IDS ugu fiican Linux

Isaac

Daqiiqado 5

Nidaamka ogaanshaha soo galitaanka IDS

Nabadgelyadu waa arrin muhiim u ah nidaam kasta. Qaar baa aaminsan in * nidaamyada nix ay u nugul yihiin weerar kasta ama aan lagu qaadi karin malware. Taasina waa fikrad khaldan. Had iyo jeer waa inaad ilaalisaa, 100% ma jiraan wax badbaado ah. Sidaa darteed, waa inaad fulisaa nidaamyada kaa caawinaya inaad ogaato, joojiso, ama yarayso waxyeelada weerarka internetka. Maqaalkan waxaad ku arki doontaa waa maxay IDS iyo qaar ka mid ah kuwa ugu fiican Linux distro kaaga.

Waa maxay IDS?

Un IDS (Nidaamka ogaanshaha soo galitaanka), ama nidaamka ogaanshaha faragelinta, waa nidaam la socodka oo ogaanaya dhaqdhaqaaqyada laga shakiyo oo keena taxane taxane ah oo loogu talagalay in lagu soo sheego xadgudubyada (waxaa lagu ogaan karaa marka la barbardhigo saxeexyada faylka, qaababka sawirada ama cilladaha xaasidnimada ah, la socoshada dabeecadda, habaynta, taraafigga shabakada ...) kuwaas oo laga yaabo inay ku dhaceen nidaamka.

Waad ku mahadsan tahay digniinahan, waad awoodaa la baadho meesha dhibku ka yimid oo ay qaadaan tallaabada ku habboon si loo xalliyo khatarta. Inkasta oo, aysan ogaanin dhammaan weerarrada, waxaa jira habab baxsad ah, mana horjoogsato iyaga, kaliya waxay soo sheegaan iyaga. Intaa waxaa dheer, haddii ay ku saleysan tahay saxiixyada, hanjabaadihii ugu dambeeyay (0-maalin), waxay sidoo kale baxsan karaan oo aan la ogaan karin.

Noocyada

Asal ahaan, waxaa jira laba nooc oo IDS ah:

  • HIDS (IDS ku salaysan martigeliyaha)- Waxaa lagu dhejiyay meel gaar ah ama mashiinka waxaana loogu talagalay in lagu ogaado khataraha gudaha iyo dibadda. Tusaalooyinka waa OSSEC, Wazuh, iyo Samhain.
  • NIDS (IDS ku salaysan Shabakadda)- Si loola socdo shabakad dhan, laakiin la'aanta muuqaal gudaha meelaha dhamaadka ah ee ku xiran shabakadaas. Tusaalooyinka waa Snort, Suricata, Bro, iyo Kismet.

Farqiga u dhexeeya dab-damiska, IPS iyo UTM, SIEM ...

Waxaa jira erayo kala duwan oo noqon kara marin habaabin, laakiin taasi waxay ku kala duwan yihiin IDS. Qaar ka mid ah shuruudaha amniga la xiriira ee ay tahay inaad sidoo kale ogaato waa:

