Keselamatan adalah isu penting dalam mana-mana sistem. Ada yang percaya bahawa sistem *nix tidak boleh diserang oleh sebarang serangan atau ia tidak boleh dijangkiti perisian hasad. Dan itu adalah tanggapan yang salah. Anda perlu sentiasa berjaga-jaga, tiada yang 100% selamat. Oleh itu, anda harus melaksanakan sistem yang membantu anda mengesan, menghentikan atau meminimumkan kerosakan serangan siber. Dalam artikel ini anda akan melihat apakah itu IDS dan beberapa yang terbaik untuk distro Linux anda.
Apakah ID?
Un IDS (Intrusion Detection System), atau sistem pengesanan pencerobohan, ialah sistem pemantauan yang mengesan aktiviti yang mencurigakan dan menjana satu siri makluman untuk melaporkan pelanggaran (ia boleh dikesan dengan membandingkan tandatangan fail, corak imbasan atau anomali berniat jahat, tingkah laku pemantauan, konfigurasi, trafik rangkaian...) yang mungkin berlaku dalam sistem.
Terima kasih kepada makluman ini, anda boleh menyiasat punca masalah dan mengambil tindakan yang sewajarnya untuk membetulkan ancaman itu. Walaupun, ia tidak mengesan semua serangan, terdapat kaedah pengelakan, dan ia tidak menyekatnya sama ada, ia hanya melaporkannya. Tambahan pula, jika ia berdasarkan tandatangan, ancaman terbaharu (0 hari) juga boleh terlepas dan tidak dapat dikesan.
Jenis
Pada asasnya, ada dua jenis ID:
- HIDS (ID Berasaskan Hos): Ia digunakan pada titik akhir atau mesin tertentu dan direka bentuk untuk mengesan ancaman dalaman dan luaran. Contohnya ialah OSSEC, Wazuh, dan Samhain.
- NIDS (ID berasaskan rangkaian): Untuk memantau keseluruhan rangkaian, tetapi kekurangan keterlihatan ke titik akhir yang disambungkan ke rangkaian itu. Contohnya ialah Snort, Meerkat, Bro, dan Kismet.
Perbezaan dengan tembok api, IPS dan UTM, SIEM…
Terdapat pelbagai istilah yang boleh menimbulkan kekeliruan, tetapi itu mempunyai perbezaan dengan IDS. Beberapa istilah berkaitan keselamatan yang anda juga harus ketahui ialah:
- Firewall: Ia lebih seperti IPS daripada IDS, kerana ia adalah sistem pengesanan aktif. Firewall direka untuk menyekat atau membenarkan komunikasi tertentu, bergantung pada peraturan yang telah dikonfigurasikan. Ia boleh dilaksanakan oleh kedua-dua perisian dan perkakasan.
- IPS: singkatan kepada Intrusion Prevention System, dan merupakan pelengkap kepada IDS. Ia adalah sistem yang mampu menghalang kejadian tertentu, oleh itu ia adalah sistem yang aktif. Dalam IPS, 4 jenis asas boleh dibezakan:
- NIPS: berasaskan rangkaian dan oleh itu cari trafik rangkaian yang mencurigakan.
- WIPS: seperti NIPS, tetapi untuk rangkaian wayarles.
- NBA: Ia adalah berdasarkan tingkah laku rangkaian, memeriksa trafik yang luar biasa.
- HIPS- Cari aktiviti yang mencurigakan pada hos unik.
- UTM: bermaksud Unified Threat Management, sistem pengurusan keselamatan siber yang menyediakan pelbagai fungsi terpusat. Contohnya, ia termasuk firewall, IDS, antimalware, antispam, penapisan kandungan, malah ada VPN, dsb.
- Otros: Terdapat juga istilah lain yang berkaitan dengan keselamatan siber yang anda pasti pernah dengar:
- YA: bermaksud Pengurus Maklumat Keselamatan, atau pengurusan maklumat keselamatan. Dalam kes ini, ia adalah pendaftaran pusat yang mengumpulkan semua data yang berkaitan dengan keselamatan untuk menjana laporan, menganalisis, membuat keputusan, dsb. Iaitu, satu set keupayaan untuk penyimpanan jangka panjang maklumat tersebut.
- SEM: fungsi Pengurus Acara Keselamatan, atau pengurusan acara keselamatan, bertanggungjawab untuk mengesan corak abnormal dalam capaian, menyediakan keupayaan untuk memantau dalam masa nyata, mengaitkan acara, dsb.
- siem: Ia adalah gabungan SIM dan SEM, dan ia adalah salah satu alat utama yang digunakan dalam SOC atau pusat operasi keselamatan.
IDS terbaik untuk Linux
Mengenai sistem IDS terbaik yang boleh anda temui untuk GNU/Linux, anda mempunyai yang berikut:
- Abang (Zek): Ia adalah jenis NIDS dan mempunyai fungsi log dan analisis trafik, pemantau trafik SNMP dan aktiviti FTP, DNS dan HTTP, dsb.
- OSSEC: ia adalah jenis HIDS, sumber terbuka dan percuma. Selain itu, ia adalah platform silang, dan lognya juga termasuk FTP, data pelayan web dan e-mel.
- Mendengus: Ia adalah salah satu jenis sumber terbuka dan NIDS yang paling terkenal. Termasuk penghidu paket, pengelogan paket rangkaian, perisikan ancaman, penyekatan tandatangan, kemas kini masa nyata tandatangan keselamatan, keupayaan untuk mengesan peristiwa yang sangat banyak (OS, SMB, CGI, limpahan penimbal, port tersembunyi,…).
- Suricata: satu lagi jenis NIDS, juga sumber terbuka. Ia boleh memantau aktiviti peringkat rendah, seperti TCP, IP, UDP, ICMP dan TLS, dalam masa nyata untuk aplikasi seperti SMB, HTTP dan FTP. Membenarkan penyepaduan dengan alat pihak ketiga seperti Anaval, Squil, BASE, Snorby, dsb.
- Bawang Keselamatan: NIDS/HIDS, satu lagi sistem IDS yang tertumpu terutamanya pada distro Linux, dengan keupayaan untuk mengesan penceroboh, pemantauan perniagaan, penghidu paket, termasuk graf tentang perkara yang berlaku dan alatan seperti NetworkMiner, Snorby, Xplico, Sguil, ELSA boleh digunakan , dan Kibana.
Saya akan menambah Wazuh ke dalam senarai