- - Top 10 nástrojů pro detekci narušení: Vaše nejlepší bezplatné možnosti pro rok 2019

Top 10 nástrojů pro detekci narušení: Vaše nejlepší bezplatné možnosti pro rok 2019

Zabezpečení je žhavé téma a bylo to docela dostchvíli. Před mnoha lety byly viry jediným problémem správců systému. Viry byly tak běžné, že vedly cestu k ohromující škále nástrojů prevence virů. V dnešní době by sotva někdo myslel na spuštění nechráněného počítače. Počítačovým narušením nebo neoprávněným přístupem škodlivých uživatelů k vašim datům je však „hrozba du jour“. Sítě se staly terčem mnoha špatně zamýšlených hackerů, kteří získají přístup k vašim datům do velké míry. Vaše nejlepší obrana proti těmto typům hrozeb je systém detekce nebo prevence narušení. Dnes přezkoumáváme deset nejlepších bezplatných nástrojů pro detekci narušení.

Než začneme, nejprve proberemerůzné metody detekce narušení, které se používají. Stejně jako existuje mnoho způsobů, jak mohou vetřelci vstoupit do vaší sítě, existuje mnoho způsobů, snad i více, jak je detekovat. Poté probereme dvě hlavní kategorie systému detekce narušení: detekce narušení sítě a detekce narušení hostitele. Než budeme pokračovat, vysvětlíme rozdíly mezi detekcí narušení a prevencí narušení. Nakonec vám poskytneme krátký přehled deseti nejlepších bezplatných nástrojů pro detekci narušení, které jsme našli.

Metody detekce narušení

V zásadě existují dvě různé metodydetekovat pokusy o narušení. Mohlo by to být na základě podpisu nebo anomálie. Uvidíme, jak se liší. Detekce narušení na základě podpisu funguje tak, že analyzuje data pro specifické vzorce, které byly spojeny s pokusy o narušení. Je to jako tradiční antivirové systémy, které se spoléhají na definice virů. Tyto systémy budou porovnávat data se vzory signatur narušení pro identifikaci pokusů. Jejich hlavní nevýhodou je, že nefungují, dokud není do softwaru nahrán správný podpis, k němuž obvykle dochází po útoku na určitý počet počítačů.

Detekce narušení na základě anomálií poskytujelepší ochrana proti útokům s nulovým dnem, proti těm, k nimž dojde před tím, než jakýkoli software pro detekci narušení měl šanci získat správný podpisový soubor. Místo toho, aby se pokusili rozpoznat známé vzory vniknutí, budou místo toho hledat anomálie. Například by zjistili, že se někdo pokusil několikrát získat přístup k systému se špatným heslem, což je běžná známka útoku brutální síly. Jak jste možná uhodli, každá metoda detekce má své výhody. To je důvod, proč nejlepší nástroje často používají kombinaci obou pro nejlepší ochranu.

Dva typy systémů detekce narušení

Stejně jako existují různé metody detekceexistují také dva hlavní typy systémů detekce narušení. Liší se většinou v místě, kde se provádí detekce narušení, buď na úrovni hostitele, nebo na úrovni sítě. I zde má každá své výhody a nejlepším řešením - nebo nejbezpečnějším - je možná použití obou.

Host Intrusion Detection Systems (HIDS)

První typ systému detekce narušenífunguje na hostitelské úrovni. Může například zkontrolovat různé protokolové soubory, zda neobsahují známky podezřelé činnosti. Může také fungovat kontrolou neoprávněných změn důležitých konfiguračních souborů. To by dělali HIDS na bázi anomálií. Na druhé straně by systémy založené na podpisech hledaly stejné protokolové a konfigurační soubory, ale hledaly by specifické známé vzory vniknutí. Například může být známo, že konkrétní způsob vniknutí funguje přidáním určitého řetězce do specifického konfiguračního souboru, který by IDS na základě podpisu detekoval.

