Лучшие IDS для Linux

Система обнаружения вторжений IDS

Безопасность является жизненно важным вопросом в любой системе. Некоторые считают, что *nix-системы неуязвимы для любых атак или что их нельзя заразить вредоносным ПО. И это заблуждение. Вы всегда должны быть начеку, ничто не безопасно на 100%. Поэтому вам следует внедрить системы, которые помогут вам обнаружить, остановить или свести к минимуму ущерб от кибератаки. В этой статье вы увидите что такое IDS и некоторые из лучших для вашего дистрибутива Linux.

Что такое ИДС?

Un IDS (система обнаружения вторжений) или система обнаружения вторжений, представляет собой систему мониторинга, которая выявляет подозрительные действия и создает серию предупреждений для сообщения о нарушениях (их можно обнаружить путем сравнения сигнатур файлов, шаблонов сканирования или вредоносных аномалий, мониторинга поведения, конфигураций, сетевого трафика...), которые могли произойти в система.

Благодаря этим оповещениям вы можете исследовать источник проблемы и принять соответствующие меры для устранения угрозы. Хотя он не обнаруживает все атаки, есть методы обхода, и он их не блокирует, а только сообщает о них. Кроме того, если он основан на сигнатурах, самые последние угрозы (0-day) также могут ускользнуть и остаться незамеченными.

Тип

По сути, есть два типа ИДС:

  • HIDS (IDS на основе хоста)- Он развертывается на определенной конечной точке или машине и предназначен для обнаружения внутренних и внешних угроз. Примерами являются OSSEC, Wazuh и Samhain.
  • NIDS (сетевые IDS)- Мониторинг всей сети, но отсутствие видимости в конечных точках, подключенных к этой сети. Примерами являются Snort, Suricata, Bro и Kismet.

Отличия с фаерволом, IPS и UTM, SIEM...

Там различные термины, которые могут ввести в заблуждение, но которые имеют отличия от IDS. Некоторые из терминов, связанных с безопасностью, которые вам также следует знать:

  • брандмауэр: Это больше похоже на IPS, чем на IDS, так как это активная система обнаружения. Брандмауэр предназначен для блокировки или разрешения определенных соединений в зависимости от настроенных правил. Это может быть реализовано как программно, так и аппаратно.
  • IPS: это аббревиатура от Intrusion Prevention System, дополнение к IDS. Это система, способная предотвращать определенные события, поэтому она является активной системой. В рамках IPS можно выделить 4 основных типа:
    • НИПС- Сетевой, поэтому ищите подозрительный сетевой трафик.
    • WIPS: Как NIPS, но для беспроводных сетей.
    • NBA- основан на поведении сети, исследующей необычный трафик.
    • HIPS- Ищите подозрительную активность на уникальных хостах.
  • UTM: это аббревиатура от Unified Threat Management, системы управления кибербезопасностью, которая обеспечивает несколько централизованных функций. Например, они включают в себя брандмауэр, IDS, защиту от вредоносных программ, антиспам, фильтрацию контента, некоторые даже VPN и т. д.
  • прочее: Есть и другие термины, связанные с кибербезопасностью, которые вы наверняка слышали:
    • SIM: это аббревиатура от Security Information Manager или управления информацией о безопасности. В данном случае это центральный реестр, который группирует все данные, связанные с безопасностью, для создания отчетов, анализа, принятия решений и т. д. То есть набор мощностей для хранения этой информации в долгосрочной перспективе.
    • SEM: функция Security Event Manager, или управление событиями безопасности, отвечает за обнаружение аномальных паттернов в доступах, предоставляет возможность мониторинга в режиме реального времени, корреляции событий и т.д.
    • SIEM: это комбинация SIM и SEM, и это один из основных инструментов, используемых в SOC или центрах управления безопасностью.

Лучшие IDS для Linux

IDS

О лучшие системы IDS, которые вы можете найти для GNU/Linux, у вас есть следующее:

  • Бро (Зик): относится к типу NIDS и имеет функции регистрации и анализа трафика, мониторинга трафика SNMP, активности FTP, DNS, HTTP и т. д.
  • OSSEC: является типом HIDS, с открытым исходным кодом и бесплатным. Кроме того, он является кроссплатформенным, а его записи также включают FTP, данные веб-сервера и электронную почту.
  • фырканье: это один из самых известных типов с открытым исходным кодом и NIDS. Он включает в себя анализатор пакетов, журнал сетевых пакетов, анализ угроз, блокировку сигнатур, обновление сигнатур безопасности в режиме реального времени, возможность обнаружения очень многочисленных событий (ОС, SMB, CGI, переполнение буфера, скрытые порты, ...).
  • сурикат: другой тип NIDS, тоже с открытым исходным кодом. Он может отслеживать низкоуровневую активность, такую ​​как TCP, IP, UDP, ICMP и TLS, в режиме реального времени для таких приложений, как SMB, HTTP и FTP. Он позволяет интегрироваться со сторонними инструментами, такими как Anaval, Squil, BASE, Snorby и т. д.
  • Лук безопасности: NIDS / HIDS, еще одна система IDS, специально ориентированная на дистрибутивы Linux, с возможностью обнаружения злоумышленников, бизнес-мониторинга, анализатора пакетов, включает графики происходящего, и вы можете использовать такие инструменты, как NetworkMiner, Snorby, Xplico, Sguil, ELSA и Кибана.

Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Комментарий, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   электрический сказал

    Я бы добавил Wazuh в список

bool (истина)