אבטחה היא נושא חם וזה כבר דיבנתיים. לפני שנים רבות, נגיפים היו החשש היחיד של מנהלי מערכות. הנגיפים היו כה נפוצים עד שהובילה את הדרך למגוון מדהים של כלים למניעת וירוסים. בימינו, בקושי מישהו היה חושב להפעיל מחשב לא מוגן. עם זאת, פריצה למחשב, או גישה לא מורשית לנתונים שלך על ידי משתמשים זדוניים, היא "האיום du jour". רשתות הפכו למטרה של מספר רב של האקרים בכוונה לא טובה, אשר יתאמץ מאוד כדי לקבל גישה לנתונים שלך. ההגנה הטובה ביותר שלך מפני איומים מסוג זה היא מערכת גילוי פריצה או מניעה. היום אנו בודקים עשרה מכלי הגילוי החדשים הטובים ביותר בחינם.
לפני שנתחיל, נדון תחילה בנושאשיטות זיהוי חדירה שונות הנמצאות בשימוש. בדיוק כמו שישנן דרכים רבות שפורצים יכולים להיכנס לרשת שלך, ישנן דרכים לא פחות - אולי אפילו יותר - דרכים לזהות אותן. לאחר מכן, נדון בשתי הקטגוריות העיקריות של מערכת גילוי חדירות: איתור חדירות רשת וזיהוי חדירת מארחים. לפני שנמשיך, נסביר את ההבדלים בין גילוי פריצות למניעת חדירות. ולבסוף, אנו נסקור לכם סקירה קצרה של עשרה כלי הכלים הטובים ביותר לגילוי פריצות שיכולנו למצוא.
שיטות איתור חדירות
למעשה ישנן שתי שיטות שונותלגלות ניסיונות חדירה. זה יכול להיות מבוסס חתימה או מבוסס אנומליה. בואו נראה כיצד הם שונים. איתור חדירה מבוסס חתימה עובד על ידי ניתוח נתונים לדפוסים ספציפיים שקשורים לניסיונות חדירה. זה דומה למערכות אנטי-וירוס מסורתיות הנשענות על הגדרות וירוס. מערכות אלו ישוו נתונים בין דפוסי חתימות פריצה כדי לזהות ניסיונות. החיסרון העיקרי שלהם הוא שהם לא עובדים עד להעלאת החתימה הנכונה לתוכנה, מה שקורה בדרך כלל לאחר שמותקפים על מספר מסוים של מכונות.
גילוי חדירות מבוסס אנומליות מספקיםהגנה טובה יותר מפני התקפות אפס יום, כאלו שקורים לפני שתוכנת גילוי חדירה כלשהי קיבלה הזדמנות לרכוש את קובץ החתימה הנכון. במקום לנסות לזהות דפוסי פריצה ידועים, אלה במקום זאת יחפשו חריגות. למשל, הם יגלו שמישהו ניסה לגשת למערכת עם סיסמה שגויה מספר פעמים, סימן שכיח להתקפת כוח סוער. כפי שאפשר לנחש, לכל שיטת איתור יתרונותיה. זו הסיבה שהכלי הטוב ביותר ישתמש לעתים קרובות בשילוב של שניהם להגנה הטובה ביותר.
שני סוגים של מערכות גילוי חדירות
ממש כמו שיש שיטות גילוי שונותישנם גם שני סוגים עיקריים של מערכות גילוי חדירות. הם נבדלים בעיקר במיקום בו מתבצעת גילוי הפריצה, ברמת המארח או ברמת הרשת. כאן שוב, לכל אחד מהם היתרונות והפתרון הטוב ביותר - או המאובטח ביותר - הוא אולי להשתמש בשניהם.
מערכות גילוי חדירות לארח (HIDS)
הסוג הראשון של מערכת גילוי פריצותפועלת ברמה המארחת. זה יכול, למשל, לבדוק בקבצי יומן שונים אם יש סימן כלשהו לפעילות חשודה. זה יכול גם לעבוד על ידי בדיקת קבצי תצורה חשובים אם הם לא מורשים. זה מה שה- HIDS על בסיס אנומאלי יעשה. מצד שני, מערכות מבוססות חתימה היו מסתכלות על אותם קבצי יומן וקובץ תצורה אך היו מחפשות דפוסי פריצה ידועים ספציפיים. לדוגמה, ייתכן שידוע כי שיטת פריצה מסוימת עובדת על ידי הוספת מחרוזת מסוימת לקובץ תצורה ספציפי ש- IDS מבוסס החתימה יגלה.
כפי שיכולתם לדמיין, HIDS מותקניםישירות במכשיר שאליו הם נועדו להגן, כך שתצטרך להתקין אותם בכל המחשבים שלך. עם זאת, לרוב המערכות יש קונסולה מרכזית בה אתה יכול לשלוט בכל מופע של היישום.
מערכות גילוי חדירות לרשת (NIDS)
מערכות גילוי חדירות לרשת, או NIDS,עבוד בגבול הרשת שלך כדי לאכוף את הגילוי. הם משתמשים בשיטות דומות כמו מערכות גילוי חדירות לארח. כמובן שבמקום להסתכל הם קבצי יומן ותצורה, הם נראים בתעבורת רשת כמו בקשות חיבור. ידוע כי שיטות פריצה מסוימות מנצלות פגיעויות על ידי שליחת מנות בעלות מבנה מכוון בכוונה למארחים, וגורמות להם להגיב בצורה מסוימת. מערכות גילוי חדירת רשתות יכולות לאתר בקלות אלה.
יש שיטענו כי NIDS טובים מ- HIDSכפי שהם מגלים התקפות עוד לפני שהם מגיעים למחשבים שלך. הם גם טובים יותר מכיוון שהם לא דורשים להתקין שום דבר על כל מחשב כדי להגן עליהם בצורה יעילה. מצד שני, הם מספקים הגנה מועטה מפני התקפות פנים שלצערנו אינן נדירות כלל. זהו מקרה נוסף בו ההגנה הטובה ביותר מגיעה משימוש בשילוב של שני סוגי הכלים.
גילוי חדירות נגד מניעה
ישנם שני סוגים שונים של כלים ב-עולם הגנה מפני פריצות: מערכות גילוי פריצות ומערכות למניעת חדירות. למרות שהם משרתים מטרה אחרת, לעתים קרובות יש חפיפה מסוימת בין שני סוגי הכלים. כשמו כן הוא, גילוי החדירה יגלה ניסיונות חדירה ופעילויות חשודות באופן כללי. כאשר זה קורה, זה בדרך כלל יפעיל סוג של אזעקה או התראה. לאחר מכן, על מנהל המערכת לנקוט בצעדים הדרושים כדי לעצור או לחסום ניסיון זה.
מערכות מניעת חדירות לעומת זאת,לעבוד על עצירת חדירות מלהתרחