Сигурността е гореща тема и тя е за достаИзвестно време. Преди много години вирусите бяха единствените притеснения на системните администратори. Вирусите бяха толкова разпространени, че водеха по пътя към изумителния набор от инструменти за предотвратяване на вируси. В днешно време едва ли някой би помислил да работи с незащитен компютър. Компютърното нахлуване или неоторизиран достъп до вашите данни от злонамерени потребители е „заплахата за пътуване“. Мрежите се превърнаха в цел на многобройни злонамерени хакери, които ще достигнат до голяма степен, за да получат достъп до вашите данни. Най-добрата ви защита срещу тези видове заплахи е система за откриване или предотвратяване на проникване. Днес разглеждаме десет от най-добрите безплатни инструменти за откриване на проникване.
Преди да започнем, първо ще обсъдимразлични методи за откриване на проникване, които се използват. Точно както има много начини натрапници да влязат във вашата мрежа, има също толкова много начини - може би дори повече - начини да ги откриете. След това ще обсъдим двете основни категории на система за откриване на проникване: мрежово откриване на проникване и откриване на проникване на проникване. Преди да продължим, след това ще обясним разликите между откриването на проникване и предотвратяването на проникване. И накрая, ще ви дадем кратък преглед на десет от най-добрите безплатни инструменти за откриване на проникване, които можем да намерим.
Методи за откриване на проникване
По принцип има два различни метода, използвани заоткриване на опити за проникване. Може да бъде на базата на подпис или на аномалия. Нека да видим как се различават. Откриването на проникване въз основа на подпис работи чрез анализ на данни за конкретни модели, които са били свързани с опити за проникване. Това е донякъде като традиционните антивирусни системи, които разчитат на дефинициите на вируса. Тези системи ще сравняват данните с моделите на подписване на проникване, за да идентифицират опити. Основният им недостатък е, че те не работят, докато не бъде качен подходящият подпис към софтуера, което обикновено се случва след атака на определен брой машини.
Аномално-базираното откриване на проникване осигурявапо-добра защита срещу атаки с нулев ден, онези, които се случват преди всеки софтуер за откриване на проникване, е имал шанс да придобие подходящия файл за подпис. Вместо да се опитват да разпознаят известни модели на проникване, те вместо това ще търсят аномалии. Например, те ще открият, че някой се опита да влезе в система с грешна парола няколко пъти, често срещан признак за груба атака. Както може би се досещате, всеки метод за откриване има своите предимства. Ето защо най-добрите инструменти често използват комбинация от двете за най-добра защита.
Два вида системи за откриване на проникване
Точно както има различни методи за откриванесъществуват и два основни типа системи за откриване на проникване. Те се различават най-вече по мястото, където се извършва откриване на проникване, или на ниво хост, или на ниво мрежа. Тук отново всеки има своите предимства и най-доброто решение - или най-сигурното - е възможно да се използват и двете.
Системи за разпознаване на проникване от хост (HIDS)
Първият тип система за откриване на проникванеработи на ниво хост. Например, той може да проверява различни файлове на журнали за признаци на подозрителна активност. Той може също да работи, като проверява важни конфигурационни файлове за неоторизирани промени. Ето какво би направил HIDS на базата на аномалия. От друга страна, системите, базирани на подписи, биха разгледали едни и същи файлове на регистрация и конфигурация, но биха търсили конкретни известни модели на проникване. Например, може да се знае, че даден метод за нахлуване работи чрез добавяне на определен низ към определен конфигурационен файл, който IDS на базата на подпис би открил.
Както можехте да си представите, HIDS са инсталиранидиректно на устройството, което са предназначени да защитават, така че ще трябва да ги инсталирате на всичките си компютри. Въпреки това, повечето системи имат централизирана конзола, където можете да контролирате всеки екземпляр на приложението.
Мрежови системи за откриване на проникване (NIDS)
Мрежови системи за откриване на проникване или NIDS,работете на границата на вашата мрежа, за да наложите откриването. Те използват подобни методи като хост системи за откриване на проникване. Разбира се, вместо да търсят файлове за регистрация и конфигурация, те изглеждат като мрежов трафик, като заявки за връзка. Известно е, че някои методи за проникване използват уязвимости, като изпращат нарочно неправилно оформени пакети до хостовете, карайки ги да реагират по определен начин. Мрежовите системи за откриване на прониквания лесно биха могли да ги открият.
