الأمن موضوع ساخن وقد كان كذلكفترة. منذ عدة سنوات ، كانت الفيروسات هي الشواغل الوحيدة لمسؤولي النظام. كانت الفيروسات شائعة جدًا إلى درجة أنها قادت الطريق أمام مجموعة مذهلة من أدوات الوقاية من الفيروسات. في هذه الأيام ، بالكاد يفكر أي شخص في تشغيل جهاز كمبيوتر غير محمي. ومع ذلك ، فإن اقتحام الكمبيوتر ، أو الوصول غير المصرح به إلى بياناتك من قبل المستخدمين الضارين ، هو "تهديد du jour". لقد أصبحت الشبكات هدفًا للعديد من المتسللين الذين لا يسعون إلى النية والتي ستبذل جهودًا كبيرة للوصول إلى بياناتك. أفضل دفاع ضد هذه الأنواع من التهديدات هو نظام كشف الاختراق أو الوقاية منه. نراجع اليوم عشرة من أفضل أدوات الكشف عن الاختراق المجانية.
قبل أن نبدأ ، سنناقش أولاًطرق كشف التسلل المختلفة المستخدمة. تمامًا مثل وجود العديد من الطرق التي يمكن للمتطفلين من خلالها الدخول إلى شبكتك ، فهناك العديد من الطرق - وربما أكثر - لاكتشافها. بعد ذلك ، سنناقش الفئتين الرئيسيتين لنظام الكشف عن الاقتحام: كشف اقتحام الشبكة واكتشاف اقتحام المضيف. قبل المتابعة ، سنشرح الاختلافات بين اكتشاف التسلل ومنع الاختراق. وأخيرًا ، سنعطيك مراجعة موجزة لعشرة من أفضل أدوات الكشف عن الاختراق المجانية التي يمكن أن نجدها.
طرق كشف التسلل
هناك أساسا طريقتين مختلفتين تستخدم لكشف محاولات التسلل. يمكن أن تكون قائمة على التوقيع أو قائمة على أساس غير طبيعي. دعونا نرى كيف تختلف. يعمل كشف التسلل المستند إلى التوقيع من خلال تحليل البيانات الخاصة بأنماط محددة ترتبط بمحاولات التسلل. إنه يشبه إلى حد ما أنظمة مكافحة الفيروسات التقليدية التي تعتمد على تعريفات الفيروسات. ستقوم هذه الأنظمة بمقارنة البيانات مع أنماط توقيع الاختراق لتحديد المحاولات. العيب الرئيسي هو أنها لا تعمل حتى يتم تحميل التوقيع المناسب على البرنامج الذي يحدث عادة بعد أن تم مهاجمة عدد معين من الأجهزة.
كشف الاختراق القائم على الشذوذ يوفرحماية أفضل ضد هجمات اليوم صفر ، تلك التي تحدث قبل أي برنامج للكشف عن الاختراق قد أتيحت لها فرصة للحصول على ملف التوقيع المناسب. بدلاً من محاولة التعرف على أنماط الاختراق المعروفة ، ستبحث هذه عن الشذوذ. على سبيل المثال ، اكتشفوا أن شخصًا ما حاول الوصول إلى نظام بكلمة مرور خاطئة عدة مرات ، وهي علامة شائعة على هجوم القوة الوحشية. كما قد تكون خمنت ، فإن كل طريقة كشف لها مزاياها. هذا هو السبب في أن أفضل الأدوات غالبًا ما تستخدم مزيجًا من الاثنين للحصول على أفضل حماية.
نوعان من أنظمة كشف التسلل
تماما مثل هناك طرق الكشف المختلفةهناك أيضًا نوعان رئيسيان من أنظمة كشف التسلل. وهي تختلف في الغالب في الموقع الذي يتم فيه إجراء كشف التسلل ، إما على مستوى المضيف أو على مستوى الشبكة. هنا مرة أخرى ، لكل منها مزاياه وأفضل حل - أو الأكثر أمانًا - هو استخدام كليهما.
