- - Hálózati alapú behatolásérzékelő rendszerek: 5 legjobb NIDS eszköz

Hálózati alapú behatolás-érzékelő rendszerek: 5 legjobb NIDS eszköz

Úgy tűnik, hogy manapság mindenki aggódikbiztonsággal. A kiberbűnözés fontosságának mérlegelésekor van értelme. A szervezeteket olyan hackerek célozzák meg, akik megpróbálják ellopni adataikat, vagy egyéb károkat okozni számukra. A megfelelő eszközök és rendszerek használata az egyik módja annak, hogy megvédje informatikai környezetét a támadásoktól. Gyakran az első védelmi vonal a hálózat kerületén található hálózati alapú behatolás-észlelési rendszerek vagy NIDS formájában.. Ezek a rendszerek elemzik az Ön forgalmán lévő forgalmathálózatot az internetről, hogy felfedezzen minden gyanús tevékenységet, és azonnal figyelmeztessen. A NIDS annyira népszerű és nagyon sok közülük elérhető, ha kihívást jelenthet az Ön igényeinek legmegfelelőbb megtalálása. Neked segíteni, összeállítottuk a legjobb hálózati alapú behatolás-felderítő rendszerek néhány listáját.


Utazásunkat azzal kezdjük meg, hogy megnézzük akülönféle típusú behatolásérzékelő rendszerek. Alapvetően kétféle típus létezik: hálózati és gazda alapú. Megmagyarázjuk a különbségeket. A behatolásérzékelő rendszerek eltérnek az általuk használt észlelési módszertől is. Néhányuk aláírás-alapú megközelítést alkalmaz, míg mások a viselkedés elemzésére támaszkodnak. A legjobb eszközök mindkét észlelési módszer kombinációját használják. A piac telített mind a behatolás észlelésével, mind a behatolás megelőzésével. Meg fogjuk vizsgálni, hogy különböznek egymástól és mennyiben hasonlítanak egymásra, mivel fontos megérteni a különbséget. Végül áttekintjük a legjobb hálózati alapú behatolás-észlelési rendszereket és bemutatjuk azok legfontosabb szolgáltatásait.

Hálózati vs gazdagép-behatolás-észlelés

A behatolásérzékelő rendszerek a kettő közül az egyik lehetnektípusok. Mindkettőnek azonos célja - a behatolási kísérletek vagy a gyanús tevékenységek gyors észlelése, amelyek potenciálisan behatolási kísérletekhez vezethetnek -, de különböznek a végrehajtási pont helyétől, amely arra utal, ahol a felderítés történik. Minden típusú behatolás-észlelő eszköznek vannak előnyei és hátrányai. Nincs valódi egyetértés abban, hogy melyik a jobb. Egyesek esküttek az egyik típusra, míg mások csak a másikba bíznak. Mindkettőnek valószínűleg igaza van. A legjobb - vagy a legbiztonságosabb - megoldás valószínűleg az, amely mindkét típust ötvözi.

Hálózati behatolásérzékelő rendszerek (NIDS)

A behatolás-érzékelő rendszer első típusaaz úgynevezett hálózati behatolásérzékelő rendszer vagy NIDS. Ezek a rendszerek a hálózat határán működnek az észlelés végrehajtása érdekében. Elfogják és megvizsgálják a hálózati forgalmat, gyanús tevékenységeket keresve, amelyek behatolási kísérletre utalhatnak, és ismert ismert behatolási mintákat keresnek. A betolakodók gyakran megpróbálják kihasználni a különféle rendszerek ismert sebezhetőségét például azzal, hogy hibás formájú csomagokat küldenek a házigazdáknak, és így olyan módon reagálnak, amely lehetővé teszi azok megsértését. A hálózati behatolás-felderítő rendszer valószínűleg fel fogja fedezni az ilyen behatolási kísérleteket.

Egyesek szerint a hálózati behatolás észleléseA rendszerek jobbak, mint a gazdagép-alapú társaik, mivel még a rendszerekbe való bejutásuk előtt is képesek felismerni a támadásokat. Néhányan inkább inkább őket részesítik előnyben, mivel nem igényelnek minden egyes gazdagépen telepítést, hogy hatékonyan megvédjék őket. Másrészt kevés védelmet nyújtanak a bennfentes támadások ellen, amelyek sajnos egyáltalán nem ritkák. A felismerés érdekében a támadó behatolási kísérletének át kell mennie a NIDS-en, amelyet ritkán tesz, amikor belülről jön. Bármelyik technológiának vannak előnyei és hátrányai, és a behatolás észlelésének konkrét esetére semmi sem akadályozza meg, hogy mindkét típusú szerszámot használja a tökéletes védelem érdekében.

