- - Netværksbaserede intrusionsdetekteringssystemer: 5 bedste NIDS-værktøjer til brug

Netværksbaserede intrusionsdetekteringssystemer: 5 bedste NIDS-værktøjer til brug

Det ser ud til, at alle i disse dage er bekymredemed sikkerhed. Det giver mening, når man overvejer vigtigheden af ​​cyberkriminalitet. Organisationer er målrettet af hackere, der prøver at stjæle deres data eller forårsage dem anden skade. En måde du kan beskytte dit IT-miljø mod disse angreb er ved brug af de rigtige værktøjer og systemer. Ofte er den første forsvarslinje ved netværkets omkreds i form af netværksbaserede intrusionsdetekteringssystemer eller NIDS. Disse systemer analyserer trafik, der kommer på dinnetværk fra internettet for at registrere enhver mistænksom aktivitet og advare dig straks. NIDS er så populære, og så mange af dem er tilgængelige end at finde den bedste til dine behov kan være en udfordrende indsats. At hjælpe dig, vi har samlet denne liste over nogle af de bedste netværksbaserede intrusionsdetekteringssystemer.


Vi begynder vores rejse med at se påforskellige typer intrusionsdetektionssystem. I det væsentlige er der to typer: netværksbaseret og værtbaseret. Vi forklarer deres forskelle. Intrusionsdetekteringssystemer adskiller sig også på den detekteringsmetode, de bruger. Nogle af dem bruger en signaturbaseret tilgang, mens andre er afhængige af adfærdsanalyse. De bedste værktøjer bruger en kombination af begge detektionsmetoder. Markedet er mættet med både intrusionsdetekteringssystemer og indbrudssikringssystemer. Vi undersøger, hvordan de adskiller sig, og hvordan de er ens, da det er vigtigt at forstå sondringen. Endelig gennemgår vi de bedste netværksbaserede indbrydelsesdetekteringssystemer og præsenterer deres vigtigste funktioner.

Netværk - vs vært-baseret indtrædsdetektion

Intrusion Detection Systems er en af ​​totyper. De deler begge et identisk mål - hurtigt at opdage indbrudsforsøg eller mistænkelige aktiviteter, der potentielt kan føre til indtrængenforsøg - men de adskiller sig i stedet for det håndhævelsespunkt, der refererer til, hvor detekteringen udføres. Hver type intrusionsdetekteringsværktøj har fordele og ulemper. Der er ingen reel konsensus om, hvilken der foretrækkes. Nogle sværger ved den ene type, mens andre kun vil stole på den anden. Begge har sandsynligvis ret. Den bedste løsning - eller den mest sikre - er sandsynligvis en, der kombinerer begge typer.

Netværksintrusion-detektionssystemer (NIDS)

Den første type intrusionsdetektionssystem erkaldet Network Intrusion Detection System eller NIDS. Disse systemer fungerer ved netværkets grænse for at håndhæve detektion. De aflytter og undersøger netværkstrafik, leder efter mistænkelige aktiviteter, der kan indikere et indbrudsforsøg og også på udkig efter kendte indtrængende mønstre. Indtrængende forsøger ofte at udnytte kendte sårbarheder i forskellige systemer ved for eksempel at sende misdannede pakker til værter og få dem til at reagere på en bestemt måde, der giver dem mulighed for at blive brudt. Et netværksintrusionsdetektionssystem registrerer sandsynligvis denne form for indtrængenforsøg.

Nogle hævder, at detektion af netværksintrusionSystemer er bedre end deres værtbaserede modstykke, da de kan registrere angreb, før de endda kommer til dine systemer. Nogle har også en tendens til at foretrække dem, fordi de ikke kræver installation af noget på hver vært for effektivt at beskytte dem. På den anden side yder de kun lidt beskyttelse mod insiderangreb, som desværre slet ikke er ualmindelige. For at blive opdaget, skal en angribers indtrængenforsøg gennemgå NIDS, som den sjældent gør, når den stammer indefra. Enhver teknologi har fordele og ulemper, og det er det specifikke tilfælde af indtrængende detektion, intet forhindrer dig i at bruge begge typer værktøjer til den ultimative beskyttelse.

Værtsintrusion-detektionssystemer (HIDS)

Host Intrusion Detection Systems (HIDS) fungererpå værtsniveau; du har måske gættet det fra deres navn. De overvåger for eksempel forskellige logfiler og tidsskrifter for tegn på mistænksom aktivitet. En anden måde, de kan registrere indtrængende forsøg på, er ved at kontrollere systemkonfigurationsfiler for uautoriserede ændringer. De kan også undersøge disse samme filer for specifikke kendte indtrængningsmønstre. For eksempel kan det være kendt, at en bestemt indtrængningsmetode fungerer ved at føje en bestemt parameter til en bestemt konfigurationsfil. Et godt værtsbaseret intrusionsdetekteringssystem ville fange det.

