Sigurnost je vruća tema i bila je priličnotrenutak. Prije mnogo godina virusi su bili jedina briga administratora sustava. Virusi su bili toliko uobičajeni da je vodio na put za zapanjujući niz alata za prevenciju virusa. U današnje vrijeme jedva da je netko pomislio pokrenuti nezaštićeno računalo. No, upada u računalo ili neovlašteni pristup vašim podacima od strane zlonamjernih korisnika predstavlja "prijetnju". Mreže su postale meta brojnih zlonamjernih hakera koji će u velikoj mjeri doći do vaših podataka. Vaša najbolja obrana od ove vrste prijetnji je sustav otkrivanja ili sprečavanja provale. Danas pregledavamo deset najboljih besplatnih alata za otkrivanje provale.
Prije nego što počnemo, prvo ćemo razgovarati orazličite metode otkrivanja upada koji se koriste. Baš kao što postoji mnogo načina kako uljezi mogu ući u vašu mrežu, postoji isto toliko načina - možda čak i više - načina za njihovo otkrivanje. Zatim ćemo razmotriti dvije glavne kategorije sustava za otkrivanje upada: mrežno otkrivanje upada i detekcija upada domaćina. Prije nego što nastavimo, objasnit ćemo razlike između otkrivanja provale i sprečavanja provale. I na kraju, dat ćemo vam kratki pregled deset najboljih besplatnih alata za otkrivanje upada koji možemo pronaći.
Metode otkrivanja prodora
U osnovi se koriste dvije različite metodeotkriti pokušaje upada. To može biti na temelju potpisa ili anomalije. Pogledajmo kako se razlikuju. Detekcija upada na temelju potpisa djeluje analizom podataka za specifične obrasce koji su povezani s pokušajima provale. To je nekako poput tradicionalnih antivirusnih sustava koji se oslanjaju na definicije virusa. Ovi će sustavi uspoređivati podatke s obrascima potpisa za upad kako bi identificirali pokušaje. Glavni im je nedostatak to što ne rade sve dok se odgovarajući potpis ne prenese na softver što se obično događa nakon napada određenog broja strojeva.
Otkrivanje upada temeljeno na anomaliji osigurava abolja zaštita od napada nula dana, onih koji se događaju prije nego što je svaki softver za otkrivanje provale imao priliku dobiti odgovarajuću datoteku potpisa. Umjesto pokušaja prepoznavanja poznatih obrazaca provale, oni će umjesto toga tražiti anomalije. Na primjer, otkrili bi da je netko više puta pokušao pristupiti sustavu s pogrešnom zaporkom, što je uobičajeni znak napada grube sile. Kao što ste mogli pretpostaviti, svaka metoda otkrivanja ima svoje prednosti. To je razlog zašto će najbolji alati često koristiti kombinaciju oboje za najbolju zaštitu.
Dvije vrste sustava za otkrivanje provale
Baš kao što postoje različite metode otkrivanjapostoje i dvije glavne vrste sustava za otkrivanje provale. Najviše se razlikuju po mjestu na kojem se vrši otkrivanje provale, bilo na razini računala ili na mreži. I ovdje svaki ima svoje prednosti, a najbolje rješenje - ili najsigurnije - je moguće koristiti oboje.
Sustavi za otkrivanje upada domaćina (HIDS)
Prva vrsta sustava za otkrivanje provaledjeluje na razini domaćina. Na primjer, može provjeriti razne datoteke dnevnika radi bilo kakvih znakova sumnjivih aktivnosti. Također može raditi provjerom važnih konfiguracijskih datoteka radi neovlaštenih promjena. To bi učinio HIDS na temelju anomalije. S druge strane, sustavi temeljeni na potpisima gledali bi iste datoteke dnevnika i konfiguracije, ali bi tražili određene poznate uzorke upada. Na primjer, može se znati da određena metoda upada funkcionira dodavanjem određenog niza u specifičnu konfiguracijsku datoteku koju bi detektirao IDS na temelju potpisa.
Kao što ste mogli zamisliti, instalirani su HIDSizravno na uređaju kojeg će zaštititi, pa ćete ih morati instalirati na sva računala. međutim, većina sustava ima centraliziranu konzolu na kojoj možete kontrolirati svaku instancu aplikacije.
Mrežni sustavi za otkrivanje upada (NIDS)
Mrežni sustavi za otkrivanje upada ili NIDS-a,raditi na granici vaše mreže na provođenju otkrivanja. Koriste slične metode kao i sustavi za otkrivanje upada domaćina. Naravno, umjesto da pregledavaju datoteke dnevnika i konfiguracijske datoteke, izgledaju mrežni promet poput zahtjeva za povezivanje. Poznato je da neke metode upada iskorištavaju ranjivosti slanjem namjerno neispravnih paketa domaćinima, čineći ih na određeni način. Mrežni sustavi za otkrivanje upada mogu ih lako otkriti.