نظم كشف التسلل المضيف (HIDS)
النوع الأول من نظام كشف التسلليعمل على مستوى المضيف. يمكن ، على سبيل المثال ، التحقق من ملفات السجل المختلفة بحثًا عن أي علامة على وجود نشاط مشبوه. يمكن أن تعمل أيضًا عن طريق التحقق من ملفات التكوين المهمة للتغييرات غير المصرح بها. هذا هو ما ستفعله HIDS المستندة إلى الحالات الشاذة. من ناحية أخرى ، ستبحث الأنظمة المستندة إلى التوقيع في ملفات السجل والتكوين نفسها ولكنها ستبحث عن أنماط اقتحام معروفة محددة. على سبيل المثال ، قد يكون من المعروف أن طريقة اقتحام معينة تعمل عن طريق إضافة سلسلة معينة إلى ملف تكوين محدد سيكتشفه IDS المستند إلى التوقيع.
كما يمكن أن تتخيل ، يتم تثبيت HIDSمباشرة على الجهاز الذي يهدف إلى حمايته ، لذا ستحتاج إلى تثبيته على جميع أجهزة الكمبيوتر. ومع ذلك ، تحتوي معظم الأنظمة على وحدة تحكم مركزية حيث يمكنك التحكم في كل مثيل للتطبيق.
أنظمة كشف التسلل عبر الشبكة (NIDS)
أنظمة كشف التسلل عبر الشبكة أو NIDSالعمل على حدود شبكتك لفرض الاكتشاف. أنها تستخدم أساليب مماثلة مثل أنظمة كشف التسلل المضيف. بالطبع ، بدلاً من البحث هي ملفات السجل والتكوين ، فإنها تبدو حركة مرور الشبكة مثل طلبات الاتصال. من المعروف أن بعض أساليب الاختراق تستغل الثغرات الأمنية عن طريق إرسال حزم مشوهة عن قصد إلى المضيفين ، مما يجعلهم يتفاعلون بطريقة معينة. يمكن أن تكشف أنظمة كشف التسلل عبر الشبكة بسهولة.
قد يجادل البعض بأن NIDS أفضل من HIDSلأنها تكتشف الهجمات حتى قبل أن تصل إلى أجهزة الكمبيوتر الخاصة بك. كما أنها أفضل لأنهم لا يحتاجون إلى تثبيت أي شيء على كل جهاز كمبيوتر لحمايتهم بشكل فعال. من ناحية أخرى ، فهي توفر القليل من الحماية ضد الهجمات الداخلية والتي للأسف ليست شائعة على الإطلاق. هذه حالة أخرى تأتي فيها أفضل حماية من استخدام مزيج من كلا النوعين من الأدوات.
كشف التسلل مقابل الوقاية
هناك نوعان مختلفان من الأدوات فيعالم حماية الاختراق: أنظمة كشف التسلل وأنظمة منع الاختراق. على الرغم من أنها تخدم غرضًا مختلفًا ، فغالبًا ما يوجد بعض التداخل بين نوعي الأدوات. كما يوحي اسمها ، سيكشف اكتشاف التسلل محاولات التسلل والأنشطة المشبوهة بشكل عام. عندما يحدث ذلك ، فإنه عادة ما يؤدي إلى نوع من التنبيه أو الإخطار. بعد ذلك ، يتعين على المسؤول اتخاذ الخطوات اللازمة لإيقاف هذه المحاولة أو حظرها.
أنظمة منع التسلل ، من ناحية أخرى ،العمل على وقف التدخلات من الحدوث تماما. ستتضمن معظم أنظمة منع الاختراق مكونًا للكشف يؤدي إلى بعض الإجراءات كلما تم اكتشاف محاولات التسلل. لكن منع الاختراق يمكن أن يكون سلبيا. يمكن استخدام المصطلح للإشارة إلى أي خطوات يتم وضعها لمنع التدخلات. يمكننا التفكير في تدابير مثل تصلب كلمة المرور ، على سبيل المثال.
