Tengo un problema con algún servidor de instituto. El escenario es como abajo.
Hay un instituto (Gobierno / Corporativo / Industria) que tiene su propio servidor dedicado. Pero no hay otros servicios de seguridad o firewall que se hayan implementado en estos servidores, aparte de un servidor de seguridad básico que provino del desarrollador de esos servidores. Yo, como uno de los muchos centros de datos administrativos para esto (actualmente soy como un Junior centro de datos administrativos, un novato), intenté hacer muchas cosas para crear un sistema de seguridad para prevenir ataques maliciosos, ataques de hackers que intentó robar datos del Instituto o intentó secuestrar nuestro servidor.
En lugar de buscar NIDS, que es "seguro" para el tráfico de nuestra red, encontré una aplicación llamada "OSSEC", una aplicación HIDS de código abierto. Puede encontrar más información sobre estas aplicaciones en aquí . Usé OSSEC para recopilar y analizar, pero para visualizar los registros, usé ELK . Antes de instalar las aplicaciones en los servidores, encontré una aplicación llamada, WAZUH , que es OSSEC integrado con ELK, así que en lugar de instalar OSSEC y ELK de manera separada, usé Aplicación Wazuh para tener en cuenta que las aplicaciones se instalan de una sola vez. Intenté instalar eso en mi servidor, instalar muchos agentes y hacer muchas configuraciones como en la documentación de wazuh. Funciona muy bien, ya que puede prevenir ataques de fuerza bruta, fallos de autenticación, detección de rootkit , confirmar algunos archivos maliciosos / conf y demás. Pensé que en ese momento, esta es la "mejor" aplicación de seguridad que he visto.
Unos meses después, hay una nueva máquina llamada Cisco ASA 5516-X que llegó a nuestro Instituto. Nunca había oído hablar de esta máquina antes, pero dijeron que esta máquina es "superior" entre otras máquinas de seguridad, como se puede ver al precio en Amazon. Pequeña historia, implementaron esta máquina en los servidores. Y trataron de desactivar o tal vez cerrar los servicios de la aplicación Wazuh. No estoy de acuerdo con el otro administrador, dije, es mejor mantener la aplicación wazuh funcionando en nuestros propios servidores, pero dijeron: "No necesitamos ninguna otra seguridad ya que tenemos esta máquina, aseguramos el tráfico de red y muchos cosas, por lo que debemos apagar y apagar cualquier aplicación de servicios como la aplicación wazuh u otra cosa ". ¿Lo que dijeron es cierto, estamos a salvo de cualquier situación de daño si ya utilizamos el "NIDS" en lugar de HIDS?