Selvom deres navn kunne få dig til at tro detalle HIDS er installeret direkte på den enhed, de er beregnet til at beskytte, det er ikke nødvendigvis tilfældet. Nogle skal installeres på alle dine computere, mens andre kun kræver installation af en lokal agent. Nogle gør endda alt deres arbejde eksternt uden nogen agent. Uanset hvordan de fungerer, har de fleste HIDS en centraliseret konsol, hvor du kan kontrollere alle forekomster af applikationen og se alle resultater.

Metoder til påvisning af indtrængen

Intrusionsdetekteringssystemer adskiller sig ikke kun frahåndhævelsespunktet, adskiller de sig også efter den metode, de bruger til at opdage indbrudsforsøg. Nogle er signaturbaserede, mens andre er anomali-baserede. De første fungerer ved at analysere data for specifikke mønstre, der er forbundet med indtrængenforsøg. Dette ligner traditionelle virusbeskyttelsessystemer, der er afhængige af virusdefinitioner. Signaturbaseret intrusionsdetektion er afhængig af intrusionssignaturer eller -mønstre. De sammenligner indfangne ​​data med indtrængesignaturer for at identificere indtrængende forsøg. Selvfølgelig fungerer de ikke, før den rigtige signatur er uploadet til softwaren, som undertiden kun kan ske, efter at et vist antal maskiner er blevet angrebet, og udgivere af indtrængesignaturer har haft tid til at offentliggøre nye opdateringspakker. Nogle leverandører er ret hurtige, mens andre kun kunne reagere dage senere. Dette er den primære ulempe ved denne detektionsmetode.

Anomali-baseret intrusionsdetektion giver bedrebeskyttelse mod nul-dages angreb, dem, der sker, før en software til intrusionsdetektering har haft en chance for at erhverve den korrekte signaturfil. De ser efter anomalier i stedet for at prøve at genkende kendte indtrængende mønstre. For eksempel vil en person, der forsøger at få adgang til et system med en forkert adgangskode flere gange i træk, udløse en alarm, da dette er et almindeligt tegn på et brute force-angreb. Disse systemer kan hurtigt registrere alle mistænkelige aktiviteter på netværket. Hver detekteringsmetode har fordele og ulemper, og ligesom med de to typer værktøjer er de bedste værktøjer sandsynligvis dem, der bruger en kombination af signatur og adfærdsanalyse.

Registrering eller forebyggelse?

Nogle mennesker har en tendens til at blive forvirrede mellemsystemer til forebyggelse af indtrængen og indtrængen. Mens de er tæt forbundet, er de ikke identiske, selvom der er en vis overlapning mellem funktionalitet mellem de to. Som navnet antyder, registrerer indtrængningsdetektionssystemer indtrængende forsøg og mistænkelige aktiviteter. Når de registrerer noget, udløser de typisk en eller anden form for alarm eller anmeldelse. Det er derefter op til administratorer at tage de nødvendige skridt til at stoppe eller blokere indtrængenforsøget.

Intrusion Prevention Systems (IPS) går et skridtvidere og kan forhindre indtrængen i at ske helt. Intrusionsforebyggelsessystemer inkluderer en detektionskomponent - som funktionelt er ækvivalent med et intrusionsdetektionssystem - der udløser en vis automatisk afhjælpende handling, når der påvises et indtrængenforsøg. Der kræves ingen menneskelig indgriben for at stoppe indbrudsforsøget. Forebyggelse af indtrængen kan også henvise til alt, hvad der gøres eller indføres som en måde at forhindre indtrængen. For eksempel kan adgangskodehærdning eller indtrængende lockout betragtes som foranstaltninger til forebyggelse af indtrængen.

De bedste værktøjer til detektion af netværksintrusion

Vi har søgt bedst på markedetNetværksbaserede intrusionsdetekteringssystemer. Vores liste indeholder en blanding af ægte værtsbaserede intrusionsdetekteringssystemer og anden software, der har en netværksbaseret indtrængningsdetekteringskomponent, eller som kan bruges til at detektere indtrængenforsøg. Hvert af vores anbefalede værktøjer kan hjælpe med at registrere indtrængende forsøg på dit netværk.

1. SolarWinds Threat Monitor - IT Ops Edition (GRATIS demo)

SolarWinds er et almindeligt navn inden fornetværksadministrationsværktøjer. Virksomheden har eksisteret i omkring 20 år og har bragt os nogle af de bedste netværks- og systemadministrationsværktøjer. Dets flagskibsprodukt, Network Performance Monitor, scorer konsekvent blandt de øverste overvågningsværktøjer til båndbredde på netværket. SolarWinds fremstiller også fremragende gratis værktøjer, der hver især imødekommer et specifikt behov hos netværksadministratorer. Kiwi Syslog-serveren og den avancerede undernetberegner er to gode eksempler på dem.