Някои биха спорили, че NIDS са по-добри от HIDSтъй като откриват атаки още преди да стигнат до вашите компютри. Освен това са по-добри, тъй като не изискват да се инсталира нещо на всеки компютър, за да ги защити ефективно. От друга страна, те осигуряват малка защита срещу вътрешни атаки, които за съжаление изобщо не са рядкост. Това е друг случай, при който най-добрата защита идва от използването на комбинация от двата типа инструменти.
Предотвратяване на проникване срещу предотвратяване
Има два различни жанра инструменти всвят за защита от проникване: системи за откриване на проникване и системи за предотвратяване на проникване. Въпреки че те служат с различна цел, често има някои припокривания между двата типа инструменти. Както подсказва името му, откриването на проникване ще открие опити за проникване и изобщо съмнителни дейности. Когато го направи, той обикновено задейства някаква аларма или известие. След това администраторът трябва да предприеме необходимите стъпки, за да спре или блокира този опит.
Системи за предотвратяване на проникване, от друга страна,работи за спиране на натрапките да се случат напълно. Повечето системи за предотвратяване на проникване ще включват компонент за откриване, който ще задейства някои действия винаги, когато бъдат открити опити за проникване. Но предотвратяването на проникване също може да бъде пасивно. Терминът може да се използва за обозначаване на всички стъпки, които са направени за предотвратяване на посегателства. Можем да мислим за мерки като втвърдяване с парола, например.
Най-добрите безплатни инструменти за откриване на проникване
Системите за откриване на проникване могат да бъдат скъпи,много скъп. За щастие, там има доста безплатни алтернативи. потърсихме в интернет някои от най-добрите софтуерни инструменти за откриване на проникване. Намерихме доста и скоро ще прегледаме накратко най-добрите десет, които можем да намерим.
1. OSSEC
OSSEC, което означава Open Source Security, едалеч водещата система за откриване на проникване с отворен код. OSSEC е собственост на Trend Micro, едно от водещите имена в ИТ сигурността. Софтуерът, когато е инсталиран на операционни системи, подобни на Unix, се фокусира предимно върху лог и конфигурационни файлове. Той създава контролни суми от важни файлове и периодично ги валидира, като ви предупреждава, ако се случи нещо странно. Той ще следи и ще улавя всякакви странни опити за получаване на root достъп. В Windows системата също следи за неоторизирани промени в системния регистър.
OSSEC, като система за откриване на проникване в хосттрябва да бъде инсталиран на всеки компютър, който искате да защитите. Той обаче ще консолидира информация от всеки защитен компютър в една конзола за по-лесно управление. Софтуерът работи само на Unix-Like системи, но е наличен агент за защита на хостовете на Windows. Когато системата открие нещо, на конзолата се показва предупреждение, а известията се изпращат по имейл.
2. Хъркане
Точно както OSSEC беше топ HDS с отворен код,Snort е водещият NIDS с отворен код. Snort всъщност е нещо повече от инструмент за откриване на проникване. Освен това е sniffer за пакети и логър за пакети. Но това, което ни интересува засега, са функциите за откриване на проникване на Snort. Донякъде като защитна стена, Snort се конфигурира с помощта на правила. Основните правила могат да бъдат изтеглени от уебсайта на Snort и адаптирани към вашите специфични нужди. Можете също така да се абонирате за правила на Snort, за да гарантирате, че винаги получавате най-новите, докато те се развиват с идентифициране на нови заплахи.
Основните правила на Snort могат да открият голямо разнообразиена събития като скрит сканиране на пристанища, атаки на преливане на буфер, CGI атаки, SMB сонди и отпечатъци на ОС. Това, което установява вашата инсталация на Snort, зависи единствено от правилата, които сте инсталирали. Някои от предлаганите основни правила са базирани на подпис, докато други са базирани на аномалия. Използването на Snort може да ви даде най-доброто от двата свята
3. Suricata
Suricata се рекламира като проникванесистема за откриване и предотвратяване и като цялостна екосистема за мониторинг на сигурността на мрежата. Едно от най-добрите предимства на този инструмент пред Snort е, че той работи до целия слой на приложението. Това позволява на инструмента да открива заплахи, които могат да останат незабелязани в други инструменти, като се разделят на няколко пакета.
