LinuxParty

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

Última actualización 21-05-2020, 16:00

Un IDS puede mejorar la comprensión de su equipo de su actividad de red, explorar inteligencia de amenazas cibernéticas, descubrir infracciones de políticas y, lo más importante, ayudar para proteger sus bienes. En términos más técnicos, un IDS es una seguridad de red herramienta creada para detectar intentos de intrusión contra un sistema informático o aplicación específica. Estas amenazas se pueden detectar utilizando firmas o técnicas de detección de intrusiones basadas en anomalías, además discutido más adelante en este libro blanco. También puede usarlo para identificar sistemas no autorizados, programas y archivos maliciosos, y encuentra violaciones de política de red.

Un IDS le dirá si un empleado es usando Gchat™ , cargando en Box® o gastando todos sus tiempo viendo Netflix® en lugar de trabajar.

En el ámbito de la detección de intrusiones, existen principalmente dos métodos de gestión de seguridad para computadora redes: sistemas de detección de intrusos basados ​​en red (NIDS) y sistemas de detección de intrusos basados ​​en host (HIDS) Hablaremos más sobre esto más adelante.

Procesar aplicaciones y datos críticos, que podrían estirarse desde su red interna y local centros de datos a entornos de nube pública.

Las herramientas IDS basadas en firmas Con un IDS basado en firma, también conocido como IDS basado en conocimiento, hay reglas o patrones de tráfico malicioso conocido, que están serán buscadas, una vez que se encuentra una coincidencia con una firma, Se envía una alerta a su administrador.

Herramientas IDS basadas en anomalías Con un IDS basado en anomalías, también conocido como comportamiento IDS, la actividad que generó el tráfico es más importante que la carga útil que se entrega.

Una herramienta IDS basada en anomalías se basa más bien en líneas de base, que en las propias firmas, buscando actividades inusuales que se desvían de los promedios estadísticos de actividades anteriores

La detección basada tanto en firmas como en anomalías se implementan típicamente de la misma manera, aunque podría darse el caso que podría (y la gente tener) crear un IDS basado en anomalías en forma externa datos recopilados de netflow o información de tráfico similar.

Ventajas y desventajas

Menos falsos positivos ocurren con firmas detección pero solo se marcan las firmas conocidas, dejando un agujero de seguridad para los nuevos y aún por identificar amenazas. Se producen más falsos positivos con anomalías detección, pero si se configura correctamente, se captura previamente amenazas desconocidas Técnicas de detección de IDS

Es importante tener en cuenta que Snort no tiene una GUI real o consola administrativa fácil de usar, aunque muchas Se han creado otras herramientas de código abierto para ayudar, especialmente Snorby, y otros como BASE y Sguil. Sus características son:

Snort y Suricata

¿Cuál es la única razón para no ejecutar Snort? Si eres usando Suricata® en su lugar.

Aunque la arquitectura de Suricata es diferente a la de Snort, se comporta de la misma manera que Snort y puede usar el mismas firmas

Lo bueno de Suricata es de qué más es capaz sobre Snort. Existen herramientas de código abierto de terceros. disponible para un front-end web para consultar y analizar alertas viniendo de Suricata IDS

Resumen de Suricata:
 • Gran apoyo de la comunidad.
 • Según el sitio web de Suricata, 
las características incluyen: »Alto rendimiento: multihilo, escalable base de código »Motor multipropósito: NIDS, NIPS, NSM, análisis fuera de línea, etc. »Soporte multiplataforma: Linux, Windows, macOS, OpenBSD, etc. »Soporte moderno de TCP / IP que incluye una escalable motor de flujo, IPv4 / IPv6 completo, flujos TCP y Desfragmentación de paquetes IP »Analizadores de protocolo: decodificación de paquetes, decodificación de capa de aplicación »Motor HTTP: analizador HTTP, registrador de solicitudes, concordancia de palabras clave, etc. »Servicios de autodetección para configuración sin puerto »Scripts Lua (LuaJIT) »Registro y análisis de la capa de aplicación, incluidos certificados TLS / SSL, solicitudes HTTP, Solicitudes de DNS y más »Aceleración de hardware incorporada (GPU para rastreo de red) »Extracción de archivos
Resumen de Snort:
• Gran apoyo de la comunidad.
• Según el sitio web de Snort,
las características incluyen:
" Diseño modular
»Multihilo para el procesamiento de paquetes
»Configuración compartida y tabla de atributos
»Utilice una configuración simple y programable
»Marco de complementos, crea componentes clave
  conectable (y más de 200 complementos)
»Servicios de autodetección para
  configuración sin puerto
»Autogenerar documentación de referencia
»Perfil de memoria escalable
»Analizador de reglas y sintaxis
 (admite buffers adhesivos en las reglas)

