IDS tốt nhất cho Linux

Isaac

5 phút

Hệ thống phát hiện xâm nhập IDS

Bảo mật là một vấn đề quan trọng trong bất kỳ hệ thống nào. Một số người tin rằng hệ thống * nix không thể bị tấn công bởi bất kỳ cuộc tấn công nào hoặc chúng không thể bị nhiễm phần mềm độc hại. Và đó là một quan niệm sai lầm. Bạn luôn phải đề cao cảnh giác, không có gì là an toàn 100%. Do đó, bạn nên triển khai các hệ thống giúp bạn phát hiện, ngăn chặn hoặc giảm thiểu thiệt hại của một cuộc tấn công mạng. Trong bài viết này bạn sẽ thấy IDS là gì và một số IDS tốt nhất cho bản phân phối Linux của bạn.

ID là gì?

Un IDS (Hệ thống phát hiện xâm nhập), hoặc hệ thống phát hiện xâm nhập, là một hệ thống giám sát phát hiện các hoạt động đáng ngờ và tạo ra một loạt cảnh báo để báo cáo các vi phạm (chúng có thể được phát hiện bằng cách so sánh chữ ký tệp, mẫu quét hoặc các điểm bất thường độc hại, hành vi giám sát, cấu hình, lưu lượng mạng ...) có thể đã xảy ra trong hệ thống.

Nhờ những cảnh báo này, bạn có thể điều tra nguồn gốc của vấn đề và thực hiện hành động thích hợp để khắc phục mối đe dọa. Mặc dù, nó không phát hiện tất cả các cuộc tấn công, nhưng có những phương pháp trốn tránh và nó cũng không chặn chúng, nó chỉ báo cáo nó. Hơn nữa, nếu nó dựa trên chữ ký, các mối đe dọa gần đây nhất (0 ngày) cũng có thể thoát và không bị phát hiện.

Loại

Về cơ bản, có hai loại ID:

  • HIDS (IDS dựa trên máy chủ): Nó được triển khai trên một điểm cuối hoặc máy cụ thể và được thiết kế để phát hiện các mối đe dọa bên trong và bên ngoài. Ví dụ như OSSEC, Wazuh và Samhain.
  • NIDS (IDS dựa trên mạng): Để giám sát toàn bộ mạng, nhưng thiếu khả năng hiển thị vào các điểm cuối được kết nối với mạng đó. Ví dụ như Snort, Meerkat, Bro và Kismet.

Sự khác biệt với tường lửa, IPS và UTM, SIEM…

đó các thuật ngữ khác nhau có thể dẫn đến nhầm lẫn, nhưng điều đó có sự khác biệt với IDS. Một số điều khoản liên quan đến bảo mật bạn cũng nên biết là:

  • tường lửa: Nó giống IPS hơn là IDS, vì nó là một hệ thống phát hiện hoạt động. Tường lửa được thiết kế để chặn hoặc cho phép một số liên lạc nhất định, tùy thuộc vào các quy tắc đã được cấu hình. Nó có thể được thực hiện bằng cả phần mềm và phần cứng.
  • IPS: là viết tắt của Hệ thống ngăn chặn xâm nhập, và là phần bổ sung cho IDS. Nó là một hệ thống có khả năng ngăn chặn các sự kiện nhất định, do đó nó là một hệ thống hoạt động. Trong IPS, có thể phân biệt 4 loại cơ bản:
    • NIPS: dựa trên mạng và do đó tìm kiếm lưu lượng mạng đáng ngờ.
    • WIPS: giống như NIPS, nhưng dành cho mạng không dây.
    • NBA: Nó dựa trên hành vi của mạng, kiểm tra lưu lượng truy cập bất thường.
    • HIPS- Tìm kiếm hoạt động đáng ngờ trên các máy chủ duy nhất.
  • UTM: là viết tắt của Unified Threat Management, một hệ thống quản lý an ninh mạng cung cấp nhiều chức năng tập trung. Ví dụ: chúng bao gồm tường lửa, IDS, chống phần mềm độc hại, chống thư rác, lọc nội dung, một số thậm chí cả VPN, v.v.
  • Otros: Ngoài ra còn có các thuật ngữ khác liên quan đến an ninh mạng mà bạn chắc chắn đã nghe:
    • SIM: là viết tắt của Security Information Manager, hay quản lý thông tin bảo mật. Trong trường hợp này, đó là cơ quan đăng ký trung tâm nhóm tất cả dữ liệu liên quan đến bảo mật để tạo báo cáo, phân tích, đưa ra quyết định, v.v. Đó là, một tập hợp các khả năng để lưu trữ lâu dài các thông tin đã nói.
    • SEM: chức năng Trình quản lý sự kiện bảo mật, hoặc quản lý sự kiện bảo mật, chịu trách nhiệm phát hiện các mẫu bất thường trong các truy cập, cung cấp khả năng giám sát trong thời gian thực, các sự kiện tương quan, v.v.
    • SIÊM: Nó là sự kết hợp của SIM và SEM, và nó là một trong những công cụ chính được sử dụng trong SOC hoặc các trung tâm hoạt động bảo mật.

IDS tốt nhất cho Linux

IDS

Về hệ thống IDS tốt nhất mà bạn có thể tìm thấy cho GNU / Linux, bạn có những thứ sau:

  • Bro (Zek): Đây là loại NIDS và có các chức năng ghi và phân tích lưu lượng, giám sát lưu lượng SNMP và hoạt động FTP, DNS và HTTP, v.v.
  • OSSEC: nó là loại HIDS, mã nguồn mở và miễn phí. Ngoài ra, nó là nền tảng đa nền tảng và nhật ký của nó cũng bao gồm FTP, dữ liệu máy chủ web và email.
  • Snort: Đây là một trong những loại NIDS, mã nguồn mở và nổi tiếng nhất. Bao gồm trình dò ​​tìm gói tin, ghi nhật ký gói tin mạng, tình báo mối đe dọa, chặn chữ ký, cập nhật chữ ký bảo mật theo thời gian thực, khả năng phát hiện rất nhiều sự kiện (OS, SMB, CGI, tràn bộ đệm, cổng ẩn,…).
  • Suricata: một loại NIDS khác, cũng là mã nguồn mở. Nó có thể giám sát hoạt động cấp thấp, chẳng hạn như TCP, IP, UDP, ICMP và TLS, trong thời gian thực cho các ứng dụng như SMB, HTTP và FTP. Cho phép tích hợp với các công cụ của bên thứ ba như Anaval, Squil, BASE, Snorby, v.v.
  • Hành tây an ninh: NIDS / HIDS, một hệ thống IDS khác đặc biệt tập trung vào các bản phân phối Linux, với khả năng phát hiện kẻ xâm nhập, giám sát kinh doanh, trình dò ​​tìm gói tin, bao gồm các biểu đồ về những gì xảy ra và có thể sử dụng các công cụ như NetworkMiner, Snorby, Xplico, Sguil, ELSA, và Kibana.

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: AB Internet Networks 2008 SL
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   Electro dijo
    trước 2 năm

    Tôi sẽ thêm Wazuh vào danh sách

    Trả lời Elektro