Behatolásjelző rendszerek (HIDS)

A host behatolásérzékelő rendszerek (HIDS) működnekfogadó szinten; talán kitalálta ezt a nevükből. Például különféle naplófájlokat és folyóiratokat figyelnek a gyanús tevékenység jeleire. A behatolási kísérletek felismerésének másik módja a rendszerkonfigurációs fájlok jogosulatlan változások ellenőrzése. Megvizsgálhatják ugyanazokat a fájlokat az ismert ismert behatolási minták szempontjából. Például, egy bizonyos behatolási módszer működhet úgy, hogy egy paramétert hozzáad egy adott konfigurációs fájlhoz. Egy jó gazdagép-alapú behatolás-érzékelő rendszer ezt fogja elérni.

Bár a nevük arra késztetheti Önt, hogy erre gondoljonminden HIDS közvetlenül az eszközre van telepítve, amelyet védeni szándékoztak, nem feltétlenül ez a helyzet. Néhányat az összes számítógépre telepíteni kell, míg másoknak csak egy helyi ügynököt kell telepíteniük. Néhányan távolról is végeznek munkájukat ügynök nélkül. Függetlenül attól, hogy működnek, a legtöbb HIDS rendelkezik központi konzollal, ahol az alkalmazás minden példányát vezérelheti és az összes eredményt megtekintheti.

Behatolás-észlelési módszerek

A behatolásérzékelő rendszerek nem csak egymástól különböznek egymástólA végrehajtási ponton belül is különböznek egymástól a betolakodási kísérletek észlelésére használt módszer szerint. Egyesek aláírás-alapúak, mások anomália-alapúak. Az elsők úgy dolgoznak ki, hogy az adatok elemzése olyan behatolási kísérletekkel társított mintákra vonatkozik. Ez hasonló a hagyományos vírusvédelmi rendszerekhez, amelyek a vírusdefiníciókra támaszkodnak. Az aláírás-alapú behatolás-észlelés behatolás-aláírásokra vagy mintákra támaszkodik. Összehasonlítják a rögzített adatokat a behatolási aláírásokkal a behatolási kísérletek azonosítása érdekében. Természetesen addig nem fognak működni, amíg a megfelelő aláírást nem töltik fel a szoftverre; ez néha csak bizonyos számú gép megtámadása után fordulhat elő, és a behatolásjelző kiadóknak volt idejük új frissítőcsomagok közzétételére. Egyes szállítók meglehetősen gyorsak, míg mások csak nappal később tudtak reagálni. Ez az észlelési módszer elsődleges hátránya.

Az anomálián alapuló behatolás-észlelés jobbvédelem a nulla napos támadásokkal szemben, amelyek akkor fordulnak elő, ha bármilyen behatolás-észlelő szoftvernek esélye volt a megfelelõ aláírási fájl beszerzésére. Anomáliákat keresnek, ahelyett, hogy megpróbálnák felismerni az ismert behatolási mintákat. Például, ha valaki többször egymás után próbál hozzáférni egy rendszerhez rossz jelszóval, akkor riasztást vált ki, mivel ez a brute force támadás általános jele. Ezek a rendszerek gyorsan észlelhetnek minden gyanús tevékenységet a hálózaton. Minden észlelési módszernek vannak előnyei és hátrányai, és csakúgy, mint a két eszköz esetében, a legjobb eszközök valószínűleg azok, amelyek az aláírás és a viselkedés elemzése kombinációját használják.

Felderítés vagy megelőzés?

Vannak, akik összezavarodnak közöttükbehatolás-érzékelő és behatolás-megelőző rendszerek. Bár szorosan kapcsolódnak egymáshoz, nem azonosak, bár a kettő között némi funkcionális átfedés áll fenn. Ahogy a neve is sugallja, a behatolás-érzékelő rendszerek észlelik a behatolási kísérleteket és a gyanús tevékenységeket. Amikor észlelnek valamit, általában valamilyen formájú riasztást vagy értesítést váltanak ki. A rendszergazdák feladata, hogy megtegyék a szükséges lépéseket a behatolási kísérlet leállítására vagy blokkolására.

