IDS per Personal Computer (Mac)

Naviga le tue risposte
1

Sto leggendo il Nmap Security Scanning e accenna che i server hanno spesso Sistemi di rilevamento delle intrusioni installati. Da quanto ho capito, questi sistemi avvisano gli amministratori del server in presenza di attività sospette.

Sono interessato all'installazione di un IDS per il mio personal computer, un Macbook. Non sono troppo preoccupato per eventuali minacce alla sicurezza. Voglio solo vedere cosa fa questo tipo di software.

Quanto è utile avere un IDS su un personal computer? Sono disponibili opzioni migliori?

    
posta wpcarro 04.10.2016 - 17:08
fonte

3 risposte

1

Quello che stai veramente cercando è la scansione del comportamento euristico.

Un IDS sta cercando comportamenti non standard dei flussi di traffico di rete o comportamenti standard di intrusioni note.

In effetti, è possibile ottenere alcuni client anti-malware intelligenti che eseguono l'euristica sul client. Cerca un software client che offra protezione zero-day.

Naturalmente, i sistemi IDS aziendali operano su una scala molto diversa e sono alla ricerca di modelli più ampi. Tuttavia, cercheranno di individuare cose come malware che telefonano a casa per comandare e controllare i sistemi e sondare gli attacchi di rete.

    
risposta data 04.10.2016 - 23:00
fonte
2

Non penso che un sistema HIDS progettato dal server (come OSSEC) sia una buona opzione per un laptop o un altro computer di uso generale. I server di oggi sono molto specializzati e irreggimentati e un HIDS dipende da questo. Sa dove i file dovrebbero e non dovrebbero essere creati o modificati, quali processi dovrebbero e non dovrebbero essere in esecuzione. Essenzialmente, c'è una lista bianca di cose permesse che accadono sul computer e qualsiasi cosa al di fuori di quella lista è un avviso.

Il termine per la protezione del personal computer è "protezione endpoint" e include cose come l'anti-virus tradizionale. Usano la lista nera, principalmente - firme conosciute, noti cattivi comportamenti. È un problema molto più difficile su un endpoint, dal momento che gli utenti vogliono eseguire programmi arbitrari e fare cose arbitrarie - come si fa a distinguere tra un programma di installazione che l'utente vuole eseguire e uno che viene eseguito accidentalmente da un allegato nella posta elettronica? Tra un compilatore e un virus auto-modificante? Un sacco di problemi lì.

Eseguire HIDS su un personal computer sarà semplicemente noioso - provalo su uno dei tanti host Linux low cost / economici là fuori.

    
risposta data 04.10.2016 - 17:30
fonte
0

Nmap non ha il suo sistema di rilevamento delle intrusioni, piuttosto ci sono diverse funzionalità truccate in Nmap per bypassare l'IDS come frammentazione, esche ecc. Per ulteriori informazioni è possibile consultare qui

    
risposta data 05.10.2016 - 07:06
fonte

Leggi altre domande sui tag

Malware sul sito web codecguide.com SFTP server: dovremmo impedire le modifiche alla chiave dell'host SSH?