Но Suricata не работи само в приложениетослой. Той също така ще следи протокол от по-ниско ниво като TLS, ICMP, TCP и UDP. Инструментът също така разбира протоколи като HTTP, FTP или SMB и може да открие опити за проникване, скрити в иначе нормални заявки. Има и възможност за извличане на файлове, за да може администраторите сами да проверяват подозрителни файлове.
Архитектурно, Suricata е много добре направен итя ще разпредели работното си натоварване в няколко процесорни ядра и нишки за най-добра производителност. Той дори може да зареди част от обработката си на графичната карта. Това е чудесна функция на сървърите, тъй като тяхната графична карта е предимно на празен ход.
4. Bro Monitor Monitor Security
Следващ в нашия списък е продукт, наречен BroNetwork Security Monitor - друга безплатна мрежа за откриване на проникване в мрежата. Bro работи в две фази: регистриране на трафика и анализ. Подобно на Suricata, Bro работи на приложния слой, което позволява по-добро разпознаване на опити за сплит. Изглежда, че всичко идва в двойка с Bro и неговият модул за анализ е съставен от два елемента. Първият е двигателят на събитията, който проследява задействащи събития като мрежови TCP връзки или HTTP заявки. След това събитията се анализират по-нататък чрез скриптове на политики, които решават дали да се задейства сигнал или да се предприеме действие, превръщайки Bro в превенция на проникване в допълнение към система за откриване.
Бро ще ви позволи да проследявате HTTP, DNS и FTPдейност, както и следете SNMP трафика. Това е добро нещо, тъй като SNMP често се използва за мрежов мониторинг, той не е защитен протокол. Bro също ви позволява да гледате промени в конфигурацията на устройството и SNMP капани. Bro може да бъде инсталиран в Unix, Linux и OS X, но не е наличен за Windows, може би основният му недостатък.
5. Отворете WIPS NG
Open WIPS NG го направи в нашия списък главно защототя е единствената, която е насочена конкретно към безжичните мрежи. Open WIPS NG - където WIPS означава безжична система за предотвратяване на проникване - е инструмент с отворен код, който се състои от три основни компонента. Първо, там е сензорът, който е тъпо устройство, което улавя само безжичен трафик и го изпраща на сървъра за анализ. Следва сървърът. Този агрегира данни от всички сензори, анализира събраните данни и реагира на атаки. Тя е сърцето на системата. Не на последно място е интерфейсният компонент, който е GUI, който използвате за управление на сървъра и показване на информация за заплахите във вашата безжична мрежа.
Не всеки обаче харесва Open WIPS NG. Продуктът, ако е от същия разработчик като Aircrack NG, безжичен снайпер за пакети и кракер за пароли, който е част от инструментариума на всеки хакер за WiFi. От друга страна, предвид неговия произход, можем да предположим, че разработчикът знае доста за Wi-Fi сигурността.
6. Samhain
Samhain е безплатна система за откриване на проникване в хосткоето осигурява проверка на целостта на файловете и наблюдение / анализ на файловете в лога. В допълнение, продуктът също така извършва откриване на rootkit, мониторинг на пристанища, откриване на нелоялни SUID изпълними файлове и скрити процеси. Този инструмент е създаден за наблюдение на множество системи с различни операционни системи с централизирана сеч и поддръжка. Въпреки това, Samhain може да се използва и като самостоятелно приложение на един компютър. Samhain може да работи на POSIX системи като Unix Linux или OS X. Може да работи и в Windows под Cygwin, въпреки че в тази конфигурация е тестван само мониторинг агентът, а не сървърът.
Една от най-уникалните характеристики на Samhain е неговатастелт режим, който му позволява да работи без да бъде открит от евентуални нападатели. Твърде често натрапниците убиват процесите на откриване, които разпознават, което им позволява да останат незабелязани. Samhain използва стеганография, за да скрие процесите си от другите. Той също така защитава централните си журнални файлове и архивиране на конфигурация с PGP ключ, за да предотврати подправяне.
