¿Puede NIDS solo proteger a los Servidores en nuestra red, o también necesitamos la aplicación HIDS?

0

Tengo un problema con algún servidor de instituto. El escenario es como abajo.

Hay un instituto (Gobierno / Corporativo / Industria) que tiene su propio servidor dedicado. Pero no hay otros servicios de seguridad o firewall que se hayan implementado en estos servidores, aparte de un servidor de seguridad básico que provino del desarrollador de esos servidores. Yo, como uno de los muchos centros de datos administrativos para esto (actualmente soy como un Junior centro de datos administrativos, un novato), intenté hacer muchas cosas para crear un sistema de seguridad para prevenir ataques maliciosos, ataques de hackers que intentó robar datos del Instituto o intentó secuestrar nuestro servidor.

En lugar de buscar NIDS, que es "seguro" para el tráfico de nuestra red, encontré una aplicación llamada "OSSEC", una aplicación HIDS de código abierto. Puede encontrar más información sobre estas aplicaciones en aquí . Usé OSSEC para recopilar y analizar, pero para visualizar los registros, usé ELK . Antes de instalar las aplicaciones en los servidores, encontré una aplicación llamada, WAZUH , que es OSSEC integrado con ELK, así que en lugar de instalar OSSEC y ELK de manera separada, usé Aplicación Wazuh para tener en cuenta que las aplicaciones se instalan de una sola vez. Intenté instalar eso en mi servidor, instalar muchos agentes y hacer muchas configuraciones como en la documentación de wazuh. Funciona muy bien, ya que puede prevenir ataques de fuerza bruta, fallos de autenticación, detección de rootkit , confirmar algunos archivos maliciosos / conf y demás. Pensé que en ese momento, esta es la "mejor" aplicación de seguridad que he visto.

Unos meses después, hay una nueva máquina llamada Cisco ASA 5516-X que llegó a nuestro Instituto. Nunca había oído hablar de esta máquina antes, pero dijeron que esta máquina es "superior" entre otras máquinas de seguridad, como se puede ver al precio en Amazon. Pequeña historia, implementaron esta máquina en los servidores. Y trataron de desactivar o tal vez cerrar los servicios de la aplicación Wazuh. No estoy de acuerdo con el otro administrador, dije, es mejor mantener la aplicación wazuh funcionando en nuestros propios servidores, pero dijeron: "No necesitamos ninguna otra seguridad ya que tenemos esta máquina, aseguramos el tráfico de red y muchos cosas, por lo que debemos apagar y apagar cualquier aplicación de servicios como la aplicación wazuh u otra cosa ". ¿Lo que dijeron es cierto, estamos a salvo de cualquier situación de daño si ya utilizamos el "NIDS" en lugar de HIDS?

    
pregunta gagantous 06.04.2018 - 05:49
fuente

2 respuestas

3

Sirven para diferentes propósitos. Si bien un NIDS cubre sus servidores en términos de tráfico a nivel de red, puede que no sea suficiente por sí solo. Por ejemplo, cualquier conexión cifrada SSL no será transparente para el NIDS, lo que significa que cualquier cosa que se envíe a sus servidores, no podrá verla.

Además, un HIDS también es mucho más valioso que un NIDS en caso de respuesta a un incidente. un NIDS no informa sobre los archivos modificados en un servidor, ya que no tiene acceso. OSSEC lo hace y es útil ver qué se modificó si un atacante logra violar su servidor.

Son complementarios y no exclusivos. También afirmar que algo es muy "superior" simplemente por el precio es bastante ignorante.

    
respondido por el Lucas Kauffman 06.04.2018 - 05:53
fuente
1

Wazuh tiene ahora reglas para la integración de Suricata, lo que significa que puede combinar lo mejor de ambos mundos en una sola solución. NIDS y HIDS se complementan enormemente entre sí.

Puede ejecutar un agente de Wazuh en su sensor Suricata y configurarlo para recopilar la salida de Suricata. La configuración se vería así:

<localfile> <log_format>json</log_format> <location>/var/log/suricata/eve.json</location> </localfile>

Esto le permitirá utilizar otras funciones de HIDS como "Respuestas activas" con alertas de Suricata. Otros ejemplos podrían ser la integración con fuentes de Threat Intelligence como AlienVault OTX (también compatible con Wazuh).

    
respondido por el Santiago Bassett 23.08.2018 - 06:31
fuente

Lea otras preguntas en las etiquetas