A biztonság forró téma, és ez már nagyon is voltegy darabig. Sok évvel ezelőtt a vírusok voltak a rendszergazdák egyetlen aggodalma. A vírusok annyira gyakoriak voltak, hogy előkészítették az utat a vírusmegelőző eszközök meghökkentő sorozatához. Manapság alig gondolkozik védelem nélküli számítógép futtatására. A számítógépes behatolás, vagy pedig a rosszindulatú felhasználók jogosulatlan hozzáférése az Ön adataihoz, a „fenyegetés du uta”. A hálózatok számos rossz szándékú hackerek célpontjává váltak, amelyek nagyon hosszúak lesznek, hogy hozzáférjenek az Ön adataihoz. Az ilyen típusú fenyegetések elleni legjobb védekezés a behatolás észlelésére vagy megelőzésére szolgáló rendszer. Ma áttekintettük a tíz legjobb ingyenes behatolás-észlelő eszköz áttekintését.
Mielőtt elkezdenénk, először megvitatjuk a következőket:különböző behatolás-észlelési módszerek, amelyek használatban vannak. Csakúgy, ahogyan a betolakodók számos módon beléphetnek a hálózatába, éppoly sokféle módon - talán még több módon is - felfedezni őket. Ezután megvitatjuk a behatolásérzékelő rendszerek két fő kategóriáját: a hálózati behatolásérzékelés és a befogadó behatolásdetektálása. Mielőtt folytatnánk, elmagyarázzuk a különbségeket a behatolás észlelése és a behatolás megelőzése között. És végül röviden áttekintjük a tíz legjobb behatolás-felderítő eszközt, amelyeket megtalálhattunk.
Behatolás-észlelési módszerek
Alapvetően kétféle módszer vanbehatolási kísérletek észlelése. Lehet, hogy aláírás-alapú vagy anomália-alapú. Lássuk, hogy különböznek egymástól. Az aláírás-alapú behatolás-észlelés az adatok elemzésével történik, amelyek behatolási kísérletekkel társultak. Ez kissé olyan, mint a vírusleírásokra támaszkodó antivírus rendszerek. Ezek a rendszerek összehasonlítják az adatokat a behatolási aláírási mintákkal a kísérletek azonosításához. Fő hátrányuk, hogy addig nem működnek, amíg a megfelelő aláírást a szoftverre nem töltik fel, ami általában akkor történik, amikor egy bizonyos számú gépet megtámadtak.
Az anomálián alapuló behatolás-észlelés ajobb védelem a nulla napos támadások ellen, azok ellen, amelyek bármilyen behatolás-észlelő szoftver előtt megtörténtek, hogy megszerezzék a megfelelõ aláírási fájlt. Ahelyett, hogy megpróbálnák felismerni az ismert behatolási mintákat, ezek inkább rendellenességeket keresnek. Például észlelnék, hogy valaki többször is rossz jelszóval próbált hozzáférni a rendszerhez, ami a brutális erő támadásának általános jele. Mint gondolnád, minden egyes észlelési módszernek megvannak az előnyei. Ez az oka annak, hogy a legjobb eszközök gyakran használják mindkettő kombinációját a legjobb védelem érdekében.
Két típusú behatolásérzékelő rendszerek
Csakúgy, mint különböző detektálási módszereka behatolásjelző rendszereknek két fő típusa is van. Leginkább abban a helyben különböznek egymástól, ahol a behatolás észlelését végrehajtják, akár gazdagépes, akár hálózati szinten. Itt ismét mindegyiknek megvannak az előnyei, és a lehető legjobb - vagy legbiztonságosabb - megoldás mindkettő használata.
Behatolásjelző rendszerek (HIDS)
Az első típusú behatolás-érzékelő rendszera házigazda szintjén működik. Ellenőrizheti például a különböző naplófájlokat a gyanús tevékenység jeleit illetően. Úgy is működhet, ha a fontos konfigurációs fájlokat illetéktelen változtatásokkal ellenőrzi. Az anomálián alapuló HIDS ezt tenné. Másrészről, az aláírás-alapú rendszerek ugyanazokat a napló- és konfigurációs fájlokat nézik meg, de konkrét ismert behatolási mintákat keresnének. Például, egy bizonyos behatolási módszer működhet úgy, hogy egy bizonyos karakterláncot ad hozzá egy adott konfigurációs fájlhoz, amelyet az aláírás-alapú IDS észlel.
