- - 7 أفضل أنظمة منع الاختراق (IPS) لعام 2019

7 أفضل أنظمة منع الاختراق (IPS) لعام 2019

الجميع يريد أن يبقي المتسللين خارجمنزل. بالمثل - ولأسباب مماثلة ، يسعى مسؤولو الشبكة لإبعاد المتطفلين عن الشبكات التي يديرونها. واحدة من أهم الأصول للعديد من منظمات اليوم هي بياناتها. من المهم للغاية أن يبذل الكثير من الأفراد ذوي النوايا الطيبة جهودًا كبيرة لسرقة تلك البيانات. يفعلون ذلك باستخدام مجموعة واسعة من التقنيات للحصول على وصول غير مصرح به إلى الشبكات والأنظمة. يبدو أن عدد هذه الهجمات قد نما بشكل كبير في الآونة الأخيرة ، وفي رد الفعل ، يتم وضع أنظمة لمنعها. تسمى هذه الأنظمة أنظمة منع التطفل أو IPS. اليوم ، نلقي نظرة على أفضل أنظمة منع الاختراق التي يمكن أن نجدها.

سنبدأ بمحاولة تحديد ما هو أفضلمنع التسلل هو. هذا ، بطبيعة الحال ، يستلزم أن نحدد أيضًا ما هو الاقتحام. سنستكشف بعد ذلك طرق الكشف المختلفة المستخدمة عادةً وإجراءات العلاج المتخذة عند الكشف. بعد ذلك ، سنتحدث باختصار عن منع الاختراق السلبي. إنها تدابير ثابتة يمكن وضعها مما يقلل بشكل كبير من عدد محاولات التسلل. قد تتفاجأ بمعرفة أن بعض هؤلاء لا علاقة لهم بأجهزة الكمبيوتر. عندها فقط ، مع وجودنا جميعًا في نفس الصفحة ، سنكون قادرين على مراجعة بعض من أفضل أنظمة منع التطفل التي يمكن أن نجدها.

منع الاختراق - ما هذا كله؟

منذ سنوات ، كانت الفيروسات هي الوحيدة إلى حد كبيرمخاوف من مسؤولي النظام. وصلت الفيروسات إلى درجة كانت شائعة فيها لدرجة أن الصناعة تفاعلت من خلال تطوير أدوات الحماية من الفيروسات. اليوم ، لن يفكر أي مستخدم جاد في ذهنه الصحيح في تشغيل جهاز كمبيوتر بدون حماية من الفيروسات. على الرغم من أننا لم نسمع الكثير من الفيروسات بعد الآن ، فإن التطفل - أو الوصول غير المصرح به إلى بياناتك من قبل المستخدمين الضارين - هو التهديد الجديد. نظرًا لأن البيانات غالبًا ما تكون أهم أصول المؤسسة ، فقد أصبحت شبكات الشركات هدفًا للمتسللين الذين لا يبدون نية النية والتي ستبذل أقصى جهدها للوصول إلى البيانات. تمامًا مثلما كان برنامج الحماية من الفيروسات هو الحل لانتشار الفيروسات ، فإن أنظمة منع التطفل هي الرد على هجمات المتطفلين.

نظم منع التسلل تفعل أساسا اثنينالأشياء. أولاً ، يكتشفون محاولات الاقتحام وعندما يكتشفون أي أنشطة مشبوهة ، يستخدمون أساليب مختلفة لإيقافها أو حظرها. هناك طريقتان مختلفتان يمكن اكتشاف محاولات التسلل. يعمل الكشف المستند إلى التوقيع من خلال تحليل حركة مرور البيانات وبياناتها والبحث عن أنماط محددة مرتبطة بمحاولات الاقتحام. هذا مشابه لأنظمة الحماية من الفيروسات التقليدية التي تعتمد على تعريفات الفيروسات. يعتمد كشف التسلل المستند إلى التوقيع على تواقيع أو أنماط التسلل. العيب الرئيسي في طريقة الكشف هذه هو أنه يحتاج إلى التوقيعات المناسبة ليتم تحميلها في البرنامج. وعندما تكون هناك طريقة هجوم جديدة ، عادة ما يكون هناك تأخير قبل تحديث تواقيع الهجوم. يسير بعض البائعين بسرعة كبيرة في توفير تواقيع الهجوم المحدّثة بينما يكون الآخرون أبطأ بكثير. يعد عدد المرات التي يتم فيها تحديث التواقيع ومدى السرعة عاملًا مهمًا يجب مراعاته عند اختيار البائع.

