Esiste un IDS basato su schemi di processo?

Naviga le tue risposte
3

Dopo aver letto ciò che Metasploit è in grado di fare, i miei capelli grigi hanno ancora di più.

Da quanto mi risulta, i metodi di attacco attuali vengono eseguiti senza alterare alcun file in un filesystem, rendendo quindi inutilizzabile HIDS basato su file.

Quindi la mia idea era: che dire dell'approccio blacklist? Esiste uno strumento IDS (OpenSource) che controlla solo ciò che accade nel sistema (ad esempio guarda ps output) e suona un allarme se qualcosa di strano sta succedendo lì (ad esempio un bambino httpd che forca una shell)?

    
posta Nils 18.04.2012 - 22:52
fonte

3 risposte

3

La whitelist è considerata una buona pratica. La lista nera è nota per essere sempre un "metodo dopo i fatti" che rende vulnerabile il tuo sistema. Un po 'di un amministratore di Linux può configurare SELinux o Apparmor. Ci sono un sacco di documenti e tutorial disponibili su di esso. Non sono imo estremamente complessi, devi solo essere disposto a impararlo.

Ci sono HIDS disponibili come OSSEC che ti permettono di implementare tali regole (con alcuni script aggiuntivi). Lo uso anche su tutte le mie macchine Linux, ma non sostituisce nemmeno apparmor o SELinux da remoto.

Può sembrare un po 'scortese, ma se vuoi sicurezza, non puoi essere pigro.

    
risposta data 19.04.2012 - 00:34
fonte
3

Sì, ci sono IDS che eseguono non solo il pattern matching (noto comportamento errato) ma anche l'analisi euristica (sembra un cattivo comportamento, o non sembra un buon comportamento)

Come livello, sono estremamente utili, in quanto possono trovare nuovi tipi di attacco, tuttavia richiedono molta ottimizzazione, non individuano gli attacchi che cambiano lentamente per lunghi periodi di tempo e possono fornire molti falsi positivi.

Se la sicurezza è la chiave per te, considera seriamente la whitelist - può ridurre significativamente il tuo rischio - e i due che hai menzionato non sono così complessi da mantenere.

    
risposta data 19.04.2012 - 12:59
fonte
3

Penso che il modo migliore per rispondere alla tua domanda sia di incoraggiarti a fare una domanda diversa.

Sembra che tu abbia supposto che il modo migliore per difendersi dai problemi di sicurezza sia l'utilizzo di un IDS. Capisco perché potresti aver fatto quella supposizione, dato l'eccitazione che circonda gli IDS . Ma in realtà questa supposizione non è valida: gli IDS non sono il modo migliore per proteggere il tuo sistema, e io non consiglierei di fare affidamento su un IDS come linea di difesa principale. Il modo migliore per proteggere il tuo sistema comprende diverse difese, come ad esempio rafforzare il sistema, attivare gli aggiornamenti automatici del software, attivare un firewall e utilizzare le buone pratiche.

Ecco alcune risorse per proteggere la tua macchina Linux:

Dovrebbero fornirti una serie di indicazioni in cui puoi saperne di più.

    
risposta data 19.04.2012 - 21:39
fonte

Leggi altre domande sui tag

E 'abbastanza per un NID Software distribuito di crack md5?