  • Dab-damis: Waxay u egtahay IPS in ka badan IDS-ka, maadaama ay tahay nidaam ogaansho firfircoon. Dab-damiska waxa loo qaabeeyey inuu xannibo ama oggolaado isgaadhsiinta qaarkood, taasoo ku xidhan xeerarka la habeeyey. Waxaa lagu fulin karaa labadaba software iyo hardware.
  • IPS: waa erey-gaabeedka Nidaamka Ka-hortagga Faragelinta, waana dhammaystirka IDS. Waa nidaam awood u leh inuu ka hortago dhacdooyinka qaarkood, sidaas darteed waa nidaam firfircoon. Gudaha IPS, 4 nooc oo asaasi ah ayaa loo kala saari karaa:
    • NIPS- Shabakad ku salaysan oo sidaas darteed raadi taraafikada shabakada shakiga leh.
    • WIPSSida NIPS, laakiin loogu talagalay shabakadaha wireless.
    • NBA- waxay ku saleysan tahay hab-dhaqanka shabakada, baarista gaadiidka aan caadiga ahayn.
    • HIPS- Ka raadi dhaqdhaqaaqyo shaki leh martigaliyayaasha gaarka ah.
  • UTM: waa ereyga la soo gaabiyey ee Maareynta Hanjabaadaha Midaysan, nidaamka maaraynta amniga internetka kaas oo bixiya hawlo badan oo dhexe. Tusaale ahaan, waxaa ka mid ah firewall, IDS, antimalware, antispam, shaandhaynta waxyaabaha ku jira, qaar xitaa VPN, iwm.
  • Kale: Waxa kale oo jira shuruudo kale oo la xidhiidha amniga interneedka oo aad runtii maqashay:
    • SIM: waa soo gaabinta Maareeyaha Macluumaadka Amniga, ama maaraynta macluumaadka amniga. Xaaladdan oo kale, waa diiwaan dhexe oo kooxeeya dhammaan xogta la xiriirta amniga si ay u soo saaraan warbixinno, u falanqeeyaan, go'aanno u gaaraan, iwm. Taasi waa, awoodo badan oo lagu kaydinayo macluumaadkan mustaqbalka fog.
    • SEM: Shaqada Maareeyaha Dhacdada Amniga, ama maaraynta dhacdada amniga, ayaa mas'uul ka ah ogaanshaha qaababka aan caadiga ahayn ee gelitaanka, waxay siisaa awoodda lagu kormeerayo wakhtiga dhabta ah, isku xidhka dhacdooyinka, iwm.
    • SIEM: waa isku dhafka SIM iyo SEM, waana mid ka mid ah qalabka ugu muhiimsan ee loo isticmaalo SOC ama xarumaha hawlgallada amniga.

IDS ugu fiican Linux

AQOONSIGA

Sida for IDS nidaamyada ugu fiican ee aad ka heli karto GNU / Linux, waxaad haysataa kuwan soo socda:

  • Bro (Zek): Waa nooca NIDS waxana uu leeyahay hawlo jarista gaadiidka iyo falanqaynta, la socodka gaadiidka SNMP, iyo FTP, DNS, iyo hawlaha HTTP, iwm.
  • OSSEC: waa nooca HIDS, il furan oo bilaash ah. Intaa waxaa dheer, waa iskutallaabta, iyo diiwaankeeda sidoo kale waxaa ka mid ah FTP, xogta server-ka iyo emailka.
  • Snort: waa mid ka mid ah kuwa ugu caansan, isha furan, iyo nooca NIDS. Waxaa ka mid ah wax uriya xirmooyinka, log for xirmooyinka shabakada, sirdoonka khatarta ah, xannibaadda saxiixa, cusbooneysiinta waqtiga saxda ah ee saxiixyada amniga, awoodda lagu ogaanayo dhacdooyin aad u tiro badan (OS, SMB, CGI, qulqulka qulqulka, dekedaha qarsoon, ...).
  • SuricataNooc kale oo NIDS ah, sidoo kale il furan. Waxay la socon kartaa dhaqdhaqaaqa heerka hooseeya, sida TCP, IP, UDP, ICMP, iyo TLS, wakhtiga dhabta ah codsiyada sida SMB, HTTP, iyo FTP. Waxay u ogolaataa la-qabsiga qalabka dhinac saddexaad sida Anaval, Squil, BASE, Snorby, iwm.
  • Basasha AmnigaNIDS / HIDS, nidaam kale oo IDS ah oo si gaar ah diiradda u saaray Linux distros, oo awood u leh in lagu ogaado kuwa soo galaya, la socodka ganacsiga, baakadaha wax cunaya, waxaa ku jira sawirada waxa dhacaya, waxaadna isticmaali kartaa qalabka sida NetworkMiner, Snorby, Xplico, Sguil, ELSA , iyo Kibana.

Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Ka mas'uul ah xogta: AB Internet Networks 2008 SL
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.

  1.   korontada dijo
    samee 2 sano

    Waxaan ku dari lahaa Wazuh liiska

    Jawaab Elektro