Η ασφάλεια είναι ένα καυτό θέμα και ήταν για αρκετάΓια λίγο. Πριν από πολλά χρόνια, οι ιοί ήταν οι μοναδικοί προβληματισμοί των διαχειριστών συστημάτων. Οι ιοί ήταν τόσο συνηθισμένοι που οδήγησαν το δρόμο για μια εκπληκτική σειρά εργαλείων πρόληψης των ιών. Σήμερα, σχεδόν κανείς δεν θα σκέφτεται να τρέχει έναν υπολογιστή χωρίς προστασία. Ωστόσο, η εισβολή σε υπολογιστή ή η μη εξουσιοδοτημένη πρόσβαση στα δεδομένα σας από κακόβουλους χρήστες είναι η "απειλή πνεύματος". Τα δίκτυα έχουν γίνει στόχος πολλών κακοποιών χάκερ οι οποίοι θα περάσουν σε μεγάλο βαθμό για να αποκτήσουν πρόσβαση στα δεδομένα σας. Η καλύτερη άμυνά σας σε αυτά τα είδη απειλών είναι ένα σύστημα ανίχνευσης ή πρόληψης της εισβολής. Σήμερα, εξετάζουμε δέκα από τα καλύτερα εργαλεία ανίχνευσης εισβολών.
Πριν ξεκινήσουμε, θα συζητήσουμε πρώταδιαφορετικές μεθόδους ανίχνευσης εισβολής που χρησιμοποιούνται. Ακριβώς όπως υπάρχουν πολλοί τρόποι εισβολείς που μπορούν να εισέλθουν στο δίκτυό σας, υπάρχουν εξίσου πολλοί τρόποι - ίσως ακόμα περισσότεροι τρόποι για να τους εντοπίσετε. Στη συνέχεια, θα συζητήσουμε τις δύο κύριες κατηγορίες του συστήματος ανίχνευσης εισβολής: ανίχνευση εισβολής σε δίκτυο και ανίχνευση εισβολής ξενιστή. Πριν συνεχίσουμε, θα εξηγήσουμε τις διαφορές μεταξύ ανίχνευσης εισβολής και πρόληψης εισβολής. Και τέλος, θα σας δώσουμε μια σύντομη επισκόπηση των δέκα από τα καλύτερα εργαλεία ανίχνευσης εισβολών που μπορούμε να βρούμε.
Μέθοδοι ανίχνευσης εισβολής
Υπάρχουν βασικά δύο διαφορετικές μέθοδοι που χρησιμοποιούνταιανίχνευση προσπαθειών εισβολής. Θα μπορούσε να βασίζεται σε υπογραφές ή να βασίζεται σε ανωμαλίες. Ας δούμε πώς διαφέρουν. Η ανίχνευση εισβολής με βάση την υπογραφή λειτουργεί με την ανάλυση δεδομένων για συγκεκριμένα μοτίβα που έχουν συσχετιστεί με απόπειρες εισβολής. Είναι κάπως σαν παραδοσιακά συστήματα προστασίας από ιούς που βασίζονται σε ορισμούς ιών. Αυτά τα συστήματα θα συγκρίνουν τα δεδομένα με τα πρότυπα υπογραφής διείσδυσης για να εντοπίσουν τις προσπάθειες. Το κύριο μειονέκτημα τους είναι ότι δεν δουλεύουν μέχρι να φορτωθεί η σωστή υπογραφή στο λογισμικό, κάτι που συνήθως συμβαίνει μετά από επίθεση ορισμένων μηχανών.