Til netværksbaseret indtrængningsdetektion tilbyder SolarWinds Threat Monitor - IT Ops Edition. I modsætning til de fleste andre SolarWinds-værktøjer er detteden ene er en skybaseret service snarere end en lokalt installeret software. Du abonnerer simpelthen på det, konfigurerer det, og det begynder at se dit miljø for indtrængenforsøg og et par flere typer trusler. Det Threat Monitor - IT Ops Edition kombinerer flere værktøjer. Det har både netværks- og værtsbaseret intrusionsdetektion såvel som logcentralisering og korrelation samt Sikkerhedsinformation og begivenhedsstyring (SIEM). Det er en meget grundig trusselovervågningssuite.

SolarWinds Threat Monitor - IT Ops Edition - Dashboard

  • GRATIS DEMO: SolarWinds Threat Monitor - IT Ops Edition
  • Officielt downloadlink: https://www.solarwinds.com/threat-monitor/registration

Det Threat Monitor - IT Ops Edition er altid ajour og konstant bliver opdaterettrussel intelligens fra flere kilder, herunder IP og domæne omdømme databaser. Det holder øje med både kendte og ukendte trusler. Værktøjet indeholder automatiserede intelligente svar til hurtigt at afhjælpe sikkerhedshændelser, hvilket giver det nogle indtrængenforebyggelseslignende funktioner.

Produktets advarselsfunktioner er ganskeimponerende. Der er multikonditionelle, krydskorrelerede alarmer, der fungerer sammen med værktøjets Active Response-motor og hjælper med at identificere og sammenfatte vigtige begivenheder. Rapporteringssystemet er lige så godt som dets alarmering og kan bruges til at demonstrere overensstemmelse ved hjælp af eksisterende forudbyggede rapportskabeloner. Alternativt kan du oprette tilpassede rapporter, der præcist passer til dine forretningsbehov.

Priser for SolarWinds Threat Monitor - IT Ops Edition start ved $ 4 500 for op til 25 noder med 10 dageaf indeks. Du kan kontakte SolarWinds for et detaljeret tilbud tilpasset dine specifikke behov. Og hvis du foretrækker at se produktet i aktion, kan du anmode om en gratis demo fra SolarWinds.

2. Snøfte

Snøfte er bestemt den mest kendte open source NIDS. Men Snøfte er faktisk mere end et intrusionsdetekteringsværktøj. Det er også en pakkesniffer og en pakkelogger, og den pakker også et par andre funktioner. For tiden koncentrerer vi os om værktøjets funktioner til indtrængen af ​​detektering af indtrængen, da dette er emnet for dette indlæg. Konfiguration af produktet minder om konfiguration af en firewall. Det konfigureres ved hjælp af regler. Du kan downloade basisregler fra Snøfte websted og brug dem som den er eller tilpas dem efter dine specifikke behov. Du kan også abonnere på Snøfte regler for automatisk at få alle de nyeste regler, når de udvikler sig, eller når nye trusler opdages.

Snort IDS-konsol på Windows

Sortere er meget grundig, og selv dens grundlæggende regler kanopdage en lang række begivenheder såsom stealth-port-scanninger, bufferoverløbsangreb, CGI-angreb, SMB-prober og OS-fingeraftryk. Der er næsten ingen grænse for, hvad du kan registrere med dette værktøj, og hvad det registrerer, afhænger udelukkende af det regel, du installerer. Med hensyn til detektionsmetoder er nogle af de grundlæggende Snort-regler signaturbaserede, mens andre er anomali-baserede. Snort kan derfor give dig det bedste fra begge verdener.

3. Suricata

Suricata er ikke kun et intrusionsdetektionssystem. Det har også nogle funktioner til forebyggelse af indtrængen. Faktisk annonceres det som et komplet økosystem til overvågning af netværkssikkerhed. Et af værktøjets bedste aktiver er, hvordan det fungerer helt op til applikationslaget. Dette gør det til et hybrid netværks- og værtsbaseret system, der lader værktøjet opdage trusler, der sandsynligvis ville blive bemærket af andre værktøjer.

Suricata-skærmbillede

Suricata er en ægte netværksbaseret intrusionsdetektionSystem, og det fungerer ikke kun i applikationslaget. Det vil overvåge netværksprotokoller på lavere niveau som TLS, ICMP, TCP og UDP. Værktøjet forstår og afkoder også protokoller på højere niveau, såsom HTTP, FTP eller SMB, og kan detektere indbrudsforsøg, der er skjult i ellers normale anmodninger. Værktøjet indeholder også filekstraktionsfunktioner, der giver administratorer mulighed for at undersøge enhver mistænkelig fil.

