A legjobb IDS Linuxhoz

Isaac

5 perc

IDS behatolásérzékelő rendszer

A biztonság minden rendszerben létfontosságú kérdés. Egyesek úgy vélik, hogy a * nix rendszerek sebezhetetlenek bármilyen támadás ellen, vagy nem fertőzhetők meg rosszindulatú programokkal. És ez tévhit. Mindig vigyáznod kell, semmi sem 100%-ban biztonságos. Ezért olyan rendszereket kell bevezetnie, amelyek segítenek észlelni, megállítani vagy minimalizálni a kibertámadások okozta károkat. Ebben a cikkben látni fogja mi az az IDS és néhány a legjobb a Linux disztribúcióhoz.

Mi az az IDS?

Un IDS (Intrusion Detection System) vagy behatolásérzékelő rendszer, egy megfigyelő rendszer, amely észleli a gyanús tevékenységeket, és riasztások sorozatát generálja, hogy jelentse az esetlegesen előforduló jogsértéseket (a fájlaláírások, vizsgálati minták vagy rosszindulatú anomáliák, megfigyelési viselkedés, konfigurációk, hálózati forgalom... összehasonlításával észlelhetők). a rendszer.

Ezeknek a figyelmeztetéseknek köszönhetően megteheti vizsgálja meg a probléma forrását és tegye meg a megfelelő intézkedéseket a fenyegetés orvoslására. Bár nem minden támadást észlel, vannak kikerülési módszerek, és nem blokkolja, csak jelent. Ezen túlmenően, ha aláírásokon alapul, a legutóbbi fenyegetések (0 nap) is megszökhetnek és észrevétlenül maradhatnak.

Típusai

Alapvetően vannak kétféle IDS:

  • HIDS (Host-Based IDS)- Egy adott végponton vagy gépen van telepítve, és belső és külső fenyegetések észlelésére tervezték. Ilyen például az OSSEC, a Wazuh és a Samhain.
  • NIDS (hálózat alapú IDS)- Egy teljes hálózat figyelése, de nem látható a hálózathoz csatlakozó végpontokon belül. Ilyen például a Snort, a Suricata, a Bro és a Kismet.

Különbségek a tűzfal, IPS és UTM, SIEM között ...

Ott különböző kifejezések, amelyek félrevezetőek lehetnek, de van különbség az IDS-hez képest. Néhány, a biztonsággal kapcsolatos kifejezés, amelyet szintén tudnia kell:

  • tűzfal: Inkább IPS-nek tűnik, mint IDS-nek, mivel egy aktív érzékelő rendszer. A tűzfal célja bizonyos kommunikáció blokkolása vagy engedélyezése, a konfigurált szabályoktól függően. Mind szoftveresen, mind hardveresen megvalósítható.
  • IPS: az Intrusion Prevention System rövidítése, és az IDS kiegészítése. Bizonyos események megelőzésére képes rendszer, ezért aktív rendszer. Az IPS-en belül 4 alapvető típust lehet megkülönböztetni:
    • NIPS- Hálózat alapú, ezért keressen gyanús hálózati forgalmat.
    • WIPS: Mint a NIPS, de vezeték nélküli hálózatokhoz.
    • NBA- a hálózat viselkedésén alapul, szokatlan forgalmat vizsgálva.
    • HIPS- Keressen gyanús tevékenységeket egyedi gazdagépeken.
  • UTM: a Unified Threat Management, a kiberbiztonság felügyeleti rendszerének rövidítése, amely több központosított funkciót biztosít. Például tűzfal, IDS, kártevőirtó, levélszemétszűrő, tartalomszűrés, néhány VPN stb.
  • Más: Vannak más, a kiberbiztonsággal kapcsolatos kifejezések is, amelyeket biztosan hallott már:
    • IGEN: a Security Information Manager vagy a biztonsági információkezelés rövidítése. Ebben az esetben egy központi nyilvántartásról van szó, amely az összes biztonsággal kapcsolatos adatot csoportosítja, hogy jelentéseket készítsen, elemezzen, döntéseket hozzon stb. Azaz az információ hosszú távú tárolására szolgáló kapacitások összessége.
    • SEM: a Security Event Manager funkció vagy a biztonsági eseménykezelés felelős a hozzáférések rendellenes mintáinak észleléséért, lehetővé teszi a valós idejű megfigyelést, az események összefüggését stb.
    • siem: ez a SIM és a SEM kombinációja, és ez az egyik fő eszköz az SOC vagy biztonsági műveleti központokban.

A legjobb IDS Linuxhoz

IDS

Tekintettel a legjobb IDS rendszerek, amelyeket GNU / Linux számára találhat, a következőkkel rendelkezik:

  • Testvér (Zeek): NIDS típusú, és rendelkezik forgalomnaplózási és -elemzési, SNMP-forgalomfigyelési, FTP-, DNS- és HTTP-tevékenységekkel stb.
  • OSSEC: HIDS típusú, nyílt forráskódú és ingyenes. Ezenkívül többplatformos, és rekordjai FTP-t, webszerver-adatokat és e-maileket is tartalmaznak.
  • Horkant: ez az egyik leghíresebb, nyílt forráskódú és NIDS típus. Tartalmazza a csomagok szippantását, a hálózati csomagok naplózását, a fenyegetés intelligenciáját, az aláírások blokkolását, a biztonsági aláírások valós idejű frissítését, számos esemény észlelésének képességét (OS, SMB, CGI, puffertúlcsordulás, rejtett portok stb.).
  • suricata: másik típusú NIDS, szintén nyílt forráskódú. Valós időben képes figyelni az alacsony szintű tevékenységeket, például a TCP-t, az IP-t, az UDP-t, az ICMP-t és a TLS-t az olyan alkalmazásoknál, mint az SMB, HTTP és FTP. Lehetővé teszi az integrációt harmadik féltől származó eszközökkel, például Anaval, Squil, BASE, Snorby stb.
  • Biztonsági hagyma: NIDS / HIDS, egy másik, kifejezetten a Linux disztribúciókra összpontosító IDS rendszer, amely képes a behatolók észlelésére, az üzleti megfigyelésre, a csomagszimuláló, tartalmazza a történések grafikáját, és olyan eszközöket használhat, mint a NetworkMiner, Snorby, Xplico, Sguil, ELSA és Kibana.

Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: AB Internet Networks 2008 SL
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.

      Villamos dijo
    ezelőtt 3 év

    Wazuh-t felvenném a listára

    Válasz az Elektro-nak