Η ανίχνευση εισβολής με βάση την ανωμαλία παρέχει ένακαλύτερη προστασία από επιθέσεις μηδενικών ημερών, αυτές που συμβαίνουν πριν από κάθε λογισμικό ανίχνευσης εισβολών είχε την ευκαιρία να αποκτήσει το κατάλληλο αρχείο υπογραφής. Αντί να προσπαθήσουμε να αναγνωρίσουμε γνωστά πρότυπα διείσδυσης, αυτά θα αναζητήσουν ανωμαλίες. Για παράδειγμα, θα ανιχνεύσουν ότι κάποιος προσπάθησε να έχει πρόσβαση σε ένα σύστημα με λάθος κωδικό αρκετές φορές, ένα κοινό σημάδι μιας επίθεσης βίαιης δύναμης. Όπως ίσως έχετε μαντέψει, κάθε μέθοδος ανίχνευσης έχει τα πλεονεκτήματά της. Αυτός είναι ο λόγος για τον οποίο τα καλύτερα εργαλεία συχνά χρησιμοποιούν συνδυασμό και των δύο για την καλύτερη προστασία.
Δύο τύποι συστημάτων ανίχνευσης εισβολής
Ακριβώς όπως υπάρχουν διαφορετικές μέθοδοι ανίχνευσηςυπάρχουν επίσης δύο κύριοι τύποι συστημάτων ανίχνευσης εισβολής. Διαφέρουν κυρίως στη θέση όπου πραγματοποιείται η ανίχνευση εισβολής, είτε σε επίπεδο κεντρικού υπολογιστή είτε σε επίπεδο δικτύου. Εδώ και πάλι, το καθένα έχει τα πλεονεκτήματά του και η καλύτερη λύση - ή η πιο ασφαλής - είναι πιθανό να χρησιμοποιήσει και τα δύο.
Συστήματα ανίχνευσης εισβολής ξενιστή (HIDS)
Ο πρώτος τύπος συστήματος ανίχνευσης εισβολήςλειτουργεί στο επίπεδο υποδοχής. Θα μπορούσε, για παράδειγμα, να ελέγξει διάφορα αρχεία καταγραφής για οποιαδήποτε ένδειξη ύποπτης δραστηριότητας. Θα μπορούσε επίσης να λειτουργήσει ελέγχοντας σημαντικά αρχεία ρυθμίσεων για μη εξουσιοδοτημένες αλλαγές. Αυτό θα έκανε η HIDS με βάση την ανωμαλία. Από την άλλη πλευρά, τα συστήματα που βασίζονται στην υπογραφή θα εξετάζουν τα ίδια αρχεία καταγραφής και διαμόρφωσης, αλλά θα αναζητούν συγκεκριμένα γνωστά μοτίβα διείσδυσης. Για παράδειγμα, μια συγκεκριμένη μέθοδος εισβολής μπορεί να είναι γνωστό ότι λειτουργεί με την προσθήκη μιας συγκεκριμένης συμβολοσειράς σε ένα συγκεκριμένο αρχείο ρυθμίσεων το οποίο θα ανιχνεύσει το IDS με βάση την υπογραφή.
Όπως θα μπορούσατε να φανταστείτε, εγκαθίστανται τα HIDSαπευθείας στη συσκευή που προορίζονται να προστατεύσουν, επομένως θα πρέπει να τα εγκαταστήσετε σε όλους τους υπολογιστές σας. Ωστόσο, τα περισσότερα συστήματα διαθέτουν κεντρική κονσόλα όπου μπορείτε να ελέγχετε κάθε εμφάνιση της εφαρμογής.
Συστήματα ανίχνευσης εισβολής δικτύου (NIDS)
Συστήματα ανίχνευσης εισβολής δικτύου, ή NIDS,εργάζονται στα σύνορα του δικτύου σας για να επιβάλουν την ανίχνευση. Χρησιμοποιούν παρόμοιες μεθόδους με τα συστήματα ανίχνευσης διείσδυσης ξενιστή. Φυσικά, αντί να ψάχνουν τα αρχεία καταγραφής και διαμόρφωσης, φαίνονται στην κίνηση δικτύου, όπως αιτήματα σύνδεσης. Ορισμένες μέθοδοι εισβολής είναι γνωστό ότι εκμεταλλεύονται τις ευπάθειες στέλνοντας εσκεμμένα παραμορφωμένα πακέτα στους κεντρικούς υπολογιστές, κάνοντας τους να αντιδρούν με έναν συγκεκριμένο τρόπο. Τα συστήματα ανίχνευσης εισβολής σε δίκτυα θα μπορούσαν εύκολα να τα ανιχνεύσουν.