Neki bi tvrdili da su NIDS bolji od HIDS-ajer otkrivaju napade i prije nego što dođu do vaših računala. Također su i bolji jer ne trebaju ništa instalirati na svako računalo da bi ih zaštitili. S druge strane, pružaju malu zaštitu od insajderskih napada koji nažalost nimalo nisu rijetki. To je još jedan slučaj u kojem najbolja zaštita dolazi korištenjem kombinacije obje vrste alata.
Prevencija otkrivanja prodora vs prevencija
Postoje dva različita žanra alata usvijet zaštite od provale: sustavi za otkrivanje provale i sustave za zaštitu od provale. Iako služe drugačijoj svrsi, često se preklapaju dvije vrste alata. Kao što mu ime govori, otkrivanje provale otkrivat će pokušaje upada i sumnjivih aktivnosti općenito. Kad se dogodi, obično će pokrenuti neku vrstu alarma ili obavijesti. Na administratoru je da poduzme potrebne korake kako bi zaustavio ili blokirao ovaj pokušaj.
Sustavi za sprječavanje provale, s druge strane,raditi na zaustavljanju upada da se uopće događaju. Većina sustava za sprječavanje provale uključivat će komponentu otkrivanja koja će pokrenuti neku radnju kad god se otkriju pokušaji provale. Ali sprečavanje prodora može biti i pasivno. Izraz se može koristiti za označavanje bilo kojeg koraka koji je napravljen radi sprečavanja upada. Na primjer, možemo smisliti mjere poput otvrdnjavanja lozinke.
Najbolji alati za otkrivanje upada
Sustavi za otkrivanje provale mogu biti skupi,vrlo skupo. Srećom, tamo postoji na raspolaganju nekoliko besplatnih alternativa. na Internetu smo pretraživali neke od najboljih softverskih alata za otkrivanje provale. Pronašli smo prilično nekoliko i upravo ćemo ukratko pregledati najboljih deset koje možemo pronaći.
1. OSSEC
OSSEC, koji zastupa Open Source Sigurnost, jedaleko vodeći sustav za otkrivanje provale otvorenog koda. OSSEC je u vlasništvu tvrtke Trend Micro, jednog od vodećih imena u IT sigurnosti. Softver, instaliran na operacijskim sustavima sličnim Unixu, uglavnom se fokusira na zapisnike i konfiguracijske datoteke. Stvara kontrolne sume važnih datoteka i periodično ih potvrđuje, upozoravajući vas ako se dogodi nešto neobično. Također će nadgledati i uhvatiti sve neobične pokušaje dobivanja root pristupa. U sustavu Windows sustav također nadgleda neovlaštene izmjene registra.
OSSEC, kao sustav za otkrivanje upada domaćinamoraju biti instalirani na svako računalo koje želite zaštititi. Međutim, podaci će sa svakog zaštićenog računala objediniti u jednoj konzoli radi lakšeg upravljanja. Softver se pokreće samo na Unix-Like sustavima, ali dostupan je agent za zaštitu Windows domaćina. Kad sustav nešto otkrije, na konzoli se prikazuje upozorenje, a obavijesti se šalju putem e-pošte.
2. smrknuti
Baš kao što je OSSEC bio top HID-ov otvorenog koda,Snort je vodeći otvoreni izvorni NIDS. Snort je zapravo više od alata za otkrivanje provale. To je i njuškalo paketa i loger paketa. Ali ono što nas za sada zanima zanima su Snort-ove značajke otkrivanja provale. Slično kao vatrozid, Snort se konfigurira pomoću pravila. Osnovna pravila mogu se preuzeti s web mjesta Snort i prilagoditi vašim specifičnim potrebama. Možete se pretplatiti na pravila Snort i osigurati da uvijek dobijete one najnovije dok se razvijaju kako budu prepoznate nove prijetnje.
Osnovna Snort pravila mogu otkriti široku raznolikostdogađaja kao što su skeniranje nevidljivih porta, napadi prepunjenog međuspremnika, CGI napadi, SMB sonde i otisci prsta na OS-u. Što će Vaša instalacija Snort otkriti ovisi isključivo o pravilima koje ste instalirali. Neka osnovna pravila nude se na potpisu, a druga se temelje na anomaliji. Korištenje Snort-a može vam pružiti najbolje od oba svijeta
3. Suricata
Suricata se reklamira kao uljezsustav otkrivanja i sprečavanja i kao cjeloviti mrežni ekosustav za nadzor sigurnosti. Jedna od najboljih prednosti ovog alata u odnosu na Snort je ta što djeluje sve do sloja aplikacije. To vam omogućuje otkrivanje prijetnji koje bi mogle proći neopaženo u drugim alatima ako se podijele na nekoliko paketa.
Ali Suricata ne radi samo na aplikacijisloj. Nadgledat će i protokol niže razine poput TLS, ICMP, TCP i UDP. Alat također razumije protokole poput HTTP, FTP ili SMB i može otkriti pokušaje provale skrivene u inače normalnim zahtjevima. Tu je i mogućnost izdvajanja datoteka koja omogućava administratorima da sami pregledaju sumnjive datoteke.
Arhitektonski gledano, Suricata je vrlo dobro napravljen idistribuirat će svoje radno opterećenje na nekoliko procesorskih jezgara i niti za najbolje performanse. Čak može prebaciti dio svoje obrade na grafičku karticu. Ovo je sjajna značajka na poslužiteljima jer njihova grafička kartica uglavnom radi u praznom hodu.
4. Bro Network Monitor sigurnosti
Sljedeći na našem popisu je proizvod zvan BroNetwork Security Monitor, još jedan besplatni mrežni sustav za otkrivanje upada. Bro djeluje u dvije faze: evidentiranje prometa i analiza. Kao i Suricata, i Bro djeluje na aplikacijskom sloju, što omogućuje bolje otkrivanje podijeljenih pokušaja provale. Čini se da sve dolazi u paru s Broom, a njegov se modul za analizu sastoji od dva elementa. Prvi je pokretač događaja koji prati pokretanje događaja kao što su neto TCP veze ili HTTP zahtjevi. Događaji se zatim analiziraju skriptama politika koje odlučuju hoće li pokrenuti upozorenje i pokrenuti radnju, čineći Bro preventivu provale pored sustava otkrivanja.
Bro će vam omogućiti da pratite HTTP, DNS i FTPaktivnost kao i praćenje SNMP prometa. To je dobra stvar, jer iako se SNMP često koristi za nadzor mreže, to nije siguran protokol. Bro vam također omogućuje gledanje promjena u konfiguraciji uređaja i SNMP zamki. Bro se može instalirati na Unix, Linux i OS X, ali nije dostupan za Windows, možda je njegov glavni nedostatak.
5. Otvorite WIPS NG
Otvorene WIPS NG plasirale su se na naš popis uglavnom zbog togaona je jedina koja posebno cilja bežične mreže. Otvoreni WIPS NG - gdje WIPS znači bežični sustav za sprečavanje provale - je alat otvorenog koda koji se sastoji od tri glavne komponente. Prvo, tu je senzor koji je glupi uređaj koji samo bilježi bežični promet i šalje ga poslužitelju na analizu. Slijedi poslužitelj. Ovaj objedinjuje podatke sa svih senzora, analizira prikupljene podatke i reagira na napade. To je srce sustava. Posljednja, ali ne najmanje bitna, komponenta sučelja je GUI koji koristite za upravljanje poslužiteljem i prikaz informacija o prijetnjama na vašoj bežičnoj mreži.
Nisu svi vole Open WIPS NG. Proizvod ako je od istog razvojnog programera kao što je Aircrack NG, bežični snajper za pakete i kreker za lozinku koji je dio svakog paketa alata za WiFi hakere. S druge strane, s obzirom na njegovu pozadinu, možemo pretpostaviti da programer zna dosta o Wi-Fi sigurnosti.
6. Samhain
Samhain je besplatni sustav za otkrivanje upada domaćinakoji omogućuje provjeru integriteta datoteke i nadzor / analizu datoteka zapisa. Osim toga, proizvod također obavlja otkrivanje rootkita, nadzor priključka, otkrivanje skitnih izvršivih SUID-ova i skrivene procese. Ovaj je alat dizajniran za nadziranje više sustava s različitim operativnim sustavima s centraliziranom sečom i održavanjem. No, Samhain se može koristiti i kao samostalna aplikacija na jednom računalu. Samhain se može izvoditi na POSIX sustavima kao što su Unix Linux ili OS X. Može se izvoditi i na Windows-u pod Cygwin-om iako je u toj konfiguraciji testiran samo nadzorni agent, a ne poslužitelj.
Jedna od najznačajnijih karakteristika Samhaina je njegovaprikriveni način koji mu omogućuje da se pokrene bez otkrivanja napadača. Prečesto uljezi ubijaju procese otkrivanja koje prepoznaju, omogućujući im da prođu nezapaženo. Samhain koristi steganografiju da sakrije svoje procese od drugih. Također štiti središnje datoteke dnevnika i sigurnosne kopije PGP tipkom kako bi se spriječilo neovlašteno diranje.
7. Fail2Ban
Fail2Ban je zanimljiv besplatni upad domaćinasustav detekcije koji također ima neke značajke prevencije. Ovaj alat djeluje nadgledanjem datoteka dnevnika radi sumnjivih događaja kao što su neuspjeli pokušaji prijave, pokušaji traženja itd. Kada otkrije nešto sumnjivo, automatski ažurira lokalna pravila vatrozida kako bi blokirala izvornu IP adresu zlonamjernog ponašanja. Ovo je zadana radnja alata, ali bilo koja druga proizvoljna radnja - poput slanja obavijesti putem e-pošte - može se konfigurirati.
Sustav dolazi s raznim unaprijed ugrađenim filtrimaza neke od najčešćih usluga poput Apache, Courrier, SSH, FTP, Postfix i mnogih drugih. Prevencija se vrši izmjenom tablica vatrozida domaćina. Alat može raditi s Netfilter, IPtables ili host.deny tablom TCP Wrapper. Svaki se filtar može povezati s jednom ili više radnji. Zajedno se filtri i radnje nazivaju zatvorom.
8. POMOĆ
AIDE je akronim za Advanced IntrusionDetection Environment. Sustav za otkrivanje upada u besplatni domaćin uglavnom se usredotočuje na otkrivanje rootkita i usporedbu potpisa datoteka. Kada prvotno instalirate AIDE, sastavit će bazu podataka administrativnih podataka iz konfiguracijskih datoteka sustava. Tada se koristi kao osnovna linija prema kojoj se bilo kakve promjene mogu usporediti i eventualno povući natrag ako je potrebno.
AIDE koristi i potpise i anomalijeanaliza koja se izvodi na zahtjev, a ne planira se ili neprekidno traje. Ovo je zapravo glavni nedostatak ovog proizvoda. Međutim, AIDE je alat naredbenog retka i može se stvoriti CRON posao koji će ga pokretati u pravilnim intervalima. A ako je pokrećete vrlo često - poput svake minute ili približno - dobit ćete kvazi realne podatke. U osnovi, AIDE nije ništa drugo nego alat za usporedbu podataka. Moraju se stvoriti vanjske skripte kako bi to bilo istinsko HIDS.
9. Sigurnosni luk
Sigurnosni luk je zanimljiva zvijer koja to možeuštedjeti vam puno vremena. Ovo nije samo sustav za otkrivanje ili sprečavanje provale. Security Onion je cjelovita distribucija Linuxa s naglaskom na otkrivanju provale, nadzoru sigurnosti poduzeća i upravljanju zapisnicima. To uključuje mnogo alata, od kojih smo neke upravo pregledali. Na primjer, Security Onion ima Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner i još mnogo toga. Sve je to u paketu s čarobnjakom za jednostavno postavljanje koji vam omogućuje da zaštitite svoju organizaciju u roku od nekoliko minuta. Sigurnost Luk možete misliti kao švicarsku vojsku noža informatičke sigurnosti poduzeća.
Najinteresantnija stvar ovog alata jeda dobijete sve u jednoj jednostavnoj instalaciji. A dobivate i mrežne alate i alate za otkrivanje upada u mrežu. Postoje alati koji koriste pristup temeljen na potpisu i neki koji se temelje na anomaliji. U distribuciji se nalazi i kombinacija tekstualnih i GUI alata. Zaista postoji odlična kombinacija svega. Nedostatak je, naravno, što dobijete toliko da konfiguriranje svega može potrajati. Ali ne morate koristiti sve alate. Možete odabrati samo one koje želite.
10. Sagan
Sagan je zapravo više sustav analize zapisanego pravi IDS, ali ima neke značajke slične IDS-u za koje smo mislili da jamče njegovo uvrštavanje na naš popis. Ovaj alat može gledati lokalne zapise sustava gdje je instaliran, ali također može komunicirati s drugim alatima. Na primjer, mogao bi analizirati Snortove zapise, učinkovito dodajući neke NIDS funkcionalnosti onome što je u stvari HIDS. I neće samo komunicirati sa Snortom. Može komunicirati i sa Suricata, a kompatibilan je s nekoliko alata za izgradnju pravila kao što su Oinkmaster ili Pulled Pork.
Sagan također ima mogućnosti izvršenja skriptišto ga čini surovim sustavom za sprečavanje upada. Ovaj se alat vjerojatno neće koristiti kao vaša jedina obrana od provale, ali bit će sjajna komponenta sustava koji može uključiti mnoge alate koreliranjem događaja iz različitih izvora.
Zaključak
Sustavi za otkrivanje provale samo su jedan odna raspolaganju su mnogi alati za pomoć mrežnim i sistemskim administratorima u osiguravanju optimalnog rada njihovog okruženja. Bilo koji od ovdje opisanih alata je izvrstan, ali svaki ima malo drugačiju svrhu. Ona koju odaberete uvelike će ovisiti o osobnim preferencijama i specifičnim potrebama.
komentari