الكشف القائم على الشذوذ يوفر حماية أفضلضد هجمات اليوم صفر ، تلك التي تحدث قبل توقيع التواقيع كانت فرصة للتحديث. تبحث العملية عن الحالات الشاذة بدلاً من محاولة التعرف على أنماط الاختراق المعروفة. على سبيل المثال ، قد يتم تشغيله إذا حاول شخص ما الوصول إلى نظام باستخدام كلمة مرور خاطئة عدة مرات متتالية ، وهي علامة شائعة على هجوم القوة الوحشية. هذا مجرد مثال ، وهناك عادة مئات من الأنشطة المشبوهة المختلفة التي يمكن أن تؤدي إلى هذه الأنظمة. كل من طرق الكشف لها مزاياها وعيوبها. أفضل الأدوات هي تلك التي تستخدم مزيجًا من تحليل التوقيع والسلوك للحصول على أفضل حماية.

اكتشاف محاولة التسلل هو واحد الجزء الأولمنعهم. بمجرد اكتشافها ، تعمل أنظمة منع التطفل بنشاط على إيقاف الأنشطة المكتشفة. يمكن اتخاذ العديد من الإجراءات العلاجية المختلفة بواسطة هذه الأنظمة. يمكنهم ، على سبيل المثال ، تعليق أو إلغاء تنشيط حسابات المستخدمين. هناك إجراء نموذجي آخر يتمثل في حظر عنوان IP المصدر للهجوم أو تعديل قواعد جدار الحماية. إذا كان النشاط الضار يأتي من عملية محددة ، فإن نظام الوقاية يمكن أن يقتل هذه العملية. يعد بدء بعض عمليات الحماية من ردود الفعل الشائعة الأخرى ، وفي أسوأ الحالات ، يمكن إيقاف تشغيل أنظمة كاملة للحد من الأضرار المحتملة. من المهام المهمة الأخرى لأنظمة Intrusion Prevention Systems تنبيه المسؤولين وتسجيل الحدث والإبلاغ عن الأنشطة المشبوهة.

تدابير منع التسلل السلبي

في حين أن أنظمة منع الاختراق يمكن أن تحميأنت ضد أنواع عديدة من الهجمات ، لا شيء يتفوق على إجراءات منع التسلل السلبية الجيدة القديمة. على سبيل المثال ، يعد استخدام كلمات مرور قوية طريقة ممتازة للحماية من العديد من عمليات الاقتحام. هناك إجراء حماية آخر سهل يتمثل في تغيير كلمات المرور الافتراضية للمعدات. في حين أنه أقل تواتراً في شبكات الشركة - رغم أنه لم يسمع به - إلا أنني رأيت في كثير من الأحيان بوابات الإنترنت التي لا تزال تحتوي على كلمة مرور المسؤول الافتراضية الخاصة بها. بينما يتعلق موضوع كلمات المرور ، يعد تقادم كلمة المرور خطوة ملموسة أخرى يمكن وضعها للحد من محاولات الاختراق. أي كلمة مرور ، حتى أفضل كلمة مرور ، يمكن تصدعها في نهاية المطاف ، مع إعطاء وقت كافي. يضمن تقادم كلمة المرور تغيير كلمات المرور قبل كسرها.

كانت هناك أمثلة فقط على ما يمكن القيام به لمنع السلبي التدخلات. يمكننا كتابة مقالة كاملة حول الإجراءات السلبية التي يمكن تطبيقها ولكن هذا ليس هدفنا اليوم. هدفنا بدلاً من ذلك هو تقديم بعض من أفضل أنظمة منع الاختراق النشطة.