Mint gondolhatta volna, a HIDS telepítve vanközvetlenül azon az eszközön, amelyet védeni szándékoznak, így minden számítógépére telepítenie kell őket. a legtöbb rendszer azonban rendelkezik egy központi konzollal, ahol az alkalmazás minden példányát vezérelheti.
Hálózati behatolásérzékelő rendszerek (NIDS)
Hálózati behatolásjelző rendszerek vagy NIDSdolgozzon a hálózat határán az észlelés végrehajtása érdekében. Hasonló módszereket alkalmaznak, mint gazda behatolásérzékelő rendszerek. Természetesen a napló- és a konfigurációs fájlok keresése helyett a hálózati forgalom, például a csatlakozási kérelmek keresése. Néhány betolakodási módszerről ismert, hogy kihasználják a sebezhetőségeket azzal, hogy szándékosan hibásan elkészített csomagokat küldnek a gazdagépeknek, és így bizonyos módon reagálnak. A hálózati behatolás-érzékelő rendszerek ezeket könnyen észlelhetik.
Néhányan azt állítják, hogy a NIDS jobb, mint a HIDSmivel támadásokat észlelnek még azelőtt, hogy elérnék a számítógépedet. Sokkal jobbak, mert nem igényelnek semmilyen telepítést az egyes számítógépekre a hatékony védelem érdekében. Másrészt kevés védelmet nyújtanak a bennfentes támadások ellen, amelyek sajnos egyáltalán nem ritkák. Ez egy másik eset, amikor a legjobb védelem mindkét típusú eszköz kombinációjának használatával származik.
Behatolás-észlelés és megelőzés
Két különféle műfaj van az eszközbenbehatolás-védelmi világ: behatolás-érzékelő rendszerek és behatolás-megelőző rendszerek. Noha eltérő célt szolgálnak, a két típusú eszköz között gyakran van átfedés. Ahogy a neve is sugallja, a behatolás-észlelés általánosságban észlelheti a behatolási kísérleteket és a gyanús tevékenységeket. Ha igen, általában valamilyen riasztást vagy értesítést indít. Ezután a rendszergazdának kell megtennie a szükséges lépéseket e kísérlet leállítására vagy blokkolására.
A behatolás-megelőző rendszerek viszontazon dolgozzanak, hogy megakadályozzák a betolakodást. A behatolás-megelőző rendszerek többsége tartalmaz egy észlelési komponenst, amely bizonyos beavatkozásokat kivált, amikor betörési kísérleteket észlelnek. A behatolás megelőzése azonban passzív is lehet. A kifejezés bármilyen lépésre utalhat, amelyet a behatolás megakadályozása érdekében hoztak létre. Gondolhatunk olyan intézkedésekre, mint például a jelszó megerősítése.
A legjobb ingyenes behatolás-észlelő eszközök
A behatolásérzékelő rendszerek költségesek lehetnek,nagyon drága. Szerencsére nagyon sok ingyenes alternatíva áll rendelkezésre. az interneten kerestük a behatolás-felismerő szoftver legjobb eszközöit. Nagyon keveset találtunk, és rövidesen áttekintettük a találatok tíz legjobbját.
1. OSSEC
Az OSSEC, amely az Open Source Security kifejezést jelentimessze a vezető nyílt forráskódú behatolás-érzékelő rendszer. Az OSSEC a Trend Micro tulajdona, az IT biztonság egyik vezető neve. Az Unix-szerű operációs rendszerekre telepített szoftver elsősorban a napló- és a konfigurációs fájlokra összpontosít. Ez létrehozza a fontos fájlok ellenőrző összegeit és időről időre ellenőrzi azokat, figyelmeztetve, ha furcsa történik. Ezenkívül figyelemmel kíséri és elkapja a root hozzáférés megszerzésének furcsa kísérleteit. Windows rendszeren a rendszer figyelemmel kíséri a jogosulatlan beállításjegyzék-módosításokat is.