Diseño modular

»Multihilo para el procesamiento de paquetes

»Configuración compartida y tabla de atributos

»Utilice una configuración simple y programable

»Marco de complementos, crea componentes clave conectable (y más de 200 complementos)

»Servicios de autodetección para configuración sin puerto

»Autogenerar documentación de referencia

»Perfil de memoria escalable

»Analizador de reglas y sintaxis (admite buffers adhesivos en las reglas)

»Soporte moderno de TCP / IP que incluye una escalable motor de flujo, IPv4 / IPv6 completo, flujos TCP y Desfragmentación de paquetes IP

»Analizadores de protocolo: decodificación de paquetes, decodificación de capa de aplicación »Motor HTTP: analizador HTTP, registrador de solicitudes, concordancia de palabras clave, etc.

»Servicios de autodetección para configuración sin puerto

»Scripts Lua (LuaJIT)

»Registro y análisis de la capa de aplicación, incluidos certificados TLS / SSL, solicitudes HTTP, Solicitudes de DNS y más

»Aceleración de hardware incorporada (GPU para rastreo de red) »Extracción de archivos

Entonces, te das cuenta que ésta es la herramienta que has estado buscando.

Bro

Puede descargar archivos vistos y enviarlos para análisis de malware, notificarle si un se encuentra el problema, luego haga una lista negra de la fuente y cierre la computadora del usuario que lo descargó? Según el sitio web de Bro, las características incluyen:

»Registro y análisis de tráfico integral »Scripting potente y flexible basado en eventos idioma (Scripts de Bro)

»Implementa en sistemas basados en UNIX ® , incluidos Linux, FreeBSD ® y MacOS

»DNS / FTP / HTTP / IRC / SMTP / SSH / SSL / otro soporte de protocolo »Análisis de tráfico totalmente pasivo con red toque o puerto de monitoreo

»Análisis casi en tiempo real y fuera de línea »Soporte de clúster para implementaciones a gran escala

»Soporte completo de IPv6

»Coincidencia de patrones estilo IDS

»Extracción de archivos

»Arquitectura extensible »Los analistas pueden usar Bro para la automatización (archivo extracción, análisis de malware, listas negras, seguir patrones de uso, trabajos de investigación, etc.

HIDS

Los Sistemas de detección de intrusos basados ​​en host (HIDS) trabajan monitoreando la actividad que ocurre internamente en un host de punto final. Las Aplicaciones HIDS (por ejemplo, software antivirus, software de detección de spyware, firewalls) son típicamente instalado en todas las computadoras conectadas a Internet dentro de un red o en un subconjunto de sistemas importantes, como servidores Esto incluye aquellos en entornos de nube pública.

Los HIDS buscan actividades inusuales o nefastas por examinan registros creados por el sistema operativo, buscando para los cambios realizados en los archivos clave del sistema, el seguimiento instalado software, y algunas veces examinando la red conexiones que hace un anfitrión. Los primeros sistemas HIDS eran básicos, generalmente solo creaban MD5 hashes de archivos de forma recurrente y buscando discrepancias, utilizando un proceso denominado integridad de archivo monitoreo (FIM). Si su organización tiene un mandato de cumplimiento, como para PCI DSS, HIPAA o ISO 27001, entonces puede requerir HIDS para demostrar el monitoreo de integridad de archivos (FIM) como así como el monitoreo activo de amenazas.

IDS basados ​​en host (HIDS) Dado que los HIDS locales pueden verse comprometidos al mismo tiempo vez que el sistema operativo es, es muy importante la seguridad y la información forense abandona el host y se almacena en cualquier otro lugar lo antes posible para evitar cualquier tipo de manipulación o ofuscación que impediría la detección.

OSSEC

OSSEC se ejecuta en casi cualquier sistema operativo principal y incluye gestión y registro basados ​​en cliente / servidor arquitectura, que es muy importante en un sistema HIDS.

La arquitectura cliente / servidor de OSSEC incorpora esto estrategia mediante la entrega de alertas y registros a una centralizada servidor donde el análisis y la notificación pueden ocurrir incluso si el sistema host se desconecta o se ve comprometido.

Dado que las implementaciones pueden variar de uno a miles de instalaciones, la capacidad de realizar cambios globales desde un servidor central es crítico para la cordura de un administrador.

Cuando se habla de OSSEC (y otros HIDS) a menudo hay ansiedad por instalar un agente o software en estado crítico servidores Cabe señalar que la instalación de OSSEC es extremadamente ligero (el instalador tiene menos de 1 MB) y OSSEC también tiene la capacidad de enviar registros del sistema operativo al servidor para análisis y almacenamiento, lo cual es particularmente útil en máquinas con Windows que no tienen nativas y cruzadas mecanismos de registro de plataforma. Según el sitio web de OSSEC, las características incluyen: »Monitoreo de integridad de archivos (FIM) »El monitoreo de registros recopila, analiza y correlaciona los registros del sistema »Detección de rootkits, que busca modificaciones del sistema similares a rootkits »La respuesta activa puede invocar automatizado acción de respuesta cuando se activan alertas »Arquitectura cliente / servidor »Soporte multiplataforma (Linux, Windows, MacOS, etc.) »Admite requisitos de cumplimiento para FIM »Alertas casi en tiempo real y configurables »Integración con la infraestructura actual »Servidor centralizado para masa gestión de políticas »Monitoreo de agente y sin agente

procesos ocultos »Soporte multiplataforma »Registro centralizado y mantenimiento »Arquitectura cliente / servidor (principalmente) »Variedad de métodos de salida (por ejemplo, syslog, correo electrónico RDBMS) »Se puede usar como una aplicación independiente en un solo host

OSQuery construye tablas SQL representando conceptos abstractos como correr procesos, módulos de kernel cargados, red abierta conexiones, complementos del navegador, eventos de hardware o archivos hash. Los administradores pueden consultar la base de datos para averiguar, por ejemplo, qué sistemas tienen un malware particular proceso que se ejecuta en ellos o si los archivos han sido modificados de manera específica por un actor de amenaza.

Según el sitio web de OSQuery, las características incluir: »Compatible con Windows, Linux, MacOS, FreeBSD »Expone la configuración completa del punto final como una base de datos relacional para consultas por aplicaciones externas »Monitoreo de integridad de archivos (FIM) »Detección de malware / firma a través de YARA »Auditoría de procesos »API para gestión remota (a través de sus guiones o guiones de terceros) »Recogida de registros a través de Syslog

FIM es una herramienta que valida el sistema operativo y integridad del archivo de la aplicación especificada mediante la comparación actual versiones con versiones válidas conocidas, alertando a su administrador cada vez que se modifican.

Para independiente Sistemas basados ​​en Unix, considere revisar la búsqueda de rootkits verificadores de integridad de archivos, como chkrootkit, rkhunter o Mostrar El mecanismo único de búsqueda de rootkits hace Vale la pena considerar estas soluciones.

Estamos viendo detección y respuesta de punto final (que es parcialmente abordado por OSQuery), basado en aprendizaje automático análisis de comportamiento del usuario, e incluso honeypots y engaños que se mueven de tecnologías experimentales utilizadas por grandes empresas de vanguardia para implementaciones más convencionales.

A medida que estos se vuelven más comunes y nuevos los desarrollados, necesitará aumentar aún más su estrategia de código abierto con nuevas herramientas, o esperar que el comunidad agrega soporte para ellos en un producto que ya ha implementado.

Incluye host incorporado detección de intrusiones (HIDS), detección de intrusiones en la red (NIDS), así como la detección de intrusos en la nube para público entornos en la nube, incluidos AWS y Microsoft Azure, permitiéndole detectar amenazas a medida que emergen en su Nube crítica e infraestructura local.

Para asegurarse de que siempre esté equipado para detectar las últimas amenazas emergentes, la seguridad de AT&T Alien Labs equipo de investigación entrega inteligencia continua sobre amenazas se actualiza directamente a la plataforma USM.

Algunos artículos que le ayudarán en ésta tarea:

El Sistema de Detección de Intrusos: Snort. ( Windows y Linux )

¿Cómo instalar Suricata sistema de detección de intrusos en Linux?

Le recomendamos que busque palabras como: "hids", "Intrus", "Snort" o "Suricata" en la caja de búsqueda para obtener más resultados.

Pin It

Escribir un comentario


Código de seguridad
Refescar



Redes:



 

Suscribete / Newsletter

Suscribete a nuestras Newsletter y periódicamente recibirás un resumen de las noticias publicadas.

Donar a LinuxParty

Probablemente te niegues, pero.. ¿Podrías ayudarnos con una donación?


Tutorial de Linux

Nos obligan a moslestarte con la obviedad de que este sitio utiliza Cookies. Ver política