أفضل أنظمة منع الاختراق

تحتوي قائمتنا على مزيج من الأدوات المختلفة التي يمكنيمكن استخدامها للحماية من محاولات التسلل. معظم الأدوات المضمّنة هي أنظمة منع اقتحام حقيقية ، لكننا ندرج أيضًا أدوات يمكن استخدامها لمنع الاختراقات ، على الرغم من عدم تسويقها على هذا النحو. دخولنا الأول هو أحد هذه الأمثلة. تذكر أنه ، أكثر من أي شيء آخر ، ينبغي أن يسترشد اختيارك لأي أداة تستخدم بما تحتاج إليه. لذلك ، دعونا نرى ما تقدمه كل أداة من أفضل أدواتنا.

1. SolarWinds سجل & مدير الأحداث (تجربة مجانية)

SolarWinds هو اسم معروف في الشبكةالادارة. يتمتع بسمعة قوية لصنع بعض من أفضل أدوات إدارة الشبكات والنظام. منتجها الرئيسي ، مراقبة أداء الشبكة يسجل باستمرار بين أفضل أدوات مراقبة النطاق الترددي للشبكة المتاحة. تشتهر SolarWinds أيضًا بأدواتها المجانية العديدة ، حيث تلبي كل منها حاجة معينة لمسؤولي الشبكات. يعد خادم Kiwi Syslog أو خادم SolarWinds TFTP مثالين ممتازين على هذه الأدوات المجانية.

لا تدع SolarWinds سجل & مدير الأحداثاسم يخدعك. هناك ما هو أكثر بكثير مما تراه العين. بعض الميزات المتقدمة لهذا المنتج تعتبره نظامًا للكشف عن الاختراق والوقاية منه بينما يضعه آخرون في نطاق إدارة المعلومات الأمنية وإدارة الأحداث (SIEM). تتميز الأداة ، على سبيل المثال ، بربط الحدث في الوقت الفعلي ومعالجة الوقت الفعلي.

SolarWinds لقطة شاشة ومدير الأحداث

  • تجربة مجانية: SolarWinds سجل & مدير الأحداث
  • رابط التحميل الرسمي: https://www.solarwinds.com/log-event-manager-software/registration

ال SolarWinds سجل & مدير الأحداث تفتخر الكشف الفوري من المشبوهةالنشاط (وظيفة كشف التسلل) والاستجابات الآلية (وظيفة منع التسلل). يمكن أيضًا استخدام هذه الأداة لإجراء التحقيق في الأحداث الأمنية والطب الشرعي. يمكن استخدامه لأغراض التخفيف والامتثال. تتميز الأداة بإعداد تقارير أثبتت فعاليتها في المراجعة والتي يمكن استخدامها أيضًا لإثبات الامتثال للأطر التنظيمية المختلفة مثل HIPAA و PCI-DSS و SOX. تحتوي الأداة أيضًا على مراقبة سلامة الملفات ومراقبة جهاز USB. جميع ميزات البرنامج المتقدمة تجعله نظامًا أمنيًا متكاملًا أكثر من نظام إدارة الأحداث والسجلات الذي سيدعوك إلى تصديقه.

منع الاختراق ميزات SolarWinds سجل & مدير الأحداث يعمل عن طريق تنفيذ إجراءات تسمى نشطالردود كلما تم الكشف عن التهديدات. يمكن ربط الاستجابات المختلفة بتنبيهات محددة. على سبيل المثال ، يمكن للنظام الكتابة إلى جداول جدار الحماية لمنع وصول الشبكة لعنوان IP المصدر الذي تم تحديده على أنه يؤدي أنشطة مشبوهة. يمكن للأداة أيضًا تعليق حسابات المستخدمين وإيقاف العمليات أو بدء تشغيلها وإغلاق الأنظمة. ستذكر كيف كانت هذه بالضبط إجراءات الإصلاح التي حددناها من قبل.

التسعير ل SolarWinds سجل & مدير الأحداث يختلف بناءً على عدد العقد المراقبة. تبدأ الأسعار من 4585 دولارًا لما يصل إلى 30 نقطة مراقبة ، ويمكن شراء التراخيص لما يصل إلى 2500 عقدة مما يجعل المنتج قابلًا للتوسع بدرجة كبيرة. إذا كنت تريد أن تأخذ المنتج لإجراء اختبار وترى بنفسك ما إذا كان مناسبًا لك ، فستتوفر نسخة تجريبية مجانية مدتها 30 يومًا كاملة المواصفات.