Az OSSEC, mint host behatolás-érzékelő rendszertelepíteni kell minden védeni kívánt számítógépre. Azonban egyetlen konzolban egyesíti az egyes védett számítógépekről származó információkat az egyszerűbb kezelés érdekében. A szoftver csak Unix-szerű rendszereken fut, de egy ügynök rendelkezésre áll a Windows-gazdagépek védelmére. Amikor a rendszer észlel valamit, riasztás jelenik meg a konzolon, és az értesítéseket e-mailben küldi el.
2. Snort
Csakúgy, mint az OSSEC volt a legfontosabb nyílt forráskódú HIDS,A Snort a vezető nyílt forráskódú NIDS. A Snort valójában több, mint egy behatolás-észlelő eszköz. Ez egy csomag-szippantó és egy csomagnaplózó is. De mi minket jelenleg érdekel a Snort behatolásjelző funkciói. Úgy tűnik, mint a tűzfal, a Snort szabályok segítségével van konfigurálva. Az alapszabályok letölthetők a Snort webhelyről, és testreszabhatók az Ön egyedi igényeihez. Feliratkozhat a Snort szabályokra is annak biztosítása érdekében, hogy mindig megkapja a legfrissebb szabályokat, mivel az új veszélyek azonosításakor alakulnak.
Az alapvető Snort-szabályok sokféle észlelhetőkesemények, például lopakodó port-letapogatás, puffer túlcsordulási támadások, CGI-támadások, SMB-szondák és az operációs rendszer ujjlenyomata. Amit a Snort telepítése észlel, az csak a telepített szabályoktól függ. A felkínált alapszabályok némelyike aláírás-alapú, mások anomáliás-alapú. A Snort használata mind a két világ legjobbat nyújthatja
3. Suricata
A Suricata behatolásként reklámozza magátfelderítő és megelőző rendszer, és mint teljes hálózati biztonsági figyelő ökoszisztéma Az eszköz egyik legjobb előnye a Snort-hoz képest, hogy egészen az alkalmazásrétegig működik. Ez lehetővé teszi az eszköz számára az olyan veszélyek észlelését, amelyek más eszközökön észrevétlenül maradhatnak, ha több csomagra osztják őket.
De a Suricata nem csak az alkalmazáson dolgozikréteg. Figyelemmel kíséri továbbá az alacsonyabb szintű protokollokat, mint például a TLS, ICMP, TCP és UDP. Az eszköz megérti azokat a protokollokat is, mint a HTTP, FTP vagy SMB, és képes felismerni az egyébként normál kérésekben rejtett behatolási kísérleteket. Van egy fájlkicsomagolási lehetőség, amely lehetővé teszi a rendszergazdák számára, hogy maguk is megvizsgálják a gyanús fájlokat.
Az építészet szempontjából a Suricata nagyon jól elkészített és kiválóan működika legjobb teljesítmény elérése érdekében a munkaterhelést több processzormagra és szálra osztja fel. A feldolgozás egy részét akár a grafikus kártyára is lerakhatja. Ez egy nagyszerű szolgáltatás a szervereknél, mivel a grafikus kártya többnyire alapjáraton működik.
4. Bro hálózati biztonsági monitor
A listánk következő sorában egy Bro nevű termék találhatóNetwork Security Monitor, egy másik ingyenes hálózati behatolás-érzékelő rendszer. Bro két fázisban működik: forgalomnaplózás és elemzés. A Suricata-hoz hasonlóan a Bro az alkalmazásrétegen is működik, lehetővé téve a megosztott behatolási kísérletek jobb észlelését. Úgy tűnik, hogy minden Bro-val párosul, és elemző modulja két elemből áll. Az első az eseménymotor, amely nyomon követi a kiváltó eseményeket, mint például a nettó TCP kapcsolatok vagy a HTTP kérések. Az eseményeket ezután tovább elemzi házirend-szkriptek, amelyek döntenek arról, hogy aktiválnak-e riasztást, és elindítanak egy műveletet, és az érzékelőrendszeren kívül Bro-nak behatolás-megelőzést is tesznek.