أفضل أدوات كشف التسلل الحر
أنظمة كشف التسلل يمكن أن تكون مكلفة ،غالي جدا. لحسن الحظ ، هناك عدد غير قليل من البدائل المجانية المتاحة هناك. لقد بحثنا في الإنترنت عن بعض من أفضل أدوات كشف التسلل. لقد وجدنا عددًا غير قليل ونحن على وشك مراجعة أفضل عشرة أفضل ما يمكن العثور عليه.
1. OSSEC
OSSEC ، والتي تقف على الأمن مفتوح المصدر ، هوإلى حد بعيد نظام الكشف عن دخول المصدر المفتوح الرائد. OSSEC مملوكة لشركة Trend Micro ، أحد الأسماء الرائدة في أمن تكنولوجيا المعلومات. يركز البرنامج ، عند تثبيته على أنظمة التشغيل المشابهة لـ Unix ، بشكل أساسي على ملفات السجل والتكوين. يقوم بإنشاء اختباري للملفات المهمة والتحقق من صحتها بشكل دوري ، وتنبيهك في حالة حدوث شيء غريب. كما سيقوم أيضًا بمراقبة أي محاولات غريبة في الوصول إلى الجذر والقبض عليها. في نظام Windows ، يراقب النظام أيضًا تعديلات التسجيل غير المصرح بها.
OSSEC ، كونه نظام كشف التسلل المضيفتحتاج إلى تثبيت على كل كمبيوتر تريد حمايته. ومع ذلك ، فإنه سيتم دمج المعلومات من كل كمبيوتر محمي في وحدة تحكم واحدة لتسهيل الإدارة. يتم تشغيل البرنامج فقط على أنظمة Unix-like ولكن يتوفر وكيل لحماية مضيفات Windows. عندما يكتشف النظام شيئًا ما ، يتم عرض تنبيه على وحدة التحكم ويتم إرسال الإشعارات عبر البريد الإلكتروني.
2. الشخير
تماما مثل OSSEC كان أعلى HIDS مفتوحة المصدر ،Snort هي الرائدة مفتوحة المصدر NIDS. الشخير هو في الواقع أكثر من مجرد أداة كشف التسلل. إنه أيضًا حزمة شم ومسجل حزمة. ولكن ما يهمنا في الوقت الحالي هو ميزات اكتشاف التسلل في Snort. يشبه إلى حد ما جدار الحماية ، يتم تكوين Snort باستخدام القواعد. يمكن تنزيل القواعد الأساسية من موقع Snort وتخصيصها حسب احتياجاتك الخاصة. يمكنك أيضًا الاشتراك في قواعد Snort لضمان حصولك دائمًا على أحدث القواعد عند تطورها عند تحديد تهديدات جديدة.
يمكن للقواعد Snort الأساسية اكتشاف مجموعة واسعةالأحداث مثل عمليات فحص منفذ التسلل وهجمات تجاوز سعة المخزن المؤقت وهجمات CGI وتحقيقات SMB وبصمات نظام التشغيل. ما يكتشف تثبيت Snort يعتمد فقط على القواعد التي قمت بتثبيتها. بعض القواعد الأساسية المقدمة تستند إلى التوقيع بينما البعض الآخر قائم على أساس غير طبيعي. باستخدام Snort يمكن أن يوفر لك أفضل ما في العالمين
3. سوريكاتا
Suricata تعلن نفسها باعتبارها اقتحامنظام الكشف والوقاية وككامل نظام مراقبة أمن الشبكة. واحدة من أفضل مزايا هذه الأداة على Snort هي أنها تعمل حتى طبقة التطبيق. يتيح ذلك للأداة اكتشاف التهديدات التي قد تمر مرور الكرام في أدوات أخرى من خلال الانقسام على عدة حزم.