Κάποιοι υποστηρίζουν ότι το NIDS είναι καλύτερο από το HIDSκαθώς εντοπίζουν επιθέσεις ακόμα και πριν φτάσουν στους υπολογιστές σας. Είναι επίσης καλύτερο επειδή δεν απαιτούν τίποτα να εγκατασταθεί σε κάθε υπολογιστή για την αποτελεσματική προστασία τους. Από την άλλη πλευρά, παρέχουν μικρή προστασία από τις επιθέσεις που είναι δυστυχώς καθόλου ασυνήθιστες. Αυτή είναι μια άλλη περίπτωση όπου η καλύτερη προστασία προέρχεται από τη χρήση ενός συνδυασμού και των δύο τύπων εργαλείων.
Ανίχνευση εισβολής κατά την πρόληψη
Υπάρχουν δύο διαφορετικά είδη εργαλείων στοπροστασία της εισβολής: συστήματα ανίχνευσης εισβολής και συστήματα πρόληψης εισβολής. Αν και εξυπηρετούν διαφορετικό σκοπό, υπάρχει συχνά κάποια επικάλυψη μεταξύ των δύο τύπων εργαλείων. Όπως υπονοεί το όνομά του, η ανίχνευση εισβολών θα εντοπίσει τις προσπάθειες εισβολής και τις ύποπτες δραστηριότητες γενικά. Όταν συμβαίνει αυτό, συνήθως προκαλεί κάποιο είδος συναγερμού ή ειδοποίησης. Στη συνέχεια, ο διαχειριστής πρέπει να λάβει τα απαραίτητα μέτρα για να σταματήσει ή να αποκλείσει αυτήν την προσπάθεια.
Τα συστήματα πρόληψης εισβολής, από την άλλη πλευρά,εργάζονται για να σταματήσουν τις παρεμβάσεις από το να συμβούν εντελώς. Τα περισσότερα συστήματα πρόληψης εισβολής θα περιλαμβάνουν ένα στοιχείο ανίχνευσης που θα ενεργοποιήσει κάποια ενέργεια όταν εντοπιστούν απόπειρες εισβολής. Αλλά η πρόληψη εισβολής μπορεί επίσης να είναι παθητική. Ο όρος μπορεί να χρησιμοποιηθεί για να αναφερθεί σε οποιαδήποτε βήματα που έχουν τεθεί σε εφαρμογή για την πρόληψη εισβολών. Μπορούμε να σκεφτούμε μέτρα όπως η σκλήρυνση κωδικού πρόσβασης, για παράδειγμα.
Τα καλύτερα Ελεύθερα Εργαλεία ανίχνευσης εισβολής
Τα συστήματα ανίχνευσης εισβολής μπορούν να είναι δαπανηρά,πολύ ακριβό. Ευτυχώς, υπάρχουν αρκετές δωρεάν εναλλακτικές λύσεις διαθέσιμες εκεί έξω. έχουμε ψάξει στο Διαδίκτυο για μερικά από τα καλύτερα εργαλεία λογισμικού ανίχνευσης εισβολής. Βρήκαμε λίγα και πρόκειται σύντομα να αναθεωρήσουμε τα καλύτερα δέκα που θα μπορούσαμε να βρούμε.
