Linux için en iyi IDS

Isaac

5 minutos

IDS saldırı tespit sistemi

Güvenlik, herhangi bir sistemde hayati bir konudur. Bazıları *nix sistemlerinin herhangi bir saldırıya karşı savunmasız olduğuna veya kötü amaçlı yazılım bulaştırılamayacağına inanıyor. Ve bu bir yanlış anlamadır. Her zaman gardını almalısın, hiçbir şey %100 güvenli değildir. Bu nedenle bir siber saldırıyı tespit etmenize, durdurmanıza veya zararını en aza indirmenize yardımcı olacak sistemler uygulamalısınız. Bu yazıda göreceksiniz IDS nedir ve en iyilerinden bazıları Linux dağıtımınız için.

Kimlik nedir?

Un IDS (İzinsiz Giriş Tespit Sistemi) veya izinsiz giriş tespit sistemi, şüpheli etkinlikleri algılayan ve gerçekleşmiş olabilecek ihlalleri (dosya imzalarını karşılaştırarak, kalıpları veya kötü niyetli anormallikleri tarayarak, davranışı, yapılandırmaları, ağ trafiğini izleyerek tespit edilebilirler) bildirmek için bir dizi uyarı oluşturan bir izleme sistemidir. Sistemde.

Bu uyarılar sayesinde şunları yapabilirsiniz: sorunun kaynağını araştırmak ve tehdidi gidermek için uygun eylemi gerçekleştirin. Her ne kadar tüm saldırıları tespit etmese de, kaçınma yöntemleri vardır ve onları da engellemez, sadece bildirir. Ayrıca, imzalara dayalıysa, en son (0 günlük) tehditler de kaçabilir ve algılanmayabilir.

Türleri

Temelde var iki tür kimlik:

  • HIDS (Ana Bilgisayar Tabanlı IDS): Belirli bir uç noktaya veya makineye dağıtılır ve iç ve dış tehditleri algılamak için tasarlanmıştır. Örnekler OSSEC, Wazuh ve Samhain'dir.
  • NIDS (Ağ tabanlı IDS): Tüm bir ağı izlemek, ancak o ağa bağlı uç noktalara ilişkin görünürlükten yoksun olmak için. Örnekler Snort, Meerkat, Bro ve Kısmet'tir.

Güvenlik duvarı, IPS ve UTM, SIEM ile farklılıklar…

Orada karışıklığa yol açabilecek çeşitli terimler, ancak bunun bir IDS ile farklılıkları var. Ayrıca bilmeniz gereken güvenlikle ilgili terimlerden bazıları şunlardır:

  • güvenlik duvarı: Aktif bir algılama sistemi olduğu için IDS'den çok IPS'ye benzer. Bir güvenlik duvarı, yapılandırılmış kurallara bağlı olarak belirli iletişimleri engellemek veya bunlara izin vermek için tasarlanmıştır. Hem yazılım hem de donanım tarafından uygulanabilir.
  • IPS: İzinsiz Girişi Önleme Sistemi anlamına gelir ve bir IDS'nin tamamlayıcısıdır. Belirli olayları engelleyebilen bir sistemdir, dolayısıyla aktif bir sistemdir. IPS içinde 4 temel tip ayırt edilebilir:
    • NIPS: ağ tabanlıdır ve bu nedenle şüpheli ağ trafiğini arayın.
    • MENDİLLER: NIPS gibi, ancak kablosuz ağlar için.
    • NBA: Olağandışı trafiği inceleyerek ağın davranışına dayanır.
    • HIPS- Benzersiz ana bilgisayarlarda şüpheli etkinlik olup olmadığına bakın.
  • UTM: Birden çok merkezi işlev sağlayan bir siber güvenlik yönetim sistemi olan Birleşik Tehdit Yönetimi anlamına gelir. Örneğin, güvenlik duvarı, IDS, kötü amaçlı yazılımdan koruma, istenmeyen posta önleme, içerik filtreleme, hatta bazıları VPN vb.
  • Diğer: Siber güvenlikle ilgili mutlaka duymuş olduğunuz başka terimler de vardır:
    • SIM: Güvenlik Bilgi Yöneticisi veya güvenlik bilgi yönetimi anlamına gelir. Bu durumda, raporlar oluşturmak, analiz etmek, karar vermek vb. için güvenlikle ilgili tüm verileri gruplayan merkezi bir kayıt defteridir. Yani, söz konusu bilgilerin uzun süreli depolanması için bir dizi yetenek.
    • SEM: bir Güvenlik Olayı Yöneticisi işlevi veya güvenlik olayı yönetimi, erişimlerdeki anormal kalıpları tespit etmekten sorumludur, gerçek zamanlı olarak izleme, olayları ilişkilendirme vb. yeteneği sağlar.
    • SİEM: SIM ve SEM kombinasyonu olup, SOC veya güvenlik operasyon merkezlerinde kullanılan ana araçlardan biridir.

Linux için en iyi IDS

IDS

Ilişkin GNU / Linux için bulabileceğiniz en iyi IDS sistemleri, aşağıdakilere sahipsiniz:

  • Abi (Zek): NIDS tipidir ve trafik günlüğü ve analizi, SNMP trafik izleme ve FTP, DNS ve HTTP etkinliği vb. işlevleri vardır.
  • OSSEC: HIDS tipi, açık kaynak kodlu ve ücretsizdir. Ek olarak, platformlar arasıdır ve günlükleri ayrıca FTP, web sunucusu verileri ve e-posta içerir.
  • homurdanma: en ünlü, açık kaynak kodlu ve NIDS türlerinden biridir. Paketler için sniffer, ağ paketleri için günlük kaydı, tehdit istihbaratı, imza engelleme, güvenlik imzalarının gerçek zamanlı güncellemeleri, çok sayıda olayı algılama yeteneği (OS, SMB, CGI, arabellek taşması, gizli bağlantı noktaları, ...) içerir.
  • Suricata: başka bir tür NIDS, ayrıca açık kaynak. SMB, HTTP ve FTP gibi uygulamalar için TCP, IP, UDP, ICMP ve TLS gibi düşük seviyeli etkinlikleri gerçek zamanlı olarak izleyebilir. Anaval, Squil, BASE, Snorby vb. gibi üçüncü taraf araçlarla entegrasyona izin verir.
  • Güvenlik Soğanı: Özellikle Linux dağıtımlarına odaklanan başka bir IDS sistemi olan NIDS/HIDS, davetsiz misafirleri algılama, iş izleme, paket dinleyicisi, neler olduğuna dair grafikler içerir ve NetworkMiner, Snorby, Xplico, Sguil, ELSA gibi araçlar kullanılabilir, ve Kibana.

Yorumunuzu bırakın

E-posta hesabınız yayınlanmayacak. Gerekli alanlar ile işaretlenmiştir *

*

*

  1. Verilerden sorumlu: AB Internet Networks 2008 SL
  2. Verilerin amacı: Kontrol SPAM, yorum yönetimi.
  3. Meşruiyet: Onayınız
  4. Verilerin iletilmesi: Veriler, yasal zorunluluk dışında üçüncü kişilere iletilmeyecektir.
  5. Veri depolama: Occentus Networks (AB) tarafından barındırılan veritabanı
  6. Haklar: Bilgilerinizi istediğiniz zaman sınırlayabilir, kurtarabilir ve silebilirsiniz.

  1.   elektrik dijo
    önce 2 yıl

    Wazuh'u listeye eklerdim

    Elektro'ya yanıtla