Suricata'S applikationsarkitektur er ret nyskabende. Værktøjet vil distribuere sin arbejdsbelastning over flere processorkerner og tråde for den bedste ydelse. Hvis det er nødvendigt, kan det endda downloade en del af dens behandling til grafikkortet. Dette er en fantastisk funktion, når du bruger værktøjet på servere, da deres grafikkort typisk er underbrugt.

4. brormand Netværkssikkerhedsmonitor

Det Bro Network Security Monitor, et andet gratis netværksindtrædelsesdetektionssystem. Værktøjet fungerer i to faser: trafikregistrering og trafikanalyse. Ligesom Suricata, Bro Network Security Monitor fungerer på flere lag op i applikationslaget. Dette muliggør en bedre registrering af splitindtrængningsforsøg. Det Bro Network Security MonitorAnalysemodul består af to elementer. Det første element kaldes hændelsesmotoren, og det sporer udløsende begivenheder såsom netto TCP-forbindelser eller HTTP-anmodninger. Begivenhederne analyseres derefter ved hjælp af politikmanuskripter, det andet element, der beslutter, om der skal udløses en alarm eller / eller iværksættes en handling. Muligheden for at iværksætte en handling giver Bro Network Security Monitor nogle IPS-lignende funktionalitet.

Bro Network Secirity Monitor - IDS-skærmbillede

Det Bro Network Security Monitor giver dig mulighed for at spore HTTP-, DNS- og FTP-aktivitetog det vil også overvåge SNMP-trafik. Dette er en god ting, fordi SNMP ofte bruges til netværksovervågning, men det er ikke en sikker protokol. Og da det også kan bruges til at ændre konfigurationer, kan det udnyttes af ondsindede brugere. Værktøjet giver dig også mulighed for at se enhedskonfigurationsændringer og SNMP-fælder. Det kan installeres på Unix, Linux og OS X, men det er ikke tilgængeligt for Windows, hvilket måske er dens største ulempe.

5. Sikkerhedsløg

Det er svært at definere, hvad Sikkerhedsløg er. Det er ikke kun et system til detektion eller forebyggelse af indtrængen. Det er i virkeligheden en komplet Linux-distribution med fokus på intrusionsdetektion, virksomhedssikkerhedsovervågning og logstyring. Som sådan kan det spare administratorer meget tid. Det inkluderer mange værktøjer, hvoraf nogle netop har vi gennemgået. Sikkerhedsløg inkluderer Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner og mere. For at gøre det lettere at indstille det, er distributionen bundtet med en let at bruge installationsguide, så du kan beskytte din organisation inden for få minutter. Hvis vi skulle beskrive Sikkerhedsløg i en sætning, ville vi sige, at det er den schweiziske hærs kniv til virksomheds IT-sikkerhed.

Sikkerhedsløg - fanen Begivenheder

En af de mest interessante ting ved detteværktøj er, at du får alt i en enkelt installation. Med hensyn til intrusionsdetektion giver værktøjet dig både netværks- og værtsbaseret intrusionsdetekteringsværktøjer. Pakken kombinerer også værktøjer, der bruger en signaturbaseret tilgang og værktøjer, der er anomali-baserede. Desuden finder du en kombination af tekstbaserede og GUI-værktøjer. Der er virkelig en fremragende blanding af sikkerhedsværktøjer. Der er en primær ulempe ved sikkerhedsløgen. Med så mange inkluderede værktøjer kan konfiguration af dem alle vise sig at være en betydelig opgave. Du behøver dog ikke bruge - og konfigurere - alle værktøjer. Du er fri til kun at vælge dem, du skal bruge. Selv hvis du kun bruger et par af de inkluderede værktøjer, ville det sandsynligvis være en hurtigere mulighed end at installere dem separat.

Læs også

Hvad er en netværkssniffer og hvad bruges det til?
ContaCam: Opret overvågningssystem med webcams, WDM og DV
Bevægelsesovervågning - Drej webcam til bevægelsesregistreringskamera
SolarWinds Log & Event Manager vs Splunk - En sammenlignende anmeldelse
Trojanere med fjernadgang (RATs) - Hvad er de, og hvordan man beskytter mod dem?
6 Bedste værtbaserede intrusionsdetektionssystemer (HIDS) i 2019
7 Bedste Intrusion Prevention Systems (IPS) for 2019
6 bedste sikkerhedsinformation og begivenhedsstyring (SIEM) værktøjer, der er værd at tjekke ud i 2019
14 bedste netværkssikkerhedsværktøjer til sikrere miljøer i 2019
Top 10 værktøjer til påvisning af indtrængen: Dine bedste gratis muligheder for 2019
Den ultimative guide til netværkssikkerhed - inklusive væsentlige værktøjer
Føj Ok Google-detektion til alle skærme på din enhed [Ingen rod]

Kommentarer