2. Splunk

Splunk من المحتمل أن يكون أحد أكثر أنظمة منع الاختراق شيوعًا. وهي متوفرة في العديد من الإصدارات المختلفة الرياضية مجموعات ميزة مختلفة. أمن المؤسسات-أو ES Splunk، كما يطلق عليه في كثير من الأحيان ، هو ما تحتاجه لمنع التطفل الحقيقي يراقب البرنامج بيانات نظامك في الوقت الفعلي ، ويبحث عن نقاط الضعف وعلامات النشاط غير الطبيعي.

تحليل المخاطر ES سبونك

الاستجابة الأمنية هي واحدة من المنتجات القويةالدعاوى وما يجعله نظام منع التسلل. يستخدم ما يسميه البائع إطار استجابة التكيف (ARF). إنه يتكامل مع معدات من أكثر من 55 بائع أمان ويمكنه تنفيذ استجابة تلقائية ، تسريع المهام اليدوية. هذه التركيبة إذا كانت المعالجة الآلية والتدخل اليدوي يمكن أن تمنحك أفضل الفرص لكسب اليد العليا بسرعة. تحتوي الأداة على واجهة مستخدم بسيطة ومرتبة ، مما يجعل الحل الفائز. تشمل ميزات الحماية الأخرى المثيرة للاهتمام وظيفة "Notables" التي تعرض تنبيهات قابلة للتخصيص من قبل المستخدم و "Asset Investigator" للإشارة إلى الأنشطة الضارة ومنع المزيد من المشاكل.

أمن المؤسساتمعلومات التسعير ليست متاحة بسهولة. ستحتاج إلى الاتصال بمبيعات Splunk للحصول على عرض أسعار مفصل. هذا منتج رائع تتوفر فيه نسخة تجريبية مجانية.

3. ساجان

ساجان هو في الأساس نظام كشف التسلل الحر. ومع ذلك ، فإن الأداة التي لديها قدرات تنفيذ البرنامج النصي والتي يمكن وضعها في فئة أنظمة منع الاقتحام. ساجان بالكشف عن محاولات التسلل من خلال مراقبة ملفات السجل. يمكنك أيضا الجمع ساجان مع Snort التي يمكن أن تغذي انتاجها ل ساجان إعطاء الأداة بعض قدرات كشف التسلل المستندة إلى الشبكة. حقيقة، ساجان يمكن تلقي المدخلات من العديد من الأدوات الأخرى مثل Bro أو Suricata ، والجمع بين قدرات العديد من الأدوات للحصول على أفضل حماية ممكنة.

لقطة للشاشة ساغان

هناك نقطة جذب ل ساجانقدرات تنفيذ البرنامج النصي ، على الرغم من. يجب عليك كتابة نصوص العلاج. على الرغم من أن هذه الأداة قد لا تُستخدم بشكل أفضل كدفاع وحيد ضد التطفل ، إلا أنها قد تكون مكونًا رئيسيًا لنظام يتضمن العديد من الأدوات من خلال ربط الأحداث من مصادر مختلفة ، مما يوفر لك أفضل المنتجات.

في حين ساجان يمكن تثبيته فقط على Linux و Unix و Mac OS ،يمكنه الاتصال بأنظمة Windows للحصول على الأحداث الخاصة بهم. ميزات أخرى مثيرة للاهتمام من ساجان تشمل تتبع موقع عنوان IP والمعالجة الموزعة.

4. OSSEC

المصدر المفتوح الأمنأو OSSEC، هي واحدة من المصادر الرائدة مفتوحة المصدرنظام كشف التسلل. نحن ندرجه في قائمتنا لسببين. شعبيتها هي التي اضطررنا إلى تضمينها ، خاصةً مع مراعاة أن الأداة تتيح لك تحديد الإجراءات التي يتم تنفيذها تلقائيًا عند تشغيل تنبيهات محددة ، مما يوفر لها بعض إمكانيات منع التطفل. OSSEC شركة Trend Micro هي شركة مملوكة لشركة Trend Micro ، وهي إحدى الشركات الرائدة في مجال أمن تقنية المعلومات ، كما أنها مملوكة لأحد أفضل مجموعات الحماية من الفيروسات.

