалдар OSSEC, Wazuh жана Samhain.
  • NIDS (тармакка негизделген IDS): Бүтүндөй тармакты көзөмөлдөө, бирок ошол тармакка туташкан акыркы чекиттерди көрүү мүмкүнчүлүгү жок. Мисалы, Snort, Meerkat, Bro жана Kismet.

Firewall, IPS жана UTM, SIEM менен айырмачылыктар…

жок башаламандыкка алып келиши мүмкүн болгон ар кандай терминдер, бирок IDS менен айырмачылыктары бар. Коопсуздукка байланыштуу айрым шарттарды да билишиңиз керек:

  • Firewall: Бул IDSке караганда IPSке окшош, анткени ал активдүү аныктоо системасы. Брандмауэр конфигурацияланган эрежелерге жараша белгилүү бир байланыштарды бөгөттөө же уруксат берүү үчүн иштелип чыккан. Аны программалык камсыздоо жана аппараттык камсыздоо аркылуу ишке ашырууга болот.
  • IPS: Intrusion Prevention System дегенди билдирет жана IDSке кошумча болуп саналат. Бул белгилүү бир окуяларды алдын алууга жөндөмдүү система, ошондуктан ал активдүү система болуп саналат. IPS ичинде, 4 негизги түрлөрүн айырмалоого болот:
    • NIPS: тармакка негизделген жана ошондуктан шектүү тармак трафигин издеңиз.
    • WIPS: NIPS сыяктуу, бирок зымсыз тармактар ​​үчүн.
    • NBA: Бул адаттан тыш трафикти карап, тармактын жүрүм-турумуна негизделген.
    • белинде- Уникалдуу хосттордо шектүү аракеттерди издеңиз.
  • UTM: Unified Threat Management дегенди билдирет, бир нече борборлоштурулган функцияларды камсыз кылган киберкоопсуздукту башкаруу тутуму. Мисалы, аларга брандмауэр, IDS, антивирус, антиспам, мазмунду чыпкалоо, кээ бирлери VPN ж.б.у.с.
  • башка: Киберкоопсуздукка байланыштуу дагы башка терминдер бар, аларды сиз сөзсүз уккансыз:
    • ООБА: Коопсуздук маалымат менеджери, же коопсуздук маалымат башкаруу дегенди билдирет. Бул учурда, бул отчетторду түзүү, талдоо, чечимдерди кабыл алуу ж.б. үчүн коопсуздукка байланыштуу бардык маалыматтарды топтоштурган борбордук реестр. Башкача айтканда, айтылган маалыматты узак мөөнөткө сактоо үчүн мүмкүнчүлүктөрдүн жыйындысы.
    • SEM: Коопсуздук Окуя Менеджери функциясы же коопсуздук окуясын башкаруу, кирүүдө анормалдуу үлгүлөрдү аныктоо үчүн жооптуу, реалдуу убакытта мониторинг жүргүзүү, окуяларды салыштыруу ж.б.
    • сием: Бул SIM менен SEMдин айкалышы жана ал SOC же коопсуздук операцияларынын борборлорунда колдонулган негизги куралдардын бири.

Linux үчүн мыкты IDS

IDS

катары GNU/Linux үчүн эң мыкты IDS системаларын таба аласыз, сизде төмөнкүлөр бар:

  • Bro (Zek): Бул NIDS түрү жана трафик журналы жана талдоо, SNMP трафик монитору жана FTP, DNS жана HTTP активдүүлүгү ж.б. функцияларына ээ.
  • OSSEC: бул HIDS түрү, ачык булак жана акысыз. Мындан тышкары, ал кайчылаш платформа болуп саналат жана анын журналдарына FTP, веб-сервер маалыматтары жана электрондук почта кирет.
  • Буркуроо: Бул эң белгилүү, ачык булак жана NIDS түрүнүн бири. Пакет sniffer, тармактык пакет журналы, коркунуч чалгындоосу, кол коюуну бөгөттөө, коопсуздук кол тамгаларынын реалдуу убакытта жаңыртуулары, өтө көп окуяларды аныктоо мүмкүнчүлүгү (OS, SMB, CGI, буфердин толуп кетиши, жашыруун порттор,…) камтыйт.
  • Сурикат: башка NIDS түрү, ошондой эле ачык булак. Ал SMB, HTTP жана FTP сыяктуу тиркемелер үчүн реалдуу убакытта TCP, IP, UDP, ICMP жана TLS сыяктуу төмөнкү деңгээлдеги иш-аракеттерди көзөмөлдөй алат. Anaval, Squil, BASE, Snorby, ж.
  • Коопсуздук Пиязы: NIDS/HIDS, башка IDS тутуму өзгөчө Linux дистрибуцияларына багытталган, бузукуларды аныктоо, бизнеске мониторинг жүргүзүү, пакет жыттоо жөндөмү бар, эмне болуп жатканын графиктерин камтыйт жана NetworkMiner, Snorby, Xplico, Sguil, ELSA сыяктуу куралдарды колдонсо болот, жана Кибана.

Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

Комментарий, өзүңүз калтырыңыз

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт. Милдеттүү талаалар менен белгиленет *

*

*

  1. Маалыматтар үчүн жооптуу: AB Internet Networks 2008 SL
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.

  1.   электрдик ал мындай деди:

    Мен Вазухту тизмеге кошмокмун