在任何系统中,安全性都是至关重要的问题。 有些人认为 *nix 系统不会受到任何攻击,或者它们不会被恶意软件感染。 这是一种误解。 你必须时刻保持警惕,没有什么是 100% 安全的。 因此,您应该实施可帮助您检测、阻止或最大程度减少网络攻击损害的系统。 在这篇文章中你会看到 什么是 IDS 和一些最好的 适用于您的 Linux 发行版。
什么是身份证?
Un IDS(入侵检测系统)或入侵检测系统, 是一个监控系统,它检测可疑活动并生成一系列警报以报告可能发生的违规行为(可以通过比较文件签名、扫描模式或恶意异常、监控行为、配置、网络流量...来检测它们)在系统中。
多亏了这些警报,您可以 调查问题的根源 并采取适当的行动来消除威胁。 虽然它并没有检测到所有的攻击,但是有逃避的方法,它也没有阻止它们,它只是报告它。 此外,如果它是基于签名的,那么最近的(0 天)威胁也可以逃脱并且未被检测到。
类型
从根本上讲 两种类型的 ID:
- HIDS(基于主机的 IDS):它部署在特定的端点或机器上,旨在检测内部和外部威胁。 例如 OSSEC、Wazuh 和 Samhain。
- NIDS(基于网络的 IDS):监控整个网络,但对连接到该网络的端点缺乏可见性。 例如 Snort、Meerkat、Bro 和 Kismet。
与防火墙、IPS 和 UTM、SIEM 的区别……
那里 可能导致混淆的各种术语,但这与 IDS 有所不同。 您还应该知道的一些与安全相关的术语是:
- 防火墙:它更像是 IPS 而不是 IDS,因为它是一个主动检测系统。 防火墙旨在阻止或允许某些通信,具体取决于已配置的规则。 它可以通过软件和硬件来实现。
- IPS:代表入侵防御系统,是对 IDS 的补充。 它是一个能够防止某些事件的系统,因此它是一个主动系统。 在 IPS 中,可以区分 4 种基本类型:
- 国家知识产权局: 基于网络,因此寻找可疑的网络流量。
- 在制品: 像 NIPS,但用于无线网络。
- NBA:它基于网络的行为,检查异常流量。
- HIPS- 在唯一主机上寻找可疑活动。
- 理工大学:代表统一威胁管理,一种提供多种集中功能的网络安全管理系统。 例如,它们包括防火墙、IDS、反恶意软件、反垃圾邮件、内容过滤,有些甚至是 VPN 等。
- 其他: 您肯定听说过其他与网络安全相关的术语:
- SIM:代表安全信息管理器,或安全信息管理。 在这种情况下,它是一个中央注册表,将所有与安全相关的数据分组以生成报告、分析、做出决策等。 即,用于长期存储所述信息的一组能力。
- SEM:安全事件管理器功能,或安全事件管理,负责检测访问中的异常模式,提供实时监控、关联事件等的能力。
- SIEM:是SIM和SEM的结合体,是SOC或安全运营中心使用的主要工具之一。
适用于 Linux 的最佳 IDS
恩CUANTO一个 您可以找到的适用于 GNU / Linux 的最佳 IDS 系统,您有以下内容:
- 兄弟 (Zek):NIDS型,具有流量日志分析、SNMP流量监控、FTP、DNS、HTTP活动等功能。
- OSSEC: HIDS 类型,开源免费。 此外,它是跨平台的,其日志还包括 FTP、Web 服务器数据和电子邮件。
- 鼻息声: 它是最著名的开源和 NIDS 类型之一。 它包括数据包嗅探器、网络数据包日志、威胁情报、签名阻止、安全签名的实时更新、检测大量事件(OS、SMB、CGI、缓冲区溢出、隐藏端口……)的能力。
- 猫鼬: 另一种NIDS,也是开源的。 它可以实时监控 SMB、HTTP 和 FTP 等应用程序的低级别活动,例如 TCP、IP、UDP、ICMP 和 TLS。 它允许与第三方工具集成,例如 Anaval、Squil、BASE、Snorby 等。
- 安全洋葱: NIDS/HIDS,另一个专门针对 Linux 发行版的 IDS 系统,具有检测入侵者、业务监控、数据包嗅探器的能力,包括发生情况的图表,并且可以使用 NetworkMiner、Snorby、Xplico、Sguil、ELSA 等工具,和基巴纳。
我会将 Wazuh 添加到列表中