1. OSSEC
OSSEC, που σημαίνει Open Source Security, είναιπου είναι το κύριο σύστημα ανίχνευσης εισβολής ξένων πηγών. Το OSSEC ανήκει στην Trend Micro, ένα από τα κορυφαία ονόματα στην ασφάλεια πληροφορικής. Το λογισμικό, όταν είναι εγκατεστημένο σε λειτουργικά συστήματα που μοιάζουν με Unix, επικεντρώνεται κυρίως σε αρχεία καταγραφής και διαμόρφωσης. Δημιουργεί τα αθροίσματα ελέγχου σημαντικών αρχείων και τα επικυρώνει περιοδικά, ειδοποιώντας σας αν συμβαίνει κάτι περίεργο. Επίσης, θα παρακολουθεί και θα συλλαμβάνει οποιεσδήποτε περίεργες προσπάθειες πρόσβασης στο root. Στα Windows, το σύστημα παρακολουθεί επίσης μη εξουσιοδοτημένες τροποποιήσεις μητρώου.
OSSEC, που είναι ένα σύστημα ανίχνευσης εισβολής ξενιστήπρέπει να εγκατασταθεί σε κάθε υπολογιστή που θέλετε να προστατεύσετε. Ωστόσο, θα ενοποιήσει τις πληροφορίες από κάθε προστατευμένο υπολογιστή σε μία κονσόλα για ευκολότερη διαχείριση. Το λογισμικό τρέχει μόνο σε συστήματα που μοιάζουν με Unix, αλλά ένας πράκτορας είναι διαθέσιμος για να προστατεύσει τους οικοδεσπότες των Windows. Όταν το σύστημα εντοπίσει κάτι, εμφανίζεται μια ειδοποίηση στην κονσόλα και οι ειδοποιήσεις αποστέλλονται με ηλεκτρονικό ταχυδρομείο.
2. Snort
Ακριβώς όπως το OSSEC ήταν το κορυφαίο HIDS ανοικτού κώδικα,Το Snort είναι το κορυφαίο NIDS ανοικτού κώδικα. Το Snort είναι στην πραγματικότητα περισσότερο από ένα εργαλείο ανίχνευσης εισβολής. Είναι επίσης ένα πακέτο sniffer και ένα πακέτο καταγραφής. Αλλά αυτό που μας ενδιαφέρει τώρα είναι τα χαρακτηριστικά ανίχνευσης εισβολής Snort. Κάπως σαν ένα τείχος προστασίας, το Snort έχει ρυθμιστεί χρησιμοποιώντας κανόνες. Οι βασικοί κανόνες μπορούν να ληφθούν από την ιστοσελίδα Snort και να προσαρμοστούν στις συγκεκριμένες ανάγκες σας. Μπορείτε επίσης να εγγραφείτε στους κανόνες Snort για να διασφαλίσετε ότι θα έχετε πάντα τα πιο πρόσφατα, καθώς εξελίσσονται καθώς εντοπίζονται νέες απειλές.
Οι βασικοί κανόνες Snort μπορούν να εντοπίσουν μια μεγάλη ποικιλίατων συμβάντων όπως οι σάρωσης θύρας μυστικότητας, οι επιθέσεις υπερχείλισης buffer, οι επιθέσεις CGI, οι ανιχνευτές SMB και η αποτύπωση δακτυλικών αποτυπωμάτων. Η ανίχνευση της εγκατάστασης Snort εξαρτάται αποκλειστικά από τους κανόνες που έχετε εγκαταστήσει. Μερικοί από τους βασικούς κανόνες που προσφέρονται βασίζονται στην υπογραφή, ενώ άλλοι βασίζονται σε ανωμαλίες. Η χρήση του Snort μπορεί να σας δώσει το καλύτερο και των δύο κόσμων
3. Suricata
Το Suricata διαφημίζει τον εαυτό του ως μια εισβολήανίχνευσης και πρόληψης και ως ολοκληρωμένο οικοσύστημα παρακολούθησης της ασφάλειας του δικτύου. Ένα από τα καλύτερα πλεονεκτήματα αυτού του εργαλείου έναντι του Snort είναι ότι λειτουργεί μέχρι το επίπεδο εφαρμογής. Αυτό επιτρέπει στο εργαλείο να ανιχνεύει απειλές που θα μπορούσαν να περάσουν απαρατήρητες σε άλλα εργαλεία, χωρίζοντάς τα σε διάφορα πακέτα.
Όμως η Suricata δεν λειτουργεί μόνο στην εφαρμογήστρώμα. Επίσης, θα παρακολουθεί πρωτόκολλο χαμηλότερου επιπέδου όπως TLS, ICMP, TCP και UDP. Το εργαλείο κατανοεί επίσης πρωτόκολλα όπως HTTP, FTP ή SMB και μπορεί να ανιχνεύσει απόπειρες εισβολής κρυμμένες σε διαφορετικά κανονικά αιτήματα. Υπάρχει επίσης μια δυνατότητα εξαγωγής αρχείων για να επιτρέπεται στους διαχειριστές να εξετάζουν οι ίδιοι τα ύποπτα αρχεία.
Αρχιτεκτονική-σοφός, Suricata είναι πολύ καλά κατασκευασμένο καιθα διανείμει το φόρτο εργασίας του σε διάφορους πυρήνες και νήματα επεξεργαστών για την καλύτερη απόδοση. Μπορεί ακόμη και να αφαιρέσει μέρος της επεξεργασίας του στην κάρτα γραφικών. Αυτό είναι ένα μεγάλο χαρακτηριστικό στους διακομιστές ως κάρτα γραφικών τους ως επί το πλείστον ρελαντί.
4. Παρακολούθηση ασφάλειας δικτύων Bro
Στη συνέχεια στη λίστα μας είναι ένα προϊόν που ονομάζεται BroNetwork Security Monitor, άλλο δωρεάν σύστημα ανίχνευσης εισβολής στο δίκτυο. Ο Bro λειτουργεί σε δύο φάσεις: καταγραφή και ανάλυση κυκλοφορίας. Όπως και το Suricata, ο Bro λειτουργεί στο επίπεδο εφαρμογής, επιτρέποντας την καλύτερη ανίχνευση των προσπαθειών διασπασμένης εισβολής. Φαίνεται ότι όλα έρχονται σε ζεύγη με τον Bro και η ενότητα ανάλυσης του αποτελείται από δύο στοιχεία. Ο πρώτος είναι ο μηχανισμός συμβάντος ο οποίος παρακολουθεί γεγονότα που προκαλούν ενεργοποίηση, όπως είναι οι καθαρές συνδέσεις TCP ή οι αιτήσεις HTTP. Τα γεγονότα αναλύονται στη συνέχεια με δέσμες ενεργειών πολιτικής που αποφασίζουν εάν θα ενεργοποιήσουν ή όχι μια προειδοποίηση και θα ξεκινήσουν μια ενέργεια, καθιστώντας την Bro πρόληψη εισβολής εκτός από ένα σύστημα ανίχνευσης.
Ο Bro σας επιτρέπει να παρακολουθείτε HTTP, DNS και FTPκαθώς και παρακολούθηση της κυκλοφορίας SNMP. Αυτό είναι καλό γιατί, ενώ το SNMP χρησιμοποιείται συχνά για παρακολούθηση δικτύου, δεν είναι ασφαλές πρωτόκολλο. Ο Bro σας επιτρέπει επίσης να παρακολουθείτε τις αλλαγές διαμόρφωσης συσκευών και τις παγίδες SNMP. Το Bro μπορεί να εγκατασταθεί σε Unix, Linux και OS X αλλά δεν είναι διαθέσιμο για τα Windows, ίσως το κύριο μειονέκτημα του.
5. Ανοίξτε το WIPS NG
Το Open WIPS NG έκανε τη λίστα μας κυρίως επειδήείναι η μόνη που στοχεύει συγκεκριμένα ασύρματα δίκτυα. Το Open WIPS NG - όπου το WIPS σημαίνει Ασύρματο Πρόβλημα Εισβολής - είναι ένα εργαλείο ανοιχτού κώδικα που αποτελείται από τρία βασικά στοιχεία. Πρώτον, υπάρχει ο αισθητήρας που είναι μια χαμένη συσκευή που συλλαμβάνει μόνο την ασύρματη κίνηση και την αποστέλλει στο διακομιστή για ανάλυση. Έπειτα ο διακομιστής. Αυτός συγκεντρώνει δεδομένα από όλους τους αισθητήρες, αναλύει τα δεδομένα που συλλέγονται και ανταποκρίνεται στις επιθέσεις. Είναι η καρδιά του συστήματος. Τελευταίο αλλά όχι λιγότερο σημαντικό είναι το στοιχείο διεπαφής που είναι το GUI που χρησιμοποιείτε για τη διαχείριση του διακομιστή και την εμφάνιση πληροφοριών σχετικά με απειλές στο ασύρματο δίκτυό σας.
Όχι όλοι θέλουν το Open WIPS NG, όμως. Το προϊόν αν από τον ίδιο προγραμματιστή όπως το Aircrack NG είναι ένα ασύρματο πακέτο sniffer και cracker κωδικού πρόσβασης που είναι μέρος του κάθε εργαλείου hacker WiFi. Από την άλλη πλευρά, δεδομένου του ιστορικού του, μπορούμε να υποθέσουμε ότι ο προγραμματιστής γνωρίζει αρκετά για την ασφάλεια Wi-Fi.
6. Samhain
Το Samhain είναι ένα σύστημα ανίχνευσης εισβολών ελεύθερου ξενιστήη οποία παρέχει έλεγχο της ακεραιότητας αρχείων και παρακολούθηση / ανάλυση αρχείων καταγραφής. Επιπλέον, το προϊόν εκτελεί επίσης εντοπισμό rootkit, παρακολούθηση θύρας, ανίχνευση εκτεταμένων αρχείων SUID και κρυφές διεργασίες. Το εργαλείο αυτό έχει σχεδιαστεί για την παρακολούθηση πολλαπλών συστημάτων με διάφορα λειτουργικά συστήματα με κεντρική καταγραφή και συντήρηση. Ωστόσο, το Samhain μπορεί επίσης να χρησιμοποιηθεί ως αυτόνομη εφαρμογή σε έναν μόνο υπολογιστή. Το Samhain μπορεί να τρέξει σε POSIX συστήματα όπως το Unix Linux ή το OS X. Μπορεί επίσης να τρέξει σε Windows υπό Cygwin αν και μόνο ο παράγοντας παρακολούθησης και όχι ο διακομιστής έχει δοκιμαστεί σε αυτή τη διαμόρφωση.
Ένα από τα πιο μοναδικά χαρακτηριστικά του Samhain είναι το δικό τουstealth λειτουργία που επιτρέπει να τρέξει χωρίς να ανιχνευθεί από τους ενδεχόμενους επιτιθέμενους. Πολύ συχνά οι εισβολείς σκοτώνουν τις διαδικασίες ανίχνευσης που αναγνωρίζουν, επιτρέποντάς τους να περάσουν απαρατήρητες. Ο Samhain χρησιμοποιεί steganography για να κρύψει τις διαδικασίες του από άλλους. Προστατεύει επίσης τα κεντρικά αρχεία καταγραφής και τα αντίγραφα ασφαλείας των παραμέτρων με ένα κλειδί PGP για την αποφυγή παραβιάσεων.
