Solo i NIDS possono proteggere i server nella nostra rete, o anche l'applicazione HIDS?

Naviga le tue risposte
0

Ho problemi con alcuni server di istituto. Lo scenario è come sotto.

C'è un istituto (governo / azienda / industria) con un proprio server dedicato. Ma non ci sono altri servizi di sicurezza o firewall che sono stati implementati su questi server oltre a una sicurezza di base del server che proviene dallo sviluppatore di quei server. Io, come uno dei tanti admin data center per questo (sono attualmente come un Junior centro dati Admin, un principiante) istituto provato molte cose per fare un sistema di sicurezza per prevenire qualche attacco dannoso, attacco hacker che ha provato a rubare dati dell'Istituto o ha provato a dirottare il nostro server.

Piuttosto che cercare NIDS che sia "sicuro" del nostro traffico di rete e così via, ho trovato un'applicazione chiamata "OSSEC", un'applicazione HID Open Source. Puoi trovare ulteriori informazioni su questa app in qui . Ho usato OSSEC per raccogliere e analizzare, tuttavia per visualizzare i log, ho utilizzato ELK . Prima di installare le app sui server, ho trovato un'app chiamata WAZUH , che è integrata con OSSEC con ELK, quindi piuttosto che installare OSSEC e ELK in modi separati, ho usato Wazuh App per le app installate in un colpo solo. Ho provato ad installarlo sul mio server, installare molti agenti e fare molte configurazioni come nella documentazione di wazuh. Funziona alla grande come può impedire attacchi come bruteforce, eventuali errori di autenticazione, rilevamento rootkit , confermare alcuni file dannosi / conf e così via. Anche se a quel tempo, questa è la "più grande" app di sicurezza che abbia mai visto.

Un mese dopo, c'è una nuova macchina chiamata Cisco ASA 5516-X che è arrivata al nostro Istituto. Non ho mai sentito parlare di questa macchina prima, ma hanno detto che questa macchina è un "superiore" tra le altre macchine di sicurezza, come puoi vedere al prezzo su Amazon. Breve storia, hanno implementato questa macchina sui server. E hanno provato a disattivare o forse spegnere i servizi dell'app Wazuh. Non sono d'accordo con l'altro amministratore, ho detto, è meglio mantenere l'app wazuh in esecuzione, nei nostri server, ma hanno detto: "Non abbiamo bisogno di nessun'altra sicurezza dato che abbiamo questa macchina, protegge il traffico di rete e molti cose, quindi dovremmo spegnere e spegnere qualsiasi app di servizio come l'app wazuh o altra cosa ". Ciò che hanno detto è vero, siamo al sicuro da qualsiasi situazione di danno se già usassimo il "NID" piuttosto che HIDS usato?

    
posta gagantous 06.04.2018 - 05:49
fonte

2 risposte

3

Servono a scopi diversi. Mentre un NIDS copre i tuoi server in termini di traffico a livello di rete, potrebbe non essere sufficiente da solo. Ad esempio, qualsiasi connessione SSL crittografata non sarà trasparente per il NIDS, il che significa che qualsiasi cosa venga inviata ai tuoi server, non sarà in grado di vederla.

Inoltre, un HIDS è anche molto più prezioso di un NID in caso di risposta agli incidenti. un NIDS non riferisce sui file modificati su un server in quanto non ha accesso. OSSEC funziona ed è utile vedere cosa è stato modificato se un utente malintenzionato riesce a violare il server.

Sono gratuiti e non esclusivi. Anche affermando che qualcosa è di gran lunga "superiore" puramente basato sul prezzo è piuttosto ignorante.

    
risposta data 06.04.2018 - 05:53
fonte
1

Wazuh ha ora regole per l'integrazione Suricata, il che significa che puoi combinare il meglio di entrambi i mondi in un'unica soluzione. NID e HIDS si completano a vicenda.

È possibile eseguire un agente Wazuh sul sensore Suricata e configurarlo per raccogliere l'output Suricata. La configurazione sarebbe simile a questa:

<localfile> <log_format>json</log_format> <location>/var/log/suricata/eve.json</location> </localfile>

Ciò consentirà di utilizzare altre funzionalità HIDS come "Risposte attive" con avvisi Suricata. Altri esempi potrebbero essere l'integrazione con fonti di Intelligence sulle minacce come AlienVault OTX (supportato anche da Wazuh).

    
risposta data 23.08.2018 - 06:31
fonte

Leggi altre domande sui tag

Utilizzo di più hash per verificare un file Verifica delle e-mail degli utenti (illegali?) [chiuso]