لكن Suricata لا يعمل فقط في التطبيقطبقة. ستقوم أيضًا بمراقبة بروتوكول المستوى الأدنى مثل TLS و ICMP و TCP و UDP. تتفهم الأداة أيضًا بروتوكولات مثل HTTP أو FTP أو SMB ويمكنها اكتشاف محاولات التسلل المخفية في الطلبات العادية. هناك أيضًا إمكانية استخراج الملفات للسماح للمسؤولين بفحص الملفات المشبوهة بأنفسهم.
الهندسة المعمارية الحكيمة ، Suricata مصنوع بشكل جيد للغاية وسيقوم بتوزيع عبء العمل الخاص به على العديد من مراكز المعالجة والخيوط للحصول على أفضل أداء. يمكن أن تفريغ بعض معالجتها إلى بطاقة الرسومات. هذه هي ميزة رائعة على الخوادم باعتبارها بطاقة الرسومات الخاصة بهم أنها في وضع الخمول في الغالب.
4. إخوانه شبكة مراقبة الأمن
التالي على قائمتنا هو منتج يسمى إخوانهمراقبة أمان الشبكة ، نظام كشف اقتحام شبكة مجاني آخر. يعمل Bro على مرحلتين: تسجيل المرور وتحليله. مثل Suricata ، تعمل Bro في طبقة التطبيق ، مما يسمح باكتشاف محاولات التسلل بشكل أفضل. يبدو أن كل شيء يأتي في أزواج مع Bro وتتكون وحدة التحليل الخاصة به من عنصرين. الأول هو محرك الأحداث الذي يتتبع أحداث التشغيل مثل اتصالات TCP أو طلبات HTTP. يتم بعد ذلك تحليل الأحداث من خلال البرامج النصية للسياسة التي تقرر ما إذا كانت ستطلق تنبيهًا أم لا وتطلق إجراءً ما ، مما يجعل Bro منعًا للتسلل بالإضافة إلى نظام الكشف.
سوف يتيح لك Bro تتبع HTTP و DNS و FTPالنشاط وكذلك مراقبة حركة المرور SNMP. هذا شيء جيد لأنه على الرغم من استخدام SNMP غالبًا لمراقبة الشبكة ، إلا أنه ليس بروتوكولًا آمنًا. يتيح لك Bro أيضًا مشاهدة تغييرات تكوين الجهاز و SNMP Traps. يمكن تثبيت Bro على أنظمة Unix و Linux و OS X ، لكنها غير متوفرة لنظام Windows ، وربما العيب الرئيسي.
5. افتح WIPS NG
فتح WIPS NG جعلها في قائمتنا ويرجع ذلك أساساإنه الوحيد الذي يستهدف الشبكات اللاسلكية على وجه التحديد. Open WIPS NG - حيث يرمز WIPS لنظام منع التسلل اللاسلكي - هو أداة مفتوحة المصدر تضم ثلاثة مكونات رئيسية. أولاً ، يوجد المستشعر وهو جهاز غبي لا يلتقط سوى حركة المرور اللاسلكية ويرسلها إلى الخادم لتحليلها. التالي هو الخادم. هذا واحد يجمع البيانات من جميع أجهزة الاستشعار ، ويحلل البيانات التي تم جمعها والرد على الهجمات. هذا هو قلب النظام. أخيرًا وليس آخرًا هو مكون الواجهة وهو واجهة المستخدم الرسومية التي تستخدمها لإدارة الخادم وعرض معلومات حول التهديدات على الشبكة اللاسلكية.