7. Fail2Ban
Το Fail2Ban είναι μια ενδιαφέρουσα δωρεάν εισβολή ξενιστήσύστημα ανίχνευσης που έχει επίσης ορισμένα χαρακτηριστικά πρόληψης. Αυτό το εργαλείο λειτουργεί με την παρακολούθηση αρχείων καταγραφής για ύποπτα συμβάντα, όπως αποτυχημένες προσπάθειες σύνδεσης, αναζητήσεις εκμεταλλεύσεων κλπ. Όταν εντοπίζει κάτι ύποπτο, ενημερώνει αυτόματα τους τοπικούς κανόνες τείχους προστασίας για να αποκλείσει τη διεύθυνση IP προέλευσης της κακόβουλης συμπεριφοράς. Αυτή είναι η προεπιλεγμένη ενέργεια του εργαλείου, αλλά οποιαδήποτε άλλη αυθαίρετη ενέργεια - όπως η αποστολή ειδοποιήσεων μέσω ηλεκτρονικού ταχυδρομείου - μπορεί να ρυθμιστεί.
Το σύστημα διαθέτει διάφορα προκατασκευασμένα φίλτραγια μερικές από τις πιο κοινές υπηρεσίες όπως Apache, Courrier, SSH, FTP, Postfix και πολλά άλλα. Η πρόληψη πραγματοποιείται με την τροποποίηση των πινάκων τείχους προστασίας του κεντρικού υπολογιστή. Το εργαλείο μπορεί να λειτουργήσει με το Netfilter, το IPtables ή τον πίνακα hosts.deny του TCP Wrapper. Κάθε φίλτρο μπορεί να συσχετιστεί με μία ή περισσότερες ενέργειες. Μαζί, τα φίλτρα και οι ενέργειες αναφέρονται ως φυλακή.
8. AIDE
Το AIDE είναι ένα αρκτικόλεξο για Advanced IntrusionΠεριβάλλον ανίχνευσης. Το σύστημα ανίχνευσης εισβολών ελεύθερου ξενιστή επικεντρώνεται κυρίως στην ανίχνευση του rootkit και στις συγκρίσεις των υπογραφών αρχείων. Όταν εγκαθιστάτε αρχικά το AIDE, θα συντάξει μια βάση δεδομένων με δεδομένα διαχειριστή από τα αρχεία ρυθμίσεων του συστήματος. Αυτό στη συνέχεια χρησιμοποιείται ως γραμμή βάσης κατά της οποίας μπορεί να συγκριθεί οποιαδήποτε αλλαγή και ενδεχομένως να επαναληφθεί αν χρειαστεί.
Το AIDE χρησιμοποιεί τόσο βάση υπογραφής όσο και ανωμαλίαανάλυση που εκτελείται κατά παραγγελία και δεν είναι προγραμματισμένη ή συνεχώς σε λειτουργία. Αυτό είναι στην πραγματικότητα το κύριο μειονέκτημα αυτού του προϊόντος. Ωστόσο, το AIDE είναι ένα εργαλείο γραμμής εντολών και μπορεί να δημιουργηθεί μια εργασία CRON για να την εκτελέσετε σε τακτά χρονικά διαστήματα. Και αν το τρέχετε πολύ συχνά -όπως κάθε λεπτό, θα έχετε δεδομένα σχεδόν αληθινής ώρας. Στον πυρήνα της, το AIDE δεν είναι παρά ένα εργαλείο σύγκρισης δεδομένων. Πρέπει να δημιουργηθούν εξωτερικά σενάρια για να είναι ένα πραγματικό HIDS.
9. Κρεμμύδι ασφαλείας
Ασφάλεια Το κρεμμύδι είναι ένα ενδιαφέρον κτήνος που μπορείσας εξοικονομούν πολύ χρόνο. Αυτό δεν είναι μόνο ένα σύστημα ανίχνευσης ή πρόληψης εισβολής. Security Το κρεμμύδι είναι μια πλήρης διανομή Linux με έμφαση στην ανίχνευση εισβολών, στην παρακολούθηση της ασφάλειας των επιχειρήσεων και στη διαχείριση των αρχείων καταγραφής. Περιλαμβάνει πολλά εργαλεία, μερικά από τα οποία μόλις εξετάσαμε. Για παράδειγμα, το κρεμμύδι ασφαλείας έχει Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner και πολλά άλλα. Όλα αυτά συνοδεύονται από έναν εύχρηστο οδηγό εγκατάστασης, ο οποίος σας επιτρέπει να προστατεύετε τον οργανισμό σας μέσα σε λίγα λεπτά. Μπορείτε να σκεφτείτε το κρεμμύδι ασφαλείας ως το μαχαίρι του Ελβετικού Στρατού της επιχείρησης ασφάλειας IT.