A behatolás-megelőző rendszerek (IPS) egy lépéssel haladnaktovább, és megállíthatja a behatolások teljes előfordulását. A behatolás-megelőző rendszerek tartalmaznak egy észlelési komponenst - amely funkcionálisan egyenértékű a behatolás-érzékelő rendszerrel -, amely automatikus beavatkozást indít minden alkalommal, amikor betolakodási kísérletet észlelnek. A behatolási kísérlet megállításához nincs szükség emberi beavatkozásra. A behatolás megakadályozása utalhat bárminemre, amelyet megtettek vagy bevezettek a behatolások megakadályozására. Például a jelszó megszilárdítása vagy a betolakodók zárolása behatolás-megelőző intézkedéseknek tekinthetők.

A legjobb hálózati behatolás-észlelő eszközök

Megvizsgáltuk a legjobbat a piaconHálózati alapú behatolás-érzékelő rendszerek. A listánk a valódi gazdagép-behatolás-észlelő rendszerek és más szoftverek keverékét tartalmazza, amelyek hálózati alapú behatolás-érzékelő komponenssel rendelkeznek, vagy amelyek felhasználhatók a behatolási kísérletek észlelésére. Mindegyik ajánlott eszköz segíthet felderíteni a hálózaton belüli behatolási kísérleteket.

1. SolarWinds Threat Monitor - IT Ops kiadás (INGYENES bemutató)

A SolarWinds egy általános név ahálózati adminisztrációs eszközök. A vállalat körülbelül 20 éve működik, és hozott nekünk a legjobb hálózati és rendszergazdai eszközöket. Kiemelkedő terméke, a Network Performance Monitor, következetesen szerepel a legjobb hálózati sávszélességet figyelő eszközök között. A SolarWinds kiváló ingyenes eszközöket is készít, amelyek mindegyike a hálózati rendszergazdák speciális igényeinek felel meg. A Kiwi Syslog Server és az Advanced Subnet Calculator két jó példa erre.

A SolarWinds hálózati alapú behatolás-észleléshez a következőket kínálja: Threat Monitor - IT Ops Edition. A legtöbb más SolarWinds eszközzel ellentétben ezaz egyik felhőalapú szolgáltatás, nem pedig helyileg telepített szoftver. Egyszerűen feliratkozik rá, konfigurálja, és elkezdi figyelni a környezetet a behatolási kísérletekre és néhány további fenyegetésre. Az Threat Monitor - IT Ops Edition több eszközt kombinál. Mind hálózati, mind host alapú behatolás-észleléssel, napló-központosítással és korrelációval, valamint biztonsági információkkal és eseménykezeléssel (SIEM) rendelkezik. Ez egy nagyon alapos fenyegetésfigyelő csomag.

SolarWinds Threat Monitor - IT Ops Edition - Irányítópult

  • INGYENES DEMÓ: SolarWinds Threat Monitor - IT Ops kiadás
  • Hivatalos letöltési link: https://www.solarwinds.com/threat-monitor/registration

A Threat Monitor - IT Ops Edition mindig naprakész, folyamatosan frissültöbb forrásból származó fenyegetés-intelligencia, ideértve az IP és a Domain Reputation adatbázisokat is. Figyelemmel kíséri mind az ismert, mind az ismeretlen veszélyeket. Az eszköz automatizált intelligens válaszokat kínál a biztonsági események gyors kiküszöbölésére, adva néhány behatolás-megelőző funkciót.

A termék riasztási tulajdonságai meglehetősen jóakhatásos. Vannak többfeltételes, keresztkorrelációs riasztások, amelyek az eszköz aktív válaszmotorjával együtt működnek, és segítenek a fontos események azonosításában és összefoglalásában. A jelentési rendszer éppen olyan jó, mint a riasztás, és a meglévő előre elkészített jelentéssablonok használatával kimutatható a megfelelés. Alternatív megoldásként egyedi jelentéseket készíthet, amelyek pontosan megfelelnek üzleti igényeinek.

