- - Top 10 værktøjer til detektion af indtrængen: Dine bedste gratis muligheder for 2019

Top 10 værktøjer til påvisning af indtrængen: Dine bedste gratis muligheder for 2019

Sikkerhed er et varmt emne, og det har været for ganskeet stykke tid. For mange år siden var virusser de eneste bekymringer hos systemadministratorer. Vira var så almindelige, at det førte vejen for et forbløffende udvalg af virusforebyggelsesværktøjer. I dag tænker næppe nogen på at køre en ubeskyttet computer. Imidlertid er computerintrusion eller uautoriseret adgang til dine data fra ondsindede brugere "trussel du jour". Netværk er blevet målet for adskillige dårligt tilsigtede hackere, som vil gå meget langt for at få adgang til dine data. Dit bedste forsvar mod disse typer trusler er et system til detektion eller forebyggelse af indtrængen. I dag gennemgår vi ti af de bedste gratis indtrædelsesdetekteringsværktøjer.

Før vi begynder, diskuterer vi førstforskellige indtrædelsesdetektionsmetoder, der er i brug. Ligesom der er mange måder, hvor indtrængende kan komme ind på dit netværk, er der lige så mange måder - måske endnu flere - måder at registrere dem på. Derefter diskuterer vi de to hovedkategorier for indtrængningsdetektionssystem: netværksindtrængningsdetektion og værtindtrusionsdetektion. Inden vi fortsætter, forklarer vi derefter forskellene mellem intrusionsdetektion og forebyggelse af indtrængen. Og til sidst vil vi give dig en kort gennemgang af ti af de bedste gratis indtrædelsesdetekteringsværktøjer, vi kunne finde.

Metoder til påvisning af indtrængen

Der er dybest set to forskellige metoder, der bruges tilopdage indtrængen forsøg. Det kan være signaturbaseret eller anomali-baseret. Lad os se, hvordan de adskiller sig. Signaturbaseret intrusionsdetektion fungerer ved at analysere data for specifikke mønstre, der er forbundet med indtrængsforsøg. Det ligner traditionelle antivirussystemer, der er afhængige af virusdefinitioner. Disse systemer vil sammenligne data med indtrængesignaturmønstre for at identificere forsøg. Deres største ulempe er, at de ikke fungerer, før den korrekte signatur er uploadet til softwaren, som typisk sker, efter at et bestemt antal maskiner er blevet angrebet.

Anomali-baseret intrusionsdetektion tilvejebringer enbedre beskyttelse mod nul-dages angreb, dem, der sker, før en software til intrusionsdetektering har haft en chance for at erhverve den korrekte signaturfil. I stedet for at prøve at genkende kendte indtrængende mønstre, vil disse i stedet kigge efter anomalier. F.eks. Opdagede de, at nogen forsøgte at få adgang til et system med en forkert adgangskode flere gange, et almindeligt tegn på et brute force-angreb. Som du måske har gætt, har hver detektionsmetode sine fordele. Derfor bruger de bedste værktøjer ofte en kombination af begge til den bedste beskyttelse.

To typer intrusionsdetektionssystemer

Ligesom der er forskellige opdagelsesmetoderder er også to hovedtyper af systemer til detektion af indtrængen. De adskiller sig for det meste på det sted, hvor intrusionsdetekteringen udføres, enten på værtsniveau eller på netværksniveau. Også her har hver sine fordele, og den bedste løsning - eller den mest sikre - er muligvis at bruge begge dele.

Værtsintrusion-detektionssystemer (HIDS)

Den første type intrusionsdetekteringssystemfungerer på værtsniveau. Det kunne f.eks. Kontrollere forskellige logfiler for ethvert tegn på mistænksom aktivitet. Det kan også fungere ved at kontrollere vigtige konfigurationsfiler for uautoriserede ændringer. Dette er, hvad anomaliebaseret HIDS ville gøre. På den anden side ser signaturbaserede systemer på de samme log- og konfigurationsfiler, men ville være på udkig efter specifikke kendte indtrængende mønstre. F.eks. Kan det være kendt, at en bestemt indtrængningsmetode fungerer ved at tilføje en bestemt streng til en bestemt konfigurationsfil, som den signaturbaserede IDS vil detektere.