لقطة شاشة OSSEC Dashboard

عند تثبيته على أنظمة التشغيل المشابهة لـ Unix ،يركز محرك الكشف عن البرنامج في المقام الأول على ملفات السجل والتكوين. إنه ينشئ مجموعات اختبارية من الملفات المهمة ويتحقق منها بشكل دوري أو ينبهك أو يؤدي إلى اتخاذ إجراء علاجي كلما حدث شيء غريب. سيقوم أيضًا بمراقبة وتنبيه أي محاولة غير طبيعية للوصول إلى الجذر. في نظام Windows ، يراقب النظام أيضًا تعديلات التسجيل غير المصرح بها لأنها يمكن أن تكون علامة حكيمة على نشاط ضار. سيؤدي أي كشف إلى تنبيه سيتم عرضه على وحدة التحكم المركزية بينما سيتم أيضًا إرسال الإشعارات عبر البريد الإلكتروني.

OSSEC هو نظام حماية الاختراق القائم على المضيف. على هذا النحو ، يجب تثبيته على كل كمبيوتر تريد حمايته. ومع ذلك ، فإن وحدة التحكم المركزية تقوم بدمج المعلومات من كل كمبيوتر محمي لإدارة أسهل. ال OSSEC تعمل وحدة التحكم فقط على أنظمة تشغيل Unix-Like لكن يتوفر وكيل لحماية مضيفات Windows. بدلاً من ذلك ، يمكن استخدام أدوات أخرى مثل Kibana أو Graylog كواجهة أمامية للأداة.

5. افتح WIPS-NG

لم نكن متأكدين مما إذا كان يجب علينا تضمينه افتح WIPS NG في قائمتنا. المزيد عن ذلك في لحظة. لقد كان السبب الرئيسي في ذلك هو أنه أحد المنتجات الوحيدة التي تستهدف الشبكات اللاسلكية على وجه التحديد. افتح WIPS NG- حيث يشير WIPS إلى التطفل اللاسلكينظام الوقاية - هو أداة مفتوحة المصدر تتكون من ثلاثة مكونات رئيسية. أولا ، هناك الاستشعار. هذه عملية غبية تلتقط ببساطة حركة المرور اللاسلكية وترسلها إلى الخادم لتحليلها. كما قد تكون خمنت ، المكون التالي هو الخادم. فهو يجمع البيانات من جميع أجهزة الاستشعار ، ويحلل البيانات التي تم جمعها والرد على الهجمات. هذا المكون هو قلب النظام. أخيرًا وليس آخرًا ، هو مكون الواجهة وهو واجهة المستخدم الرسومية التي تستخدمها لإدارة الخادم وعرض معلومات حول التهديدات الموجودة على الشبكة اللاسلكية.

السبب الرئيسي وراء ترددنا من قبل افتح WIPS NG في قائمتنا أنه ، ليست جيدة كما هيالجميع يحب مطور المنتج. إنه من نفس المطور مثل Aircrack NG وهو عبارة عن حزمة شم لاسلكي ورابط لكلمة المرور يمثل جزءًا من مجموعة أدوات اختراق كل شبكة WiFi. هذا يفتح النقاش حول أخلاقيات المطور ويجعل بعض المستخدمين حذرين. من ناحية أخرى ، يمكن اعتبار خلفية المطور بمثابة شهادة على معرفته العميقة بأمان Wi-Fi.

6. Fail2Ban

Fail2Ban هو اختراق مجاني للمضيف المجانينظام الكشف مع ميزات منع التسلل. يعمل البرنامج من خلال مراقبة ملفات سجل النظام للأحداث المشبوهة مثل محاولات تسجيل الدخول الفاشلة أو استغلال عمليات البحث. عندما يكتشف النظام شيئًا مشبوهًا ، فإنه يتفاعل من خلال تحديث قواعد جدار الحماية المحلي تلقائيًا لحظر عنوان IP المصدر للسلوك الضار. هذا ، بطبيعة الحال ، يعني أن بعض عمليات جدار الحماية تعمل على الجهاز المحلي. هذا هو العيب الأساسي للأداة. ومع ذلك ، يمكن تكوين أي إجراء تعسفي آخر - مثل تنفيذ برنامج نصي علاجي أو إرسال إعلامات بالبريد الإلكتروني -.