Jak jste si mohli představit, HIDS jsou nainstaloványpřímo na zařízení, které mají chránit, takže je budete muset nainstalovat do všech svých počítačů. většina systémů však má centralizovanou konzolu, kde můžete ovládat každou instanci aplikace.

Systémy detekce narušení sítě (NIDS)

Systémy detekce narušení sítě nebo NIDS,Pracujte na hranici vaší sítě a vynucujte detekci. Používají podobné metody jako systémy detekce narušení hostitele. Samozřejmě místo toho, aby hledali protokolové a konfigurační soubory, vypadají jako síťový provoz, jako jsou požadavky na připojení. Je známo, že některé metody vniknutí zneužívají zranitelnosti zasíláním hostitelů záměrně nesprávně formátované pakety, díky čemuž reagují určitým způsobem. Systémy detekce narušení sítě by je mohly snadno detekovat.

Někteří by argumentovali, že NIDS jsou lepší než HIDSprotože detekují útoky ještě předtím, než se dostanou k vašim počítačům. Jsou také lepší, protože nevyžadují nic, co by mělo být na každém počítači nainstalováno, aby byly účinně chráněny. Na druhou stranu poskytují malou ochranu před útoky zasvěcených osob, které bohužel nejsou vůbec neobvyklé. To je další případ, kdy nejlepší ochrana pochází z kombinace obou typů nástrojů.

Prevence detekce narušení Vs

Ve hře jsou dva různé žánry nástrojůsvět ochrany proti narušení: systémy detekce narušení a systémy prevence narušení. I když slouží jinému účelu, mezi těmito dvěma nástroji se často překrývají. Jak jeho název napovídá, detekce narušení detekuje pokusy o narušení a podezřelé aktivity obecně. Pokud tak učiní, obvykle spustí nějaký druh poplachu nebo oznámení. Je tedy na správci, aby podnikl nezbytné kroky k zastavení nebo blokování tohoto pokusu.

Na druhé straně systémy prevence narušenípracovat na zastavení narušení úplně. Většina systémů prevence narušení bude zahrnovat detekční komponentu, která při každém zjištění pokusů o narušení spustí nějakou akci. Prevence vniknutí však může být také pasivní. Tento termín lze použít k označení všech kroků, které jsou zavedeny k zabránění vniknutí. Můžeme myslet na opatření, jako je například tvrdnutí hesla.

Nejlepší bezplatné nástroje pro detekci narušení

Systémy detekce narušení mohou být drahé,velmi drahý. Naštěstí existuje několik bezplatných alternativ. Prohledali jsme na internetu některé z nejlepších softwarových nástrojů pro detekci narušení. Zjistili jsme několik a chystáme se krátce zkontrolovat těch deset nejlepších, které jsme našli.

1. OSSEC

OSSEC, což je zkratka pro Open Source Security, jezdaleka přední otevřený zdrojový detekční systém hostitele. OSSEC vlastní Trend Micro, jedno z předních jmen v oblasti IT bezpečnosti. Software, pokud je nainstalován na operačních systémech podobných Unixu, se primárně zaměřuje na protokolové a konfigurační soubory. Vytváří kontrolní součty důležitých souborů a pravidelně je ověřuje a upozorní vás, pokud se stane něco zvláštního. Bude také sledovat a zachytávat všechny liché pokusy o získání přístupu root. Ve Windows také systém dohlíží na neoprávněné úpravy registru.

Snímek řídicího panelu OSSEC

OSSEC jako systém detekce narušení hostiteleje třeba nainstalovat do každého počítače, který chcete chránit. Pro snadnější správu však sloučí informace z každého chráněného počítače do jediné konzole. Software běží pouze na systémech Unix-Like, ale agent je k dispozici pro ochranu hostitelů Windows. Když systém něco zjistí, na konzole se zobrazí výstraha a oznámení se odešlou e-mailem.

2. Snort

Stejně jako OSSEC byl nejlepší open-source HIDS,Snort je přední NIDS s otevřeným zdrojovým kódem. Snort je ve skutečnosti víc než nástroj detekce narušení. Je to také čtečka paketů a záznamník paketů. Nyní nás však zajímá funkce detekce narušení Snort. Podobně jako firewall je Snort nakonfigurován podle pravidel. Základní pravidla si můžete stáhnout z webu Snort a přizpůsobit vašim konkrétním potřebám. Můžete se také přihlásit k odběru pravidel Snort, abyste zajistili, že budete vždy informováni o nejnovějších, která se budou vyvíjet s tím, jak budou identifikovány nové hrozby.

Snort IDS Console ve Windows

Základní pravidla Snort mohou detekovat širokou škáluo událostech, jako jsou prověřování tajného portu, útoky přetečení vyrovnávací paměti, útoky CGI, sondy SMB a otisky OS. To, co vaše instalace Snort detekuje, závisí pouze na tom, jaká pravidla jste nainstalovali. Některá ze základních nabízených pravidel jsou založena na podpisech, zatímco jiná jsou založena na anomáliích. Použití Snort vám dá to nejlepší z obou světů

3. Suricata

Suricata se inzeruje jako vniknutídetekční a preventivní systém a jako kompletní ekosystém monitorování bezpečnosti sítě. Jednou z nejlepších výhod tohoto nástroje oproti Snortovi je, že funguje až po aplikační vrstvu. To umožňuje, aby nástroj detekoval hrozby, které by mohly být bez povšimnutí v jiných nástrojích, rozdělením na několik paketů.

Snímek Suricata

Suricata však na aplikaci nefungujevrstva. Bude také sledovat protokol nižší úrovně, jako jsou TLS, ICMP, TCP a UDP. Nástroj také rozumí protokolům jako HTTP, FTP nebo SMB a dokáže detekovat pokusy o narušení skryté v jinak normálních požadavcích. K dispozici je také možnost extrakce souborů, která správcům umožňuje prohlížet podezřelé soubory samy.

Architektura je Suricata velmi dobře vyrobená abude distribuovat své pracovní zatížení do několika procesorových jader a vláken pro nejlepší výkon. Může dokonce přenést část svého zpracování na grafickou kartu. To je skvělá funkce na serverech, protože jejich grafická karta většinou běží na volnoběh.

4. Bro Network Security Monitor

Další na našem seznamu je produkt zvaný BroNetwork Security Monitor, další bezplatný systém detekce narušení sítě. Bro pracuje ve dvou fázích: protokolování provozu a analýza. Stejně jako Suricata pracuje Bro v aplikační vrstvě, což umožňuje lepší detekci pokusů o narušení. Vypadá to, že všechno přichází ve dvojicích s Bro a jeho analytický modul se skládá ze dvou prvků. První je mechanismus událostí, který sleduje spouštěcí události, jako jsou například připojení TCP nebo požadavky HTTP. Události jsou pak dále analyzovány pomocí skriptů politik, které rozhodují, zda spustit výstrahu a zahájit akci, čímž se Bro kromě prevence detekčního systému stává prevencí proti narušení.

Bro vám umožní sledovat HTTP, DNS a FTPaktivitu a monitorují provoz SNMP. To je dobrá věc, protože zatímco SNMP se často používá pro monitorování sítě, nejedná se o bezpečný protokol. Bro také umožňuje sledovat změny konfigurace zařízení a SNMP Trapy. Bro lze nainstalovat na Unix, Linux a OS X, ale není k dispozici pro Windows, možná jeho hlavní nevýhoda.

5. Otevřete WIPS NG

Open WIPS NG se na našem seznamu dostal hlavně proto, žeje to jediný, který se konkrétně zaměřuje na bezdrátové sítě. Open WIPS NG - kde WIPS je zkratka pro Wireless Intrusion Prevention System - je nástroj s otevřeným zdrojovým kódem, který obsahuje tři hlavní komponenty. Zaprvé je zde senzor, který je němým zařízením, které pouze zachycuje bezdrátový provoz a odešle jej na analýzu na server. Další je server. Ten agreguje data ze všech senzorů, analyzuje shromážděná data a reaguje na útoky. Je to srdce systému. V neposlední řadě je součástí rozhraní, které je GUI, které používáte ke správě serveru a zobrazování informací o hrozbách ve vaší bezdrátové síti.

Ne každému se však Open WIPS NG líbí. Produkt, pokud od stejného vývojáře jako Aircrack NG, bezdrátový paket sniffer a cracker hesel, který je součástí každé sady nástrojů hackerů WiFi. Na druhou stranu, vzhledem k jeho pozadí, můžeme předpokládat, že vývojář ví něco o zabezpečení Wi-Fi.

6. Samhain

Samhain je bezplatný systém detekce narušení hostitelekterý poskytuje kontrolu integrity souborů a monitorování / analýzu souborů protokolu. Kromě toho produkt také provádí detekci rootkitů, monitorování portu, detekci nepoctivých spustitelných souborů SUID a skrytých procesů. Tento nástroj byl navržen pro monitorování více systémů s různými operačními systémy s centralizovaným protokolováním a údržbou. Samhain však lze také použít jako samostatnou aplikaci na jednom počítači. Samhain může běžet na systémech POSIX, jako je Unix Linux nebo OS X. Může také běžet na Windows pod Cygwinem, i když v této konfiguraci byl testován pouze monitorovací agent a ne server.

Screenshot Samhain IDS

Jednou z nejunikátnějších funkcí Samhainu je jehotajný režim, který umožňuje spuštění, aniž by byl detekován případnými útočníky. Příliš často vetřelci zabíjejí detekční procesy, které rozpoznají, což jim umožňuje bez povšimnutí. Samhain používá steganografii ke skrytí svých procesů před ostatními. Chrání také své centrální protokolové soubory a zálohy konfigurace pomocí klíče PGP, aby se zabránilo neoprávněné manipulaci.

7. Fail2Ban

Fail2Ban je zajímavý vstup hostitele zdarmadetekční systém, který má také některé funkce prevence. Tento nástroj funguje tak, že sleduje soubory protokolu pro podezřelé události, jako jsou neúspěšné pokusy o přihlášení, zneužívá hledání atd. Když zjistí něco podezřelého, automaticky aktualizuje pravidla místní brány firewall, aby zablokoval zdrojovou adresu IP škodlivého chování. Toto je výchozí akce nástroje, ale lze nakonfigurovat jakoukoli jinou libovolnou akci - například zasílání e-mailových oznámení.

Systém je dodáván s různými předdefinovanými filtrypro některé z nejběžnějších služeb, jako jsou Apache, Courrier, SSH, FTP, Postfix a mnoho dalších. Prevence se provádí úpravou tabulek brány firewall hostitele. Tento nástroj může pracovat s Netfilterem, IPtables nebo tabulkou hosts.deny TCP Wrapper. Každý filtr může být spojen s jednou nebo více akcemi. Filtry a akce se společně označují jako vězení.

8. AIDE

AIDE je zkratka pro Advanced IntrusionDetekční prostředí. Bezplatný systém detekce narušení hostitele se zaměřuje hlavně na detekci rootkitů a porovnání podpisů souborů. Když původně nainstalujete AIDE, zkompiluje databázi administrátorských dat z konfiguračních souborů systému. Toto je pak použito jako základní linie, se kterou lze jakoukoli změnu porovnat a případně vrátit zpět.

AIDE používá podpis i anomálieanalýza, která je spuštěna na vyžádání a není naplánovaná nebo nepřetržitě spuštěna. To je vlastně hlavní nevýhoda tohoto produktu. AIDE je však nástroj příkazového řádku a je možné vytvořit úlohu CRON, aby byla spuštěna v pravidelných intervalech. A pokud je spouštíte velmi často - například každou minutu - dostanete data téměř v reálném čase. Ve svém jádru není AIDE ničím jiným než nástrojem pro porovnávání dat. Externí skripty musí být vytvořeny, aby se z něj stal skutečný HIDS.

9. Bezpečnostní cibule

Bezpečnostní cibule je zajímavá zvířata, která dokážeušetřit spoustu času. Nejedná se pouze o systém detekce nebo prevence narušení. Security Onion je kompletní distribuce Linuxu se zaměřením na detekci narušení, monitorování podnikové bezpečnosti a správu protokolů. Obsahuje mnoho nástrojů, z nichž některé jsme právě zkontrolovali. Například Security Onion má Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner a další. To vše je dodáváno s snadno použitelným průvodcem nastavením, který vám během několika minut umožní ochranu vaší organizace. Můžete si myslet na Security Onion jako na švýcarský armádní nůž podnikového IT zabezpečení.

Průvodce nastavením zabezpečení cibule

Nejzajímavější věcí na tomto nástroji ježe vše dostanete jednoduchou instalací. A získáte nástroje pro detekci narušení sítě i hostitele. Existují nástroje, které používají přístup založený na podpisu, a některé, které jsou založeny na anomáliích. Distribuce také obsahuje kombinaci textových a GUI nástrojů. Existuje opravdu vynikající kombinace všeho. Nevýhodou je samozřejmě to, že dostanete tolik, že to vše může chvíli trvat. Nemusíte však používat všechny nástroje. Můžete si vybrat pouze ty, které dáváte přednost.

10. Sagan

Sagan je vlastně spíš systém pro analýzu protokolůnež skutečné IDS, ale má některé funkce podobné IDS, o kterých jsme si mysleli, že je jejich zařazení na náš seznam. Tento nástroj může sledovat místní protokoly systému, kde je nainstalován, ale může také interagovat s jinými nástroji. Mohlo by to například analyzovat Snortovy deníky a účinně přidávat některé funkce NIDS k tomu, co je v podstatě HIDS. A nebude to jen komunikovat se Snortem. Může interagovat také se Suricatou a je kompatibilní s několika nástroji pro vytváření pravidel, jako je Oinkmaster nebo Pulled Pork.

Sagan Screenshot

Sagan má také možnosti provádění skriptůcož z něj činí hrubý systém prevence narušení. Tento nástroj pravděpodobně nebude použit jako jediná obrana proti vniknutí, ale bude to skvělá součást systému, který dokáže začlenit mnoho nástrojů korelací událostí z různých zdrojů.

Závěr

Systémy detekce narušení jsou jen jedním zmnoho dostupných nástrojů, které pomáhají správcům sítí a systémů zajistit optimální provoz jejich prostředí. Všechny zde diskutované nástroje jsou vynikající, ale každý z nich má trochu jiný účel. Výběr, který si vyberete, bude do značné míry záviset na osobních preferencích a konkrétních potřebách.

Přečtěte si také

Jak zakázat detekci a rozpoznávání obličeje na fotografiích ve Windows 10
Motion Monitor - Proměňte webovou kameru v bezpečnostní kameru pro detekci pohybu
Monitor hrozeb SolarWinds - REVIEW 2019 (pokročilá detekce a monitorování hrozeb)
Protokol SolarWinds Log & Event Manager vs Splunk - srovnávací přehled
Trojské koně pro vzdálený přístup (RAT) - co jsou a jak je chránit před nimi?
6 Nejlepší systémy detekce narušení na hostiteli (HIDS) v roce 2019
7 nejlepších systémů prevence narušení (IPS) pro rok 2019
Síťové systémy detekce narušení: 5 nejlepších nástrojů NIDS k použití
6 nejlepších bezpečnostních informací a nástrojů pro správu událostí (SIEM), které se vyplatí vyplatit v roce 2019
14 Nejlepší nástroje pro zabezpečení sítě pro bezpečnější prostředí v roce 2019
Chcete-li, aby byl váš telefon odemčený v kapse, použijte inteligentní zámek detekce na těle
Přidat Ok Google Detection na všechny obrazovky v zařízení [No Root]

Komentáře