Cel mai bun IDS pentru Linux

Isaac

Minute 5

Sistem de detectare a intruziunilor IDS

Securitatea este o problemă vitală în orice sistem. Unii cred că sistemele * nix sunt invulnerabile la orice atac sau că nu pot fi infectate cu malware. Și aceasta este o concepție greșită. Trebuie să ții mereu garda, nimic nu este 100% sigur. Prin urmare, ar trebui să implementați sisteme care vă ajută să detectați, să opriți sau să minimizați daunele unui atac cibernetic. În acest articol veți vedea ce este un IDS și unele dintre cele mai bune pentru distribuția dvs. Linux.

Ce este un IDS?

Un IDS (Intrusion Detection System) sau sistem de detectare a intruziunilor, este un sistem de monitorizare care detectează activități suspecte și generează o serie de alerte pentru a raporta încălcările (acestea pot fi detectate prin compararea semnăturilor de fișiere, modele de scanare sau anomalii rău intenționate, monitorizare a comportamentului, configurațiilor, traficului de rețea...) care s-ar fi putut produce în sistemul.

Datorită acestor alerte, puteți investigați sursa problemei și să ia măsurile adecvate pentru a remedia amenințarea. Deși, nu detectează toate atacurile, există metode de evaziune și nu le blochează, ci doar le raportează. În plus, dacă se bazează pe semnături, cele mai recente amenințări (0-day), pot, de asemenea, să scape și să rămână nedetectate.

Tipuri

În principiu, există două tipuri de IDS:

  • HIDS (ID-uri bazate pe gazdă)- Este implementat pe un anumit punct final sau mașină și este conceput pentru a detecta amenințările interne și externe. Exemple sunt OSSEC, Wazuh și Samhain.
  • NIDS (IDS bazat pe rețea)- Pentru a monitoriza o întreagă rețea, dar lipsește vizibilitatea în punctele terminale conectate la acea rețea. Exemple sunt Snort, Suricata, Bro și Kismet.

Diferențele cu un firewall, IPS și UTM, SIEM ...

Acolo diverși termeni care pot induce în eroare, dar care au diferențe cu un IDS. Unii dintre termenii legați de securitate pe care ar trebui să îi cunoașteți sunt:

  • Firewall: Seamănă mai mult cu un IPS decât cu un IDS, deoarece este un sistem de detectare activ. Un firewall este conceput pentru a bloca sau permite anumite comunicații, în funcție de regulile care au fost configurate. Poate fi implementat atât prin software cât și prin hardware.
  • IPS: este acronimul pentru Intrusion Prevention System și este o completare a unui IDS. Este un sistem capabil să prevină anumite evenimente, prin urmare este un sistem activ. În cadrul IPS se pot distinge 4 tipuri fundamentale:
    • NIPS- Bazat pe rețea și, prin urmare, căutați trafic de rețea suspect.
    • WIPS: Ca NIPS, dar pentru rețele wireless.
    • NBA- se bazează pe comportamentul rețelei, examinând traficul neobișnuit.
    • HIPS- Căutați activități suspecte pe gazde unice.
  • UTM: este acronimul pentru Unified Threat Management, un sistem de management pentru securitatea cibernetică care oferă multiple funcții centralizate. De exemplu, acestea includ firewall, IDS, antimalware, antispam, filtrare de conținut, unele chiar VPN etc.
  • Altele: Există și alți termeni legați de securitatea cibernetică pe care cu siguranță i-ați auzit:
    • DA: este acronimul pentru Security Information Manager sau managementul informațiilor de securitate. În acest caz, este un registru central care grupează toate datele legate de securitate pentru a genera rapoarte, analiza, lua decizii etc. Adică un set de capacități de stocare a acestor informații pe termen lung.
    • SEM: o funcție Security Event Manager, sau managementul evenimentelor de securitate, este responsabilă de detectarea tiparelor anormale în accesări, oferă posibilitatea de a monitoriza în timp real, corelarea evenimentelor etc.
    • siem: este combinația de SIM și SEM și este unul dintre principalele instrumente utilizate în SOC sau centre de operațiuni de securitate.

Cel mai bun IDS pentru Linux

IDS

Cu privire la cele mai bune sisteme IDS pe care le puteți găsi pentru GNU/Linux, aveți următoarele:

  • Frate (Zeek): Este de tip NIDS și are funcții de înregistrare și analiză a traficului, monitorizare a traficului SNMP și activitate FTP, DNS și HTTP etc.
  • OSSEC: este de tip HIDS, open source și gratuit. În plus, este multiplatformă, iar înregistrările sale includ, de asemenea, FTP, date de server web și e-mail.
  • sforăit: este unul dintre cele mai faimoase, open source și de tip NIDS. Include sniffer pentru pachete, jurnal pentru pachete de rețea, amenințări inteligente, blocare semnături, actualizări în timp real ale semnăturilor de securitate, capacitatea de a detecta evenimente foarte numeroase (OS, SMB, CGI, buffer overflow, porturi ascunse, ...).
  • Suricata: alt tip NIDS, tot open source. Poate monitoriza activitatea de nivel scăzut, cum ar fi TCP, IP, UDP, ICMP și TLS, în timp real pentru aplicații precum SMB, HTTP și FTP. Permite integrarea cu instrumente terțe, cum ar fi Anaval, Squil, BASE, Snorby etc.
  • Ceapa de securitate: NIDS / HIDS, un alt sistem IDS special axat pe distribuțiile Linux, cu capacitatea de a detecta intruși, monitorizare business, packet sniffer, include grafică a ceea ce se întâmplă și poți folosi instrumente precum NetworkMiner, Snorby, Xplico, Sguil, ELSA și Kibana.

Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: AB Internet Networks 2008 SL
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.

  1.   Electro el a spus
    hace Ani 2

    Aș adăuga Wazuh pe listă

    Răspunde la Elektro