Το πιο ενδιαφέρον πράγμα για αυτό το εργαλείο είναιότι παίρνετε τα πάντα σε μια απλή εγκατάσταση. Και λαμβάνετε εργαλεία ανίχνευσης εισβολής στο δίκτυο και στο host. Υπάρχουν εργαλεία που χρησιμοποιούν μια προσέγγιση βασισμένη στην υπογραφή και ορισμένα που βασίζονται σε ανωμαλίες. Η διανομή διαθέτει επίσης συνδυασμό εργαλείων με κείμενο και GUI. Υπάρχει πραγματικά ένα εξαιρετικό μίγμα όλων. Το μειονέκτημα, φυσικά, είναι ότι παίρνετε τόσα πολλά που η διαμόρφωση όλων μπορεί να διαρκέσει λίγο. Αλλά δεν χρειάζεται να χρησιμοποιήσετε όλα τα εργαλεία. Μπορείτε να επιλέξετε μόνο αυτά που προτιμάτε.
10. Sagan
Το Sagan είναι στην πραγματικότητα περισσότερο ένα σύστημα ανάλυσης logαπό ένα πραγματικό IDS, αλλά έχει κάποιες λειτουργίες που μοιάζουν με IDS που πιστεύαμε ότι δικαιολογούσαν την ένταξή του στη λίστα μας. Αυτό το εργαλείο μπορεί να παρακολουθήσει τα τοπικά αρχεία καταγραφής του συστήματος όπου είναι εγκατεστημένο, αλλά μπορεί επίσης να αλληλεπιδρά με άλλα εργαλεία. Θα μπορούσε, για παράδειγμα, να αναλύσει τα αρχεία του Snort, προσθέτοντας αποτελεσματικά κάποια λειτουργικότητα του NIDS σε αυτό που ουσιαστικά είναι ένα HIDS. Και δεν θα αλληλεπιδράσει μόνο με το Snort. Μπορεί επίσης να αλληλεπιδράσει με το Suricata και είναι συμβατό με πολλά εργαλεία κατασκευής κανόνων όπως το Oinkmaster ή το Pulled Pork.
Ο Sagan έχει επίσης δυνατότητες εκτέλεσης δέσμης ενεργειώνκαθιστώντας το ένα ακατέργαστο σύστημα πρόληψης εισβολής. Αυτό το εργαλείο ίσως να μην χρησιμοποιηθεί ως μοναδική άμυνα κατά της εισβολής, αλλά θα είναι ένα μεγάλο συστατικό ενός συστήματος που μπορεί να ενσωματώσει πολλά εργαλεία συσχετίζοντας γεγονότα από διαφορετικές πηγές.
συμπέρασμα
Τα συστήματα ανίχνευσης εισβολής είναι μόνο ένα από τα συστήματα ανίχνευσης εισβολώνπολλά εργαλεία που διατίθενται για να βοηθήσουν τους διαχειριστές δικτύων και συστημάτων να εξασφαλίσουν τη βέλτιστη λειτουργία του περιβάλλοντος τους. Οποιοδήποτε από τα εργαλεία που συζητούνται εδώ είναι εξαιρετικό, αλλά το καθένα έχει έναν ελαφρώς διαφορετικό σκοπό. Αυτό που θα επιλέξετε θα εξαρτηθεί σε μεγάλο βαθμό από την προσωπική προτίμηση και τις συγκεκριμένες ανάγκες.
Σχόλια