Az árak a SolarWinds Threat Monitor - IT Ops kiadás Kezdje 4500 dollárból, legfeljebb 25 csomóponttól 10 nappalaz index. Vegye fel a kapcsolatot a SolarWinds-rel az Ön igényeihez igazított részletes árajánlatért. És ha jobban akarja látni a terméket működésben, akkor kérjen ingyenes demo-t a SolarWinds-től.

2. Horkant

Horkant minden bizonnyal a legismertebb nyílt forráskódú NIDS. De Horkant valójában több, mint egy behatolás-észlelő eszköz. Ez szintén csomagszippantó és csomagkezelő, és csomagol néhány további funkciót is. Jelenleg az eszköz behatolás-észlelési funkcióira összpontosítunk, mivel erről szól ez a bejegyzés. A termék konfigurálása a tűzfal konfigurálására emlékeztet. Szabályokkal konfigurálva. Az alapszabályokat a következőről töltheti le Horkant weboldalon, és használja őket a jelenlegi formájában, vagy testreszabhatja őket az Ön egyedi igényeihez. Feliratkozhat is Horkant szabályok, amelyek automatikusan megkapják a legújabb szabályokat, amint fejlődnek, vagy amikor új fenyegetéseket fedeznek fel.

Snort IDS konzol Windows rendszeren

Fajta nagyon alapos, és még az alapszabálya is képessokféle eseményt észlelhet, például lopakodó port-letapogatást, puffer túlcsordulási támadásokat, CGI-támadásokat, SMB-szondákat és az operációs rendszer ujjlenyomatait. Gyakorlatilag nincs korlátozás arra vonatkozóan, hogy mit észlelhet ezzel az eszközzel, és mit észlel, az kizárólag a telepített szabálytól függ. Ami a detektálási módszereket illeti, néhány alapvető Snort-szabály aláírás-alapú, míg mások anomália-alapúak. A Snort tehát mind a két világ legjobbat megadhatja.

3. suricata

suricata nem csak egy behatolás-érzékelő rendszer. Bizonyos behatolás-megelőző funkciókkal is rendelkezik. Valójában egy teljes hálózati biztonsági figyelő ökoszisztémaként reklámozzák. Az eszköz egyik legjobb eszköze, hogy miként működik egészen az alkalmazásrétegig. Ez hibrid hálózati és host alapú rendszerré teszi, amely lehetővé teszi az eszköz számára az olyan veszélyek észlelését, amelyek más eszközökkel valószínűleg észrevétlenek maradnak.

Suricata képernyőképe

suricata egy igazi hálózati alapú behatolás-észlelésRendszer, és nem csak az alkalmazásrétegen működik. Figyelemmel kíséri az alacsonyabb szintű hálózati protokollokat, mint például a TLS, ICMP, TCP és UDP. Az eszköz megérti és dekódolja a magasabb szintű protokollokat is, mint például a HTTP, FTP vagy SMB, és képes felismerni az egyébként normál kérésekben rejtett behatolási kísérleteket. Az eszköz rendelkezik a fájlkicsomagolási lehetőségekkel is, amelyek lehetővé teszik az adminisztrátorok számára, hogy megvizsgálja a gyanús fájlokat.

suricataAz alkalmazás architektúrája meglehetősen innovatív. Az eszköz a legjobb teljesítmény elérése érdekében elosztja munkaterhelését több processzormag és szál között. Szükség esetén feldolgozásának egy részét ki is töltheti a grafikus kártyára. Ez egy nagyszerű szolgáltatás, ha az eszközt szervereken használja, mivel a grafikus kártyáikat általában alulhasználják.

4. tesó Hálózati biztonsági figyelő

A Bro hálózati biztonsági figyelő, egy másik ingyenes hálózati behatolás-érzékelő rendszer. Az eszköz két szakaszban működik: forgalom naplózása és forgalom elemzése. Csakúgy, mint Suricata, Bro hálózati biztonsági figyelő több rétegben működik az alkalmazásrétegen. Ez lehetővé teszi az osztott behatolási kísérletek jobb észlelését. Az Bro hálózati biztonsági figyelőElemző modulja két elemből áll. Az első elemet eseménymotornak nevezzük, és nyomon követi a kiváltó eseményeket, például a nettó TCP kapcsolatokat vagy a HTTP kéréseket. Az eseményeket ezután házirend-szkriptek elemzik, a második elemmel, amely eldönti, hogy indítson-e riasztást és / vagy indítson egy műveletet. A cselekvés elindításának lehetősége biztosítja: Bro hálózati biztonsági figyelő néhány IPS-szerű funkció.