7. Fail2Ban
Fail2Ban е интересно безплатно влизане на хостсистема за откриване, която също има някои функции за предотвратяване. Този инструмент работи чрез наблюдение на лог файлове за подозрителни събития като неуспешни опити за влизане, търсения на експлоатация и др. Когато открие нещо подозрително, автоматично актуализира правилата на локалната защитна стена, за да блокира изходния IP адрес на злонамереното поведение. Това е по подразбиране действие на инструмента, но всяко друго произволно действие - като изпращане на известия по имейл - може да бъде конфигурирано.
Системата се предлага с различни предварително изградени филтриза някои от най-разпространените услуги като Apache, Courrier, SSH, FTP, Postfix и много други. Предотвратяването се извършва чрез промяна на таблиците на защитната стена на хоста. Инструментът може да работи с Netfilter, IPtables или таблицата hosts.deny на TCP Wrapper. Всеки филтър може да бъде свързан с едно или много действия. Заедно филтрите и действията се наричат затвор.
8. ПОМОЩ
AIDE е съкращение за Advanced IntrusionСреда за откриване. Системата за откриване на безплатни прониквания на хост основно се фокусира върху откриването на rootkit и сравненията на подписи на файлове. Когато първоначално инсталирате AIDE, той ще компилира база данни с администраторски данни от конфигурационните файлове на системата. След това той се използва като основна линия, с която всяка промяна може да бъде сравнена и евентуално отменена, ако е необходимо.
AIDE използва както подпис, така и базиран на аномалияанализ, който се извършва по заявка и не се планира или непрекъснато се изпълнява, Това всъщност е основният недостатък на този продукт. AIDE обаче е инструмент на командния ред и може да се създаде CRON задача, която да го изпълнява на редовни интервали. И ако го стартирате много често - като всяка минута или около това - ще получите квази-данни в реално време. В основата си AIDE не е нищо друго освен инструмент за сравнение на данни. Външни скриптове трябва да бъдат създадени, за да се превърнат в истински HIDS.
9. Лук за сигурност
Сигурният лук е интересен звяр, който можеспестявам ви много време. Това не е само система за откриване или предотвратяване на проникване. Security Onion е цялостна дистрибуция на Linux с акцент върху откриването на проникване, мониторинга на сигурността на предприятието и управлението на журнала. Тя включва много инструменти, някои от които току-що прегледахме. Например, Security Onion има Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner и други. Всичко това е в комплект с лесен за използване съветник за настройка, който ви позволява да защитите вашата организация в рамките на минути. Можете да мислите за Security Onion като нож на швейцарската армия на корпоративната ИТ сигурност.
Най-интересното в този инструмент ече получавате всичко в една проста инсталация. И вие получавате както мрежови, така и инструменти за откриване на проникване в хост. Има инструменти, които използват подход, базиран на подпис, и някои, които се базират на аномалия. Разпределението включва също комбинация от текстови и GUI инструменти. Наистина има отлична комбинация от всичко. Недостатъкът, разбира се, е, че получавате толкова много, че конфигурирането му да отнеме известно време. Но не е нужно да използвате всички инструменти. Можете да изберете само тези, които предпочитате.
10. Саган
Sagan всъщност е повече от система за анализ на логаотколкото истински IDS, но има някои функции, подобни на IDS, които смятаме, че гарантират включването му в нашия списък. Този инструмент може да гледа локалните регистрационни файлове на системата, където е инсталиран, но може да взаимодейства и с други инструменти. Той може, например, да анализира дневниците на Snort, ефективно добавяйки някои функции на NIDS към това, което всъщност е HIDS. И няма да взаимодейства само със Snort. Той може да взаимодейства и със Suricata и е съвместим с няколко инструмента за изграждане на правила като Oinkmaster или Pulled Pork.
Sagan също има възможности за изпълнение на скрипткоето го прави сурова система за предотвратяване на проникване. Този инструмент може да не се използва като единствена защита срещу проникване, но ще бъде чудесен компонент на система, която може да включва много инструменти, като съпоставя събития от различни източници.
заключение
Системите за откриване на проникване са само една от тяхмного инструменти за подпомагане на мрежови и системни администратори за осигуряване на оптимална работа на тяхната среда. Всеки от разгледаните тук инструменти е отличен, но всеки има малко по-различно предназначение. Този, който ще изберете ще зависи до голяма степен от личните предпочитания и конкретни нужди.
Коментари