لقطة شاشة Fail2Ban

Fail2Ban يتم توفيره مع العديد من الكشف المدمج مسبقًامشغلات تسمى المرشحات ، والتي تغطي بعض الخدمات الأكثر شيوعًا مثل Apache و Courrier و SSH و FTP و Postfix وغيرها الكثير. كما قلنا ، يتم تنفيذ إجراءات العلاج عن طريق تعديل جداول جدار الحماية للمضيف. Fail2Ban يدعم Netfilter أو IPtables أو جدول hosts.deny الخاص بـ TCP Wrapper. يمكن أن يرتبط كل مرشح بواحد أو أكثر من الإجراءات. يشار إلى المرشحات والإجراءات مجتمعة بالسجن.

7. إخوانه شبكة مراقبة الأمن

ال إخوانه شبكة مراقبة الأمن هو آخر كشف التسلل الشبكة الحرةالنظام مع وظيفة تشبه IPS. يعمل على مرحلتين ، يقوم أولاً بتسجيل حركة المرور ثم يقوم بتحليلها. تعمل هذه الأداة في طبقات متعددة حتى طبقة التطبيق والتي تمثل اكتشافًا أفضل لمحاولات اقتحام الانقسام. تتكون وحدة تحليل المنتج من عنصرين. يسمى العنصر الأول بـ Event Engine ، والغرض منه هو تتبع أحداث التشغيل مثل اتصالات TCP أو طلبات HTTP. ثم يتم تحليل الأحداث عن طريق نصوص السياسة ، العنصر الثاني. تتمثل مهمة "البرامج النصية للسياسة" في تقرير ما إذا كان سيتم تشغيل إنذار أو تشغيل إجراء أو تجاهل الحدث. إنها إمكانية إطلاق عمل يعطي إخوانه شبكة مراقبة الأمن وظائف IPS.

إخوانه شبكة مراقبة الأمن - لقطة

ال إخوانه شبكة مراقبة الأمن لديه بعض القيود. سيتتبع نشاط HTTP و DNS و FTP فقط ، كما أنه سيراقب حركة مرور SNMP. هذا شيء جيد ، على الرغم من أن SNMP يستخدم غالبًا لمراقبة الشبكة على الرغم من العيوب الأمنية الخطيرة. SNMP لديه بالكاد أي أمان مدمج ويستخدم حركة المرور غير المشفرة. ونظرًا لأنه يمكن استخدام البروتوكول لتعديل التكوينات ، يمكن استغلاله بسهولة من قِبل المستخدمين الضارين. سوف يراقب المنتج أيضًا تغييرات تكوين الجهاز وفخاخ SNMP. يمكن تثبيته على أنظمة التشغيل Unix و Linux و OS X ولكنه غير متوفر لنظام التشغيل Windows ، والذي ربما يكون العيب الرئيسي. خلاف ذلك ، هذه هي أداة مثيرة للاهتمام للغاية والتي تستحق المحاولة.

اقرأ ايضا

كيفية إصلاح الخطأ "لا يمكن ترقية هذا الكمبيوتر إلى Windows 10" في ترقية Windows 10 May 2019
15 أفضل الميزات الجديدة في تحديث ويندوز 10 أبريل 2019 19H1
ما هو منع تنفيذ البيانات (DEP) وكيفية تعطيله في ويندوز 7 / فيستا
أفضل 6 أدوات لإدارة السجلات لنظام التشغيل Linux في عام 2019
SolarWinds سجل & مدير الأحداث مقابل Splunk - استعراض مقارن
أحصنة طروادة الوصول عن بعد (RATs) - ما هي وكيفية حماية ضدهم؟
6 أفضل أنظمة كشف التسلل المستندة إلى المضيف (HIDS) في عام 2019
أنظمة كشف التسلل المستندة إلى الشبكة: 5 أفضل أدوات NIDS للاستخدام
6 أفضل أدوات المعلومات الأمنية وإدارة الأحداث (SIEM) تستحق المراجعة في عام 2019
14 أفضل أدوات أمان الشبكة للبيئات الأكثر أمانًا في 2019
أفضل 10 أدوات لكشف التسلل: أفضل خياراتك المجانية لعام 2019
الدليل النهائي لأمن الشبكات - بما في ذلك الأدوات الأساسية

تعليقات