Безопасность является жизненно важным вопросом в любой системе. Некоторые считают, что *nix-системы неуязвимы для любых атак или что их нельзя заразить вредоносным ПО. И это заблуждение. Вы всегда должны быть начеку, ничто не безопасно на 100%. Поэтому вам следует внедрить системы, которые помогут вам обнаружить, остановить или свести к минимуму ущерб от кибератаки. В этой статье вы увидите что такое IDS и некоторые из лучших для вашего дистрибутива Linux.
Что такое ИДС?
Un IDS (система обнаружения вторжений) или система обнаружения вторжений, представляет собой систему мониторинга, которая выявляет подозрительные действия и создает серию предупреждений для сообщения о нарушениях (их можно обнаружить путем сравнения сигнатур файлов, шаблонов сканирования или вредоносных аномалий, мониторинга поведения, конфигураций, сетевого трафика...), которые могли произойти в система.
Благодаря этим оповещениям вы можете исследовать источник проблемы и принять соответствующие меры для устранения угрозы. Хотя он не обнаруживает все атаки, есть методы обхода, и он их не блокирует, а только сообщает о них. Кроме того, если он основан на сигнатурах, самые последние угрозы (0-day) также могут ускользнуть и остаться незамеченными.
Тип
По сути, есть два типа ИДС:
- HIDS (IDS на основе хоста)- Он развертывается на определенной конечной точке или машине и предназначен для обнаружения внутренних и внешних угроз. Примерами являются OSSEC, Wazuh и Samhain.
- NIDS (сетевые IDS)- Мониторинг всей сети, но отсутствие видимости в конечных точках, подключенных к этой сети. Примерами являются Snort, Suricata, Bro и Kismet.
Отличия с фаерволом, IPS и UTM, SIEM...
Там различные термины, которые могут ввести в заблуждение, но которые имеют отличия от IDS. Некоторые из терминов, связанных с безопасностью, которые вам также следует знать:
- Межсетевые экраны: Это больше похоже на IPS, чем на IDS, так как это активная система обнаружения. Брандмауэр предназначен для блокировки или разрешения определенных соединений в зависимости от настроенных правил. Это может быть реализовано как программно, так и аппаратно.
- IPS: это аббревиатура от Intrusion Prevention System, дополнение к IDS. Это система, способная предотвращать определенные события, поэтому она является активной системой. В рамках IPS можно выделить 4 основных типа:
- НИПС- Сетевой, поэтому ищите подозрительный сетевой трафик.
- WIPS: Как NIPS, но для беспроводных сетей.
- NBA- основан на поведении сети, исследующей необычный трафик.
- HIPS- Ищите подозрительную активность на уникальных хостах.
- UTM: это аббревиатура от Unified Threat Management, системы управления кибербезопасностью, которая обеспечивает несколько централизованных функций. Например, они включают в себя брандмауэр, IDS, защиту от вредоносных программ, антиспам, фильтрацию контента, некоторые даже VPN и т. д.
- прочее: Есть и другие термины, связанные с кибербезопасностью, которые вы наверняка слышали:
- SIM: это аббревиатура от Security Information Manager или управления информацией о безопасности. В данном случае это центральный реестр, который группирует все данные, связанные с безопасностью, для создания отчетов, анализа, принятия решений и т. д. То есть набор мощностей для хранения этой информации в долгосрочной перспективе.
- SEM: функция Security Event Manager, или управление событиями безопасности, отвечает за обнаружение аномальных паттернов в доступах, предоставляет возможность мониторинга в режиме реального времени, корреляции событий и т.д.
- SIEM: это комбинация SIM и SEM, и это один из основных инструментов, используемых в SOC или центрах управления безопасностью.
Лучшие IDS для Linux
О лучшие системы IDS, которые вы можете найти для GNU/Linux, у вас есть следующее:
- Бро (Зик): относится к типу NIDS и имеет функции регистрации и анализа трафика, мониторинга трафика SNMP, активности FTP, DNS, HTTP и т. д.
- OSSEC: является типом HIDS, с открытым исходным кодом и бесплатным. Кроме того, он является кроссплатформенным, а его записи также включают FTP, данные веб-сервера и электронную почту.
- фырканье: это один из самых известных типов с открытым исходным кодом и NIDS. Он включает в себя анализатор пакетов, журнал сетевых пакетов, анализ угроз, блокировку сигнатур, обновление сигнатур безопасности в режиме реального времени, возможность обнаружения очень многочисленных событий (ОС, SMB, CGI, переполнение буфера, скрытые порты, ...).
- сурикат: другой тип NIDS, тоже с открытым исходным кодом. Он может отслеживать низкоуровневую активность, такую как TCP, IP, UDP, ICMP и TLS, в режиме реального времени для таких приложений, как SMB, HTTP и FTP. Он позволяет интегрироваться со сторонними инструментами, такими как Anaval, Squil, BASE, Snorby и т. д.
- Лук безопасности: NIDS / HIDS, еще одна система IDS, специально ориентированная на дистрибутивы Linux, с возможностью обнаружения злоумышленников, бизнес-мониторинга, анализатора пакетов, включает графики происходящего, и вы можете использовать такие инструменты, как NetworkMiner, Snorby, Xplico, Sguil, ELSA и Кибана.
Я бы добавил Wazuh в список