Som du kunne have forestillet dig, er HIDS installeretdirekte på den enhed, de er beregnet til at beskytte, så du bliver nødt til at installere dem på alle dine computere. De fleste systemer har dog en centraliseret konsol, hvor du kan kontrollere hver enkelt forekomst af applikationen.

Netværksintrusion-detektionssystemer (NIDS)

Netværksintrusion-detektionssystemer, eller NIDS,arbejde ved dit netværks grænse for at håndhæve detektion. De bruger lignende metoder som værtsintrusion-detektionssystemer. I stedet for at se er log- og konfigurationsfiler, ser de naturligvis ud i netværkstrafik såsom forbindelsesanmodninger. Det har været kendt, at nogle indtrængningsmetoder udnytter sårbarheder ved at sende målrettet misdannede pakker til værter, hvilket får dem til at reagere på en bestemt måde. Netværksintrusion-detektionssystemer kunne let registrere disse.

Nogle vil hævde, at NIDS er bedre end HIDSda de opdager angreb, før de kommer til dine computere. De er også bedre, fordi de ikke kræver, at der installeres noget på hver computer for effektivt at beskytte dem. På den anden side yder de kun lidt beskyttelse mod insiderangreb, som desværre slet ikke er ualmindelige. Dette er et andet tilfælde, hvor den bedste beskyttelse kommer fra at bruge en kombination af begge typer værktøjer.

Intrusion Detection Vs Prevention

Der er to forskellige genrer af værktøjer iIntrusionsbeskyttelsesverden: Intrusionsdetekteringssystemer og indtrængenforebyggelsessystemer. Selvom de tjener et andet formål, er der ofte en vis overlapning mellem de to typer værktøjer. Som navnet antyder, vil intrusionsdetekteringen detektere indtrængende forsøg og mistænkelige aktiviteter generelt. Når det sker, udløser det typisk en slags alarm eller anmeldelse. Det er derefter op til administratoren at tage de nødvendige skridt for at stoppe eller blokere dette forsøg.

Systemer til forebyggelse af indtrængen på den anden sidearbejde med at forhindre indtrængen i at ske helt. De fleste indtrængende forebyggelsessystemer vil omfatte en detektionskomponent, der udløser en vis handling, hver gang indtrædsforsøg opdages. Men indtrængenforebyggelse kan også være passiv. Udtrykket kan bruges til at henvise til alle trin, der er indført for at forhindre indtrængen. Vi kan f.eks. Tænke på foranstaltninger som hærdning af kodeord.

De bedste gratis indtrædelsesdetektionsværktøjer

Intrusionsdetekteringssystemer kan være dyre,meget dyr. Heldigvis er der ganske mange gratis alternativer derude. vi har søgt på Internettet efter nogle af de bedste software til værktøj til detektion af indtrængen. Vi fandt ganske mange, og vi skal kort gennemgå de bedste ti, vi kunne finde.

1. OSSEC

OSSEC, der står for Open Source Security, erdet langt det førende open source-hostintrusionsdetekteringssystem. OSSEC ejes af Trend Micro, et af de førende navne inden for it-sikkerhed. Softwaren, når den er installeret på Unix-lignende operativsystemer, fokuserer primært på log- og konfigurationsfiler. Det opretter kontrolsummer af vigtige filer og validerer dem med jævne mellemrum og advarer dig, hvis der sker noget underligt. Det vil også overvåge og fange eventuelle ulige forsøg på at få rodadgang. På Windows holder systemet også øje med uautoriserede registreringsdatabaseændringer.

OSSEC Dashboard-skærmbillede

OSSEC, der er et værtsintrusion-detektionssystemskal installeres på hver computer, du vil beskytte. Det vil dog konsolidere information fra hver beskyttet computer i en enkelt konsol for lettere administration. Softwaren kører kun på Unix-lignende systemer, men en agent er tilgængelig til at beskytte Windows-værter. Når systemet registrerer noget, vises en alarm på konsollen, og meddelelser sendes via e-mail.

2. Snort

Ligesom OSSEC var HIDs øverste open source,Snort er den førende open source NIDS. Snort er faktisk mere end et indtrængende detekteringsværktøj. Det er også en pakkesniffer og en pakkelogger. Men det, vi er interesseret i for nu, er Snorts funktioner til detektion af indtrængen. Ligesom en firewall konfigureres Snort ved hjælp af regler. Basisregler kan downloades fra Snort-webstedet og tilpasses til dine specifikke behov. Du kan også abonnere på Snort-regler for at sikre, at du altid får de nyeste, når de udvikler sig, når nye trusler identificeres.

Snort IDS-konsol på Windows

De grundlæggende snortregler kan registrere en lang rækkeaf begivenheder som stealth-port-scanninger, bufferoverløbsangreb, CGI-angreb, SMB-sonder og OS-fingeraftryk. Hvad din Snort-installation registrerer afhænger udelukkende af, hvilke regler du har installeret. Nogle af de tilbudte grundlæggende regler er signaturbaserede, mens andre er afvigelsesbaserede. Brug af Snort kan give dig det bedste fra begge verdener

3. Suricata

Suricata reklamerer for sig selv som en indtrængendetekterings- og forebyggelsessystem og som et komplet økosystem til overvågning af netværkssikkerhed. En af dette værktøjs bedste fordel i forhold til Snort er, at det fungerer helt op til applikationslaget. Dette gør det muligt for værktøjet at opdage trusler, der kan blive bemærket i andre værktøjer ved at blive delt over flere pakker.

Suricata-skærmbillede

Men Suricata fungerer ikke kun i applikationenlag. Det vil også overvåge protokoller på lavere niveau såsom TLS, ICMP, TCP og UDP. Værktøjet forstår også protokoller som HTTP, FTP eller SMB og kan opdage indbrudsforsøg skjult i ellers normale anmodninger. Der er også en filekstraktionsfunktion for at give administratorer mulighed for selv at undersøge mistænkelige filer.

Arkitekturmæssigt er Suricata meget godt lavet ogdet vil distribuere sin arbejdsbelastning over flere processorkerner og tråde for den bedste ydelse. Det kan endda download noget af sin behandling til grafikkortet. Dette er en fantastisk funktion på servere, da deres grafikkort det for det meste går på tomgang.

4. Bro Network Security Monitor

Næste på vores liste er et produkt kaldet BroNetwork Security Monitor, et andet gratis netværksindtrædelsesdetekteringssystem. Bro opererer i to faser: trafikregistrering og analyse. Ligesom Suricata fungerer Bro på applikationslaget, hvilket giver mulighed for bedre påvisning af splitindbrudsforsøg. Det ser ud til, at alt kommer i par med Bro, og dets analysemodul består af to elementer. Den første er begivenhedsmotoren, der sporer udløsende begivenheder såsom netto TCP-forbindelser eller HTTP-anmodninger. Begivenhederne analyseres derefter yderligere med politiske manuskripter, der beslutter, hvorvidt de skal udløse en alarm eller starte en handling, hvilket gør Bro til en forebyggelse af indtrængen ud over et detektionssystem.

Bro giver dig mulighed for at spore HTTP, DNS og FTPaktivitet samt overvåge SNMP-trafik. Dette er en god ting, fordi selvom SNMP ofte bruges til netværksovervågning, er det ikke en sikker protokol. Bro giver dig også mulighed for at se enhedskonfigurationsændringer og SNMP-fælder. Bro kan installeres på Unix, Linux og OS X, men det er ikke tilgængeligt for Windows, måske dets største ulempe.

5. Åbn WIPS NG

Åben WIPS NG blev det på vores liste hovedsageligt fordidet er den eneste, der specifikt er målrettet mod trådløse netværk. Open WIPS NG - hvor WIPS står for Wireless Intrusion Prevention System - er et open source værktøj, der består af tre hovedkomponenter. For det første er der sensoren, som er en dum enhed, der kun fanger trådløs trafik og sender den til serveren til analyse. Dernæst er serveren. Denne samler data fra alle sensorer, analyserer de indsamlede data og reagerer på angreb. Det er hjertet i systemet. Sidst men ikke mindst er interfacekomponenten, som er den GUI, du bruger til at administrere serveren og vise oplysninger om trusler på dit trådløse netværk.

Ikke alle kan dog lide Open WIPS NG. Produktet er fra den samme udvikler som Aircrack NG en trådløs pakkesniffer og adgangskodecracker, der er en del af hver WiFi-hacker's værktøjssæt. På den anden side kan vi på baggrund af hans baggrund antage, at udvikleren ved ganske lidt om Wi-Fi-sikkerhed.

6. Samhain

Samhain er et gratis host-intrusionsdetekteringssystemsom giver filintegritetskontrol og logfilovervågning / -analyse. Derudover udfører produktet også rootkit-detektion, portovervågning, detektion af slyngelige SUID-eksekverbare computere og skjulte processer. Dette værktøj er designet til at overvåge flere systemer med forskellige operativsystemer med centraliseret logning og vedligeholdelse. Samhain kan dog også bruges som et selvstændigt program på en enkelt computer. Samhain kan køre på POSIX-systemer som Unix Linux eller OS X. Det kan også køre på Windows under Cygwin, selvom kun overvågningsagenten og ikke serveren er blevet testet i denne konfiguration.

Samhain IDS-skærmbillede

En af Samhains mest unikke træk er densstealth mode, som gør det muligt for det at køre uden at blive opdaget af eventuelle angribere. Alt for ofte dræber indtrængende detektionsprocesser, de genkender, hvilket tillader dem at gå ubemærket hen. Samhain bruger steganography til at skjule sine processer for andre. Det beskytter også sine centrale logfiler og konfigurationssikkerhedskopier med en PGP-nøgle for at forhindre manipulation.

7. Fail2Ban

Fail2Ban er en interessant gratis værtindtrængendetektionssystem, der også har nogle forebyggelsesfunktioner. Dette værktøj fungerer ved at overvåge logfiler for mistænkelige begivenheder såsom mislykkede loginforsøg, udnytter søgninger osv. Når det registrerer noget mistænkeligt, opdateres det automatisk de lokale firewall-regler for at blokere IP-kilden til den ondsindede opførsel. Dette er værktøjets standardhandling, men enhver anden vilkårlig handling - såsom at sende e-mail-meddelelser - kan konfigureres.

Systemet leveres med forskellige forudbyggede filtrefor nogle af de mest almindelige tjenester såsom Apache, Courrier, SSH, FTP, Postfix og mange flere. Forebyggelse udføres ved at ændre værtens firewall-tabeller. Værktøjet kan arbejde med Netfilter, IPtables eller hosts.deny-tabellen i TCP Wrapper. Hvert filter kan tilknyttes en eller mange handlinger. Sammen kaldes filtre og handlinger et fængsel.

8. AIDE

AIDE er et forkortelse for Advanced IntrusionRegistreringsmiljø. Det gratis host-intrusionsdetekteringssystem fokuserer hovedsageligt på rodkit-detektion og sammenligning af filsignaturer. Når du oprindeligt installerer AIDE, vil den sammenstille en database med administratordata fra systemets konfigurationsfiler. Dette bruges derefter som en baseline, mod hvilken enhver ændring kan sammenlignes og eventuelt rulles tilbage, hvis nødvendigt.

AIDE bruger både signaturbaseret og anomali-baseretanalyse, der køres on-demand og ikke planlagt eller løbende kører. Dette er faktisk dette produkts største ulempe. AIDE er imidlertid et kommandolinjeværktøj, og et CRON-job kan oprettes for at køre det med regelmæssige intervaller. Og hvis du kører det meget ofte - f.eks. Hvert minut eller deromkring - får du kvasi-real-time data. I sin kerne er AIDE intet andet end et værktøj til sammenligning af data. Eksterne manuskripter skal oprettes for at gøre det til et ægte HIDS.

9. Sikkerhedsløg

Sikkerhedsløg er et interessant dyr, der kansparer dig meget tid. Dette er ikke kun et system til detektion eller forebyggelse af indtrængen. Security Onion er en komplet Linux-distribution med fokus på intrusionsdetektering, enterprise security monitoring og log management. Det inkluderer mange værktøjer, hvoraf nogle netop har vi gennemgået. For eksempel har Security Onion Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner og mere. Alt dette er samlet med en brugervenlig installationsguide, så du kan beskytte din organisation inden for få minutter. Du kan tænke på Security Onion som den schweiziske hærs kniv af virksomhedens IT-sikkerhed.

Guiden til opsætning af sikkerhedsløg

Det mest interessante ved dette værktøj erat du får alt i en enkelt installation. Og du får både værktøjer til opdagelse af netværks- og værtsintrusioner. Der er værktøjer, der bruger en signaturbaseret tilgang, og nogle er afvigelsesbaserede. Distributionen indeholder også en kombination af tekstbaserede og GUI-værktøjer. Der er virkelig en fremragende blanding af alt. Ulempen er selvfølgelig, at du får så meget, at det kan tage et stykke tid at konfigurere det hele. Men du behøver ikke at bruge alle værktøjer. Du kan kun vælge dem, du foretrækker.

10. Sagan

Sagan er faktisk mere et loganalysesystemend et ægte IDS, men det har nogle IDS-lignende funktioner, som vi mente berettigede, at det blev medtaget på vores liste. Dette værktøj kan se de lokale logfiler for systemet, hvor det er installeret, men det kan også interagere med andre værktøjer. Det kunne f.eks. Analysere Snorts logfiler og effektivt tilføje nogle NIDS-funktionaliteter til det, der i det væsentlige er et HIDS. Og det interagerer ikke bare med Snort. Det kan også interagere med Suricata, og det er kompatibelt med flere regelbygningsværktøjer som Oinkmaster eller Pulled Pork.

Sagan-skærmbillede

Sagan har også scriptudførelsesfunktionerhvilket gør det til et system til forebyggelse af grov indtrængen. Dette værktøj bruges muligvis ikke som dit eneste forsvar mod indtrængen, men det vil være en fantastisk komponent i et system, der kan inkorporere mange værktøjer ved at korrelere begivenheder fra forskellige kilder.

Konklusion

Intrusionsdetekteringssystemer er kun et afmange tilgængelige værktøjer til at hjælpe netværks- og systemadministratorer med at sikre optimal drift af deres miljø. Ethvert af de værktøjer, der er diskuteret her, er fremragende, men hver har et lidt andet formål. Den, du vælger, vil i vid udstrækning afhænge af personlig præference og specifikke behov.

Læs også

Sådan deaktiveres ansigtsregistrering og genkendelse på fotos i Windows 10
Bevægelsesovervågning - Drej webcam til bevægelsesregistreringskamera
SolarWinds Threat Monitor - Gennemgang 2019 (Advanced Threat Detection and Monitoring)
SolarWinds Log & Event Manager vs Splunk - En sammenlignende anmeldelse
Trojanere med fjernadgang (RATs) - Hvad er de, og hvordan man beskytter mod dem?
6 Bedste værtbaserede intrusionsdetektionssystemer (HIDS) i 2019
7 Bedste Intrusion Prevention Systems (IPS) for 2019
Netværksbaserede intrusionsdetekteringssystemer: 5 bedste NIDS-værktøjer til brug
6 bedste sikkerhedsinformation og begivenhedsstyring (SIEM) værktøjer, der er værd at tjekke ud i 2019
14 bedste netværkssikkerhedsværktøjer til sikrere miljøer i 2019
Brug smart-lock-detektion på kroppen til at holde din telefon ulåst i din lomme
Føj Ok Google-detektion til alle skærme på din enhed [Ingen rod]

Kommentarer