ليس الجميع يحب Open WIPS NG ، رغم ذلك. إذا كان المنتج من نفس المطور مثل Aircrack NG ، فهو عبارة عن حزمة شم لاسلكي ورابط لكلمة المرور يمثل جزءًا من مجموعة أدوات اختراق كل شبكة WiFi. من ناحية أخرى ، بالنظر إلى خلفيته ، يمكننا أن نفترض أن المطور يعرف تمامًا حول أمان Wi-Fi.
6. السمحين
Samhain هو نظام مجاني لاكتشاف اقتحام المضيفالذي يوفر فحص سلامة الملف ومراقبة ملف السجل / التحليل. بالإضافة إلى ذلك ، يقوم المنتج أيضًا بالكشف عن الجذور الخفية ومراقبة المنفذ والكشف عن الملفات التنفيذية SUID المارقة والعمليات الخفية. تم تصميم هذه الأداة لرصد أنظمة متعددة مع أنظمة تشغيل مختلفة مع التسجيل والصيانة المركزية. ومع ذلك ، يمكن أيضًا استخدام Samhain كتطبيق مستقل على جهاز كمبيوتر واحد. يمكن تشغيل Samhain على أنظمة POSIX مثل Unix Linux أو OS X. كما يمكن تشغيله على Windows تحت Cygwin على الرغم من أنه تم اختبار وكيل المراقبة فقط وليس الخادم في هذا التكوين.
واحدة من السمات الأكثر تميزا Samhain هو بهوضع التسلل الذي يسمح لها بالجري دون أن يتم اكتشافها بواسطة المهاجمين في نهاية المطاف. في كثير من الأحيان يقتل المتطفلون عمليات الكشف التي يتعرفون عليها ، مما يسمح لهم بالمرور دون أن يلاحظها أحد. يستخدم Samhain إخفاء المعلومات لإخفاء عملياته عن الآخرين. كما أنه يحمي ملفات السجل المركزي والنسخ الاحتياطية التكوين مع مفتاح PGP لمنع العبث.
7. Fail2Ban
Fail2Ban هو اقتحام مضيف مجاني مثير للاهتمامنظام الكشف الذي يحتوي أيضًا على بعض ميزات الوقاية. تعمل هذه الأداة من خلال مراقبة ملفات السجل للأحداث المشبوهة ، مثل محاولات تسجيل الدخول الفاشلة ، واستغلال عمليات البحث ، إلخ. هذا هو الإجراء الافتراضي للأداة ولكن يمكن تكوين أي إجراء تعسفي آخر - مثل إرسال إشعارات البريد الإلكتروني -.
يأتي النظام بعدة مرشحات مسبقة الصنعبالنسبة لبعض الخدمات الأكثر شيوعًا مثل Apache و Courrier و SSH و FTP و Postfix وغيرها الكثير. يتم المنع عن طريق تعديل جداول جدار الحماية للمضيف. يمكن أن تعمل الأداة مع Netfilter أو IPtables أو جدول hosts.deny الخاص بـ TCP Wrapper. يمكن أن يرتبط كل مرشح بواحد أو أكثر من الإجراءات. يشار إلى المرشحات والإجراءات مجتمعة بالسجن.
8. مساعد
AIDE هو اختصار Advanced Intrusionكشف البيئة. يركز نظام كشف التسلل للمضيف المجاني بشكل أساسي على مقارنات الكشف عن توقيع الجذور الخفية وتوقيع الملفات. عند تثبيت AIDE مبدئيًا ، ستقوم بتجميع قاعدة بيانات لبيانات المسؤول من ملفات تكوين النظام. ثم يتم استخدام هذا كخط أساسي يمكن مقارنة أي تغيير به ثم التراجع في النهاية إذا لزم الأمر.
يستخدم AIDE كل من التواقيع والمستندة إلى الشذوذالتحليل الذي يتم تشغيله عند الطلب وغير مجدولة أو قيد التشغيل بشكل مستمر ، وهذا في الواقع هو العيب الرئيسي لهذا المنتج. ومع ذلك ، فإن AIDE هي أداة لسطر الأوامر ويمكن إنشاء مهمة CRON لتشغيلها على فترات منتظمة. وإذا قمت بتشغيلها بشكل متكرر - مثل كل دقيقة أو نحو ذلك - فستحصل على بيانات شبه فورية. في جوهرها ، لا يعد AIDE سوى أداة لمقارنة البيانات. يجب إنشاء نصوص خارجية لجعلها HIDS حقيقية.
9. البصل الأمن
الأمن البصل هو الوحش مثيرة للاهتمام التي يمكنيوفر لك الكثير من الوقت. هذا ليس مجرد نظام للكشف عن الاختراق أو الوقاية منه. Security Onion هو توزيع كامل لنظام التشغيل Linux مع التركيز على اكتشاف التسلل ومراقبة أمن المؤسسة وإدارة السجل. يتضمن العديد من الأدوات ، التي قمنا بمراجعتها للتو. على سبيل المثال ، لدى Security Onion Elasticsearch و Logstash و Kibana و Snort و Suricata و Bro و OSSEC و Sguil و Squert و NetworkMiner وغيرها. يتم تجميع كل ذلك مع معالج إعداد سهل الاستخدام ، مما يتيح لك حماية مؤسستك في غضون دقائق. يمكنك أن تفكر في Security Onion باعتباره سكين الجيش السويسري لأمن تكنولوجيا المعلومات في المؤسسة.
الشيء الأكثر إثارة للاهتمام حول هذه الأداة هوأن تحصل على كل شيء في تثبيت واحد بسيط. وستحصل على كلٍّ من أدوات الكشف عن الشبكة والاستضافة. هناك أدوات تستخدم نهجًا يستند إلى التوقيع وبعضها قائم على الحالات الشاذة. يتميز التوزيع أيضًا بمزيج من الأدوات المستندة إلى النصوص وأدوات واجهة المستخدم الرسومية. يوجد بالفعل مزيج ممتاز من كل شيء. العيب ، بالطبع ، هو أنك تحصل على الكثير لدرجة أن تكوين كل شيء يمكن أن يستغرق بعض الوقت. لكن ليس عليك استخدام جميع الأدوات. يمكنك فقط اختيار تلك التي تفضلها.
10. ساغان
ساجان هو في الواقع أكثر من نظام تحليل السجلمن IDS حقيقي ، لكن لديه بعض الميزات المشابهة لـ IDS والتي اعتقدنا أنها تضمن إدراجها في قائمتنا. يمكن لهذه الأداة مشاهدة السجلات المحلية للنظام حيث تم تثبيته ، لكنها يمكن أن تتفاعل أيضًا مع الأدوات الأخرى. يمكنه ، على سبيل المثال ، تحليل سجلات Snort ، وإضافة وظائف NIDS بشكل فعال إلى ما هو HIDS بشكل أساسي. ولن يتفاعل مع Snort فقط. يمكن أن يتفاعل مع Suricata أيضًا وهو متوافق مع العديد من أدوات بناء القواعد مثل Oinkmaster أو Pulled Pork.
ساجان لديها أيضا قدرات تنفيذ البرنامج النصيمما يجعله نظام منع التسلل الخام. قد لا يتم استخدام هذه الأداة كدفاع وحيد ضد التطفل ، ولكنها ستكون مكونًا رائعًا لنظام يمكنه دمج العديد من الأدوات عن طريق ربط الأحداث من مصادر مختلفة.
خاتمة
نظم كشف التسلل هي مجرد واحدة منالعديد من الأدوات المتاحة لمساعدة مسؤولي الشبكة والنظام في ضمان التشغيل الأمثل لبيئتهم. أي من الأدوات التي تمت مناقشتها هنا ممتازة ولكن لكل منها غرض مختلف قليلاً. يعتمد الخيار الذي ستختاره إلى حد كبير على التفضيل الشخصي والاحتياجات الخاصة.
تعليقات