Bro hálózati biztonsági figyelő - IDS képernyőképe

A Bro hálózati biztonsági figyelő lehetővé teszi a HTTP, DNS és FTP tevékenységek nyomon követésétés figyelemmel kíséri az SNMP forgalmat. Ez jó dolog, mert az SNMP-t gyakran használják hálózati megfigyeléshez, ám ez nem biztonságos protokoll. Mivel a konfigurációk módosítására is felhasználható, rosszindulatú felhasználók kihasználhatják azokat. Az eszköz lehetővé teszi az eszközkonfiguráció változásainak és az SNMP csapdák figyelését is. Telepíthető Unix, Linux és OS X rendszerekre, de a Windows számára nem érhető el, ami talán a legfontosabb hátránya.

5. Biztonsági hagyma

Nehéz meghatározni, mi a Biztonsági hagyma van. Ez nem csak a behatolás észlelésére vagy megelőzésére szolgáló rendszer. Valójában egy teljes Linux disztribúció, amely a behatolás észlelésére, a vállalati biztonsági figyelésre és a naplókezelésre összpontosít. Mint ilyen, sok időt takaríthat meg a rendszergazdák számára. Számos eszközt tartalmaz, amelyek közül néhányat éppen felülvizsgáltunk. A biztonsági hagyma magában foglalja az Elasticsearch, a Logstash, a Kibana, a Snort, a Suricata, a Bro, az OSSEC, a Sguil, a Squert, a NetworkMiner és még sok más lehetőséget. A telepítés könnyebbé tétele érdekében a disztribúciót egy könnyen használható telepítővarázsló kíséri, amely perceken belül megvédi a szervezetet. Ha kellene leírnunk a Biztonsági hagyma egy mondatban azt mondanánk, hogy ez a svájci hadsereg kés a vállalati informatikai biztonság területén.

Biztonsági hagyma - Események lap

Az egyik legérdekesebb dolog ebbeneszköz, hogy mindent egy egyszerű telepítéssel kap. Behatolás-észleléshez az eszköz mind hálózati, mind gazda-alapú behatolás-észlelési eszközöket kínál. A csomag egyesíti az aláírás-alapú megközelítést használó eszközöket és az anomálián alapuló eszközöket is. Ezenkívül szöveges és GUI eszközök kombinációját is megtalálja. Valóban kiváló keverék van a biztonsági eszközökhöz. Az elsődleges hátránya a biztonsági hagyma. Olyan sok eszköz segítségével, amelyek konfigurálása jelentős feladatnak bizonyulhat. Nem kell azonban használnia és konfigurálnia - az összes eszközt. Ön szabadon választhat csak azokat, amelyeket használni szeretne. Még ha csak a mellékelt eszközöket is használja, ez valószínűleg gyorsabb megoldás, mint külön-külön történő telepítés.

Olvassa el

Mi az a hálózati sniffer, és mire használják?
ContaCam: Felügyeleti rendszer létrehozása webkamerák, WDM és DV segítségével
Mozgásmonitor - Kapcsolja be a webkamerát a mozgásérzékelő biztonsági kamerabe
SolarWinds napló- és eseménykezelő vs Splunk - összehasonlító áttekintés
Távoli hozzáférésű trójaiak (RAT) - Mik azok és hogyan védjék meg őket?
6 legjobb host-alapú behatolás-felderítő rendszer (HIDS) 2019-ben
7 legjobb behatolás-megelőző rendszer (IPS) 2019-re
6 legjobb biztonsági információ és eseménykezelő (SIEM) eszköz, amelyet 2019-ben érdemes megnézni
14 legjobb hálózati biztonsági eszköz a biztonságosabb környezethez 2019-ben
A 10 legfontosabb behatolás-észlelési eszköz: A legjobb ingyenes lehetőségek 2019-re
A hálózati biztonság legfontosabb útmutatója - beleértve az alapvető eszközöket
Adja hozzá az Ok Google Detection eszközét az összes képernyőhöz [nincs gyökér]

Hozzászólások