Beste IDS for Linux

Isaac

5 minutter

IDS inntrengningsdeteksjonssystem

Sikkerhet er et viktig problem i ethvert system. Noen mener at *nix-systemer er usårbare for ethvert angrep eller at de ikke kan infiseres med skadelig programvare. Og det er en misforståelse. Du må alltid holde deg på vakt, ingenting er 100 % trygt. Derfor bør du implementere systemer som hjelper deg med å oppdage, stoppe eller minimere skaden av et cyberangrep. I denne artikkelen vil du se hva er en IDS og noe av det beste for din Linux-distro.

Hva er en ID?

Un IDS (Intrusion Detection System), eller inntrengningsdeteksjonssystem, er et overvåkingssystem som oppdager mistenkelige aktiviteter og genererer en serie varsler for å rapportere brudd (de kan oppdages ved å sammenligne filsignaturer, skanne etter mønstre eller ondsinnede anomalier, overvåkingsatferd, konfigurasjoner, nettverkstrafikk ...) som kan ha skjedd i systemet.

Takket være disse varslene kan du undersøke kilden til problemet og iverksette passende tiltak for å avhjelpe trusselen. Selv om den ikke oppdager alle angrep, finnes det unndragelsesmetoder, og den blokkerer dem heller ikke, den bare rapporterer det. Videre, hvis det er basert på signaturer, kan de siste (0-dagers) truslene også unnslippe og bli uoppdaget.

Type

Fundamentalt er det det to typer IDer:

  • HIDS (vertsbasert IDS): Den er distribuert på et bestemt endepunkt eller en bestemt maskin og er designet for å oppdage interne og eksterne trusler. Eksempler er OSSEC, Wazuh og Samhain.
  • NIDS (nettverksbasert IDS): For å overvåke et helt nettverk, men mangler synlighet til endepunktene som er koblet til det nettverket. Eksempler er Snort, Meerkat, Bro og Kismet.

Forskjeller med en brannmur, IPS og UTM, SIEM...

Det ulike begreper som kan føre til forvirring, men det har forskjeller med en IDS. Noen av de sikkerhetsrelaterte begrepene du også bør kjenne til er:

  • brannmur: Det er mer som en IPS enn en IDS, siden det er et aktivt deteksjonssystem. En brannmur er laget for å blokkere eller tillate visse kommunikasjoner, avhengig av reglene som er konfigurert. Det kan implementeres av både programvare og maskinvare.
  • IPS: står for Intrusion Prevention System, og er et supplement til en IDS. Det er et system som er i stand til å forhindre visse hendelser, derfor er det et aktivt system. Innenfor IPS kan 4 grunnleggende typer skilles:
    • NIPS: nettverksbasert og ser derfor etter mistenkelig nettverkstrafikk.
    • WIPS: som NIPS, men for trådløse nettverk.
    • NBA: Den er basert på oppførselen til nettverket, og undersøker uvanlig trafikk.
    • HOFTER- Se etter mistenkelig aktivitet på unike verter.
  • UTM: står for Unified Threat Management, et cybersikkerhetsstyringssystem som gir flere sentraliserte funksjoner. For eksempel inkluderer de brannmur, IDS, antimalware, antispam, innholdsfiltrering, noen til og med VPN, etc.
  • Annet: Det er også andre termer relatert til nettsikkerhet som du sikkert har hørt:
    • JA: står for Security Information Manager, eller sikkerhetsinformasjonsadministrasjon. I dette tilfellet er det et sentralt register som grupperer all data knyttet til sikkerhet for å generere rapporter, analysere, ta beslutninger osv. Det vil si et sett med muligheter for langtidslagring av nevnte informasjon.
    • SEM: en Security Event Manager-funksjon, eller sikkerhetshendelsesadministrasjon, er ansvarlig for å oppdage unormale mønstre i tilganger, gir muligheten til å overvåke i sanntid, korrelere hendelser osv.
    • siem: Det er kombinasjonen av SIM og SEM, og det er et av hovedverktøyene som brukes i SOC eller sikkerhetsoperasjonssentre.

Beste IDS for Linux

IDS

Angående de beste IDS-systemene du kan finne for GNU / Linux, du har følgende:

  • Bro (Zek): Det er NIDS-typen og har funksjoner for trafikklogg og analyse, SNMP-trafikkmonitor og FTP-, DNS- og HTTP-aktivitet, etc.
  • OSSEC: det er HIDS-type, åpen kildekode og gratis. I tillegg er den på tvers av plattformer, og loggene inkluderer også FTP, webserverdata og e-post.
  • Snort: det er en av de mest kjente, åpen kildekode og NIDS-typene. Den inkluderer sniffer for pakker, logg for nettverkspakker, trusselintelligens, signaturblokkering, sanntidsoppdateringer av sikkerhetssignaturer, evne til å oppdage svært mange hendelser (OS, SMB, CGI, bufferoverflyt, skjulte porter, ...).
  • Suricata: en annen type NIDS, også åpen kildekode. Den kan overvåke aktivitet på lavt nivå, som TCP, IP, UDP, ICMP og TLS, i sanntid for applikasjoner som SMB, HTTP og FTP. Det tillater integrasjon med tredjepartsverktøy som Anaval, Squil, BASE, Snorby, etc.
  • Sikkerhetsløk: NIDS/HIDS, et annet IDS-system spesielt fokusert på Linux-distros, med muligheten til å oppdage inntrengere, virksomhetsovervåking, pakkesniffer, inkluderer grafer over hva som skjer, og verktøy som NetworkMiner, Snorby, Xplico, Sguil, ELSA kan brukes , og Kibana.

Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: AB Internet Networks 2008 SL
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.

  1.   elektrisk sa
    hace 2 år

    Jeg vil legge til Wazuh på listen

    Svar til Elektro