Nejlepší IDS pro Linux

Isaac

5 minut

Systém detekce narušení IDS

Bezpečnost je zásadní otázkou v každém systému. Někteří věří, že * systémy nix jsou nezranitelné vůči jakémukoli útoku nebo že nemohou být infikovány malwarem. A to je mylná představa. Vždy se musíte hlídat, nic není 100% bezpečné. Proto byste měli implementovat systémy, které vám pomohou odhalit, zastavit nebo minimalizovat poškození kybernetického útoku. V tomto článku uvidíte co je IDS a některé z nejlepších pro vaši linuxovou distribuci.

Co je IDS?

Un IDS (Intrusion Detection System), neboli systém detekce narušení, je monitorovací systém, který zjišťuje podezřelé aktivity a generuje řadu upozornění pro nahlášení porušení (lze je odhalit porovnáním signatur souborů, vzorců skenování nebo škodlivých anomálií, sledováním chování, konfigurací, síťovým provozem...), ke kterým mohlo dojít v systém.

Díky těmto upozorněním můžete prozkoumat zdroj problému a přijmout vhodná opatření k nápravě hrozby. I když nedetekuje všechny útoky, existují způsoby úniku a neblokuje je, pouze je hlásí. Kromě toho, pokud je založeno na signaturách, nejnovější hrozby (0 dnů) mohou také uniknout a zůstat neodhaleny.

Typ

V zásadě existují dva typy IDS:

  • HIDS (Host-Based IDS)- Je nasazen na konkrétním koncovém bodu nebo počítači a je navržen tak, aby detekoval interní a externí hrozby. Příklady jsou OSSEC, Wazuh a Samhain.
  • NIDS (síťové IDS)- Chcete-li monitorovat celou síť, ale postrádat viditelnost v rámci koncových bodů připojených k této síti. Příklady jsou Snort, Suricata, Bro a Kismet.

Rozdíly s firewallem, IPS a UTM, SIEM ...

Tam různé termíny, které mohou být zavádějící, ale to se liší od IDS. Některé z pojmů souvisejících se zabezpečením, které byste také měli znát, jsou:

  • Firewall: Vypadá to spíše jako IPS než IDS, protože je to aktivní detekční systém. Brána firewall je navržena tak, aby blokovala nebo povolovala určitou komunikaci v závislosti na konfigurovaných pravidlech. Může být implementován jak softwarově, tak i hardwarově.
  • IPS: je zkratka pro Intrusion Prevention System a je doplňkem IDS. Je to systém schopný zabránit určitým událostem, jde tedy o aktivní systém. V rámci IPS lze rozlišit 4 základní typy:
    • NIPS- Založeno na síti, a proto hledejte podezřelý síťový provoz.
    • WIPS: Jako NIPS, ale pro bezdrátové sítě.
    • NBA- je založen na chování sítě, zkoumá neobvyklý provoz.
    • HIPS- Hledejte podezřelou aktivitu na jedinečných hostitelích.
  • UTM: je zkratka pro Unified Threat Management, systém řízení kybernetické bezpečnosti, který poskytuje více centralizovaných funkcí. Patří mezi ně například firewall, IDS, antimalware, antispam, filtrování obsahu, některé dokonce VPN atd.
  • Ostatní: Existují také další termíny související s kybernetickou bezpečností, které jste jistě slyšeli:
    • ANO: je zkratka pro Security Information Manager nebo správu bezpečnostních informací. V tomto případě se jedná o centrální registr, který seskupuje všechna data související se zabezpečením za účelem generování zpráv, analýzy, rozhodování atd. Tedy soubor kapacit pro dlouhodobé uložení těchto informací.
    • SEM: Funkce Security Event Manager neboli správa bezpečnostních událostí je zodpovědná za detekci abnormálních vzorců v přístupech, poskytuje možnost sledování v reálném čase, korelaci událostí atd.
    • siem: je to kombinace SIM a SEM a je to jeden z hlavních nástrojů používaných v SOC nebo bezpečnostních operačních centrech.

Nejlepší IDS pro Linux

IDS

Týkající se nejlepší IDS systémy, které můžete najít pro GNU / Linux, máte následující:

  • brácho (zeek): Je typu NIDS a má funkce protokolování a analýzy provozu, monitorování provozu SNMP a aktivity FTP, DNS a HTTP atd.
  • OSSEC: je typu HIDS, open source a zdarma. Navíc je multiplatformní a jeho záznamy zahrnují také FTP, data webového serveru a e-mail.
  • Šňupat: je to jeden z nejznámějších, open source a typu NIDS. Zahrnuje sniffer pro pakety, protokol pro síťové pakety, inteligenci hrozeb, blokování signatur, aktualizace bezpečnostních signatur v reálném čase, schopnost detekovat velmi četné události (OS, SMB, CGI, přetečení vyrovnávací paměti, skryté porty, ...).
  • Suricata: jiný typ NIDS, také open source. Může monitorovat nízkoúrovňovou aktivitu, jako je TCP, IP, UDP, ICMP a TLS, v reálném čase pro aplikace jako SMB, HTTP a FTP. Umožňuje integraci s nástroji třetích stran, jako je Anaval, Squil, BASE, Snorby atd.
  • Bezpečnostní cibule: NIDS / HIDS, další systém IDS speciálně zaměřený na linuxové distribuce, se schopností detekovat vetřelce, obchodní monitorování, paketový sniffer, obsahuje grafiku toho, co se děje, a můžete použít nástroje jako NetworkMiner, Snorby, Xplico, Sguil, ELSA a Kibana.

Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Za data odpovídá: AB Internet Networks 2008 SL
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.

     Electro řekl
    4 let před

    Do seznamu bych přidal Wazuh

    Odpověď společnosti Elektro