A tesó lehetővé teszi a HTTP, a DNS és az FTP nyomon követéséttevékenységet, valamint az SNMP forgalom figyelését. Ez jó dolog, mivel bár az SNMP-t gyakran használják hálózati megfigyeléshez, ez nem biztonságos protokoll. A Bro lehetővé teszi az eszközkonfiguráció változásainak és az SNMP csapdák figyelését. A Bro telepíthető Unix, Linux és OS X rendszerekre, de a Windows nem érhető el, talán fő hátránya.
5. Nyissa meg a WIPS NG-t
Az Open WIPS NG főként azért vetette fel a listánkbaez az egyetlen, amely kifejezetten a vezeték nélküli hálózatokat célozza meg. A nyílt WIPS NG - ahol a WIPS a vezeték nélküli behatolás-megelőző rendszert jelenti - egy nyílt forráskódú eszköz, amely három fő összetevőből áll. Először is egy érzékelő egy hülye eszköz, amely csak a vezeték nélküli forgalmat rögzíti és elemzésre küldi a kiszolgálóra. Következő a szerver. Ez összesíti az összes érzékelő adatait, elemzi az összegyűjtött adatokat és reagál a támadásokra. Ez a rendszer szíve. Végül, de nem utolsósorban az interfész, amely a grafikus felhasználói felület, amelyet a kiszolgáló kezelésére és a vezeték nélküli hálózat fenyegetéseivel kapcsolatos információk megjelenítésére használ.
De nem mindenkinek tetszik az Open WIPS NG. A termék egy vezeték nélküli csomag-szippantó és jelszó-krakkoló eszköz, amely ugyanazon fejlesztőtől származik, mint az Aircrack NG, és amely minden WiFi-hacker eszközkészletének része. Másrészt, figyelembe véve a hátterét, feltételezhetjük, hogy a fejlesztő nagyon keveset tud a Wi-Fi biztonságáról.
6. Samhain
A Samhain egy ingyenes behatolás-érzékelő rendszeramely biztosítja a fájl integritásának ellenőrzését és a naplófájl megfigyelését / elemzését. Ezenkívül a termék rootkit-észlelést, portfigyelést, szélhámos SUID végrehajtható fájlok és rejtett folyamatok észlelését is végzi. Ezt az eszközt több rendszer figyelésére tervezték, különféle operációs rendszerekkel, központosított naplózással és karbantartással. A Samhain azonban önálló alkalmazásként is használható egyetlen számítógépen. A Samhain olyan POSIX rendszereken is futtatható, mint például az Unix Linux vagy az OS X. Windows rendszeren is futtatható, Cygwin alatt, bár csak a megfigyelő ügynököt és nem a kiszolgálót tesztelték ebben a konfigurációban.
Samhain egyik legegyedibb tulajdonsága azlopakodó mód, amely lehetővé teszi annak futtatását anélkül, hogy a támadók észlelnék őket. A betolakodók túl gyakran megölik az általuk felismert észlelési folyamatokat, lehetővé téve számukra, hogy észrevétlenül maradjanak. Samhain szteganográfia segítségével elrejti folyamatait másoktól. Emellett egy PGP-kulcsmal védi a központi naplófájlokat és a konfigurációs biztonsági mentéseket is, hogy megakadályozzák a hamisítást.
7. Fail2Ban
A Fail2Ban érdekes ingyenes host behatolásérzékelő rendszer, amely szintén rendelkezik néhány megelőzési funkcióval. Ez az eszköz úgy működik, hogy megfigyeli a naplófájlokat gyanús események - például sikertelen bejelentkezési kísérletek, kizsákmányolások stb. - felismerésekor. Ha valami gyanúsot észlel, automatikusan frissíti a helyi tűzfalszabályokat, hogy blokkolja a rosszindulatú viselkedés forrás IP-címét. Ez az eszköz alapértelmezett művelete, de bármilyen más önkényes művelet - például e-mail értesítések küldése - konfigurálható.
A rendszer különféle előre beépített szűrőkkel rendelkeziknéhány a leggyakoribb szolgáltatásokhoz, például az Apache, a Courrier, az SSH, az FTP, a Postfix és még sok más. A megelőzés a gazdagép tűzfalatábláinak módosításával valósul meg. Az eszköz működhet a Netfilterrel, az IPtable-kel vagy a TCP Wrapper hosts.deny táblájával. Minden szűrőt egy vagy több művelethez társíthatunk. A szűrőket és a műveleteket együttesen börtönnek nevezik.
8. TÁMOGATÁS
Az AIDE az Advanced Intrusion rövidítéseÉrzékelési környezet. Az ingyenes behatolás-érzékelő rendszer elsősorban a rootkit-észlelésre és a fájlaláírások összehasonlítására összpontosít. Az AIDE kezdeti telepítésekor a rendszer konfigurációs fájljaiból összeállítja az adminisztrátori adatok adatbázisát. Ezt azután kiindulási alapként használják, amellyel bármilyen változás összehasonlítható, és szükség esetén visszavonható.
Az AIDE mind aláírás-, mind anomália-alapúelemzés, amelyet igény szerint futtatnak, nem ütemezett vagy folyamatosan futó, valójában ez a termék fő hátránya. Az AIDE azonban egy parancssori eszköz, és CRON job létrehozható annak rendszeres időközönkénti futtatásához. És ha nagyon gyakran futtatja - például kb. Percenként -, akkor kvázi-valós idejű adatokat kap. A lényegében az AIDE nem más, mint egy adat-összehasonlító eszköz. Külső szkripteket kell létrehozni, hogy valódi HIDS legyen.
9. Biztonsági hagyma
Biztonsági Hagyma egy érdekes állat, amely képessok időt takarít meg. Ez nem csak a behatolás észlelésére vagy megelőzésére szolgáló rendszer. A Security Onion egy komplett Linux disztribúció, amely a behatolás észlelésére, a vállalati biztonsági figyelésre és a naplókezelésre összpontosít. Számos eszközt tartalmaz, amelyek közül néhányat éppen felülvizsgáltunk. Például a Security Onion rendelkezik Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner és még sok másnal. Mindez egy könnyen használható telepítővarázslóval van felszerelve, amely lehetővé teszi a szervezet védelmét percek alatt. Gondolkodhat a Biztonsági Hagymara, mint a svájci hadsereg késére a vállalati informatikai biztonság területén.
Ebben az eszközben a legérdekesebb dologhogy mindent egy egyszerű telepítéssel kap. És hálózati és host behatolás-észlelési eszközöket is kap. Vannak olyan eszközök, amelyek aláírás-alapú megközelítést használnak, és vannak olyanok, amelyek anomálián alapulnak. A disztribúció szöveges és GUI eszközök kombinációját is tartalmazza. Valóban kiváló keverék van mindent. A hátrány természetesen az, hogy annyit kapsz, hogy az összes konfigurálása eltarthat egy ideig. De nem kell minden eszközt használnia. Csak azokat választhatja ki, amelyeket jobban szeret.
10. Sagan
A Sagan valójában inkább egy naplóelemző rendszermint egy igazi IDS, de van néhány IDS-szerű funkciója, amelyek véleményünk szerint indokolttá teszik annak felvételét a listánkba. Ez az eszköz figyeli a rendszer helyi naplóit, ahova telepítették, de más eszközökkel is kölcsönhatásba léphet. Elemezheti például a Snort naplóit, hatékonyan hozzáadva néhány NIDS funkciót ahhoz, ami lényegében HIDS. És nem csak kölcsönhatásba lép a Snort-lal. Kommunikálhat a Suricatával is, és kompatibilis számos szabályalkotási eszközzel, mint például az Oinkmaster vagy a Pulled Pork.
A Sagan parancsfájlok végrehajtására is képesdurva betolakodásgátló rendszerré téve. Ez az eszköz valószínűleg nem használható az önálló védekezésként a behatolás ellen, ám ez egy nagyszerű összetevője egy olyan rendszernek, amely számos eszközt képes beépíteni a különböző forrásokból származó események korrelációjával.
Következtetés
A behatolásérzékelő rendszerek csak az egyikekszámos rendelkezésre álló eszköz segít a hálózati és rendszergazdáknak a környezetük optimális működésének biztosításában. Az itt tárgyalt eszközök bármelyike kiváló, ám ezeknek valamivel eltérő célja van. Az Ön által választott módszer nagyban függ a személyes preferenciáktól és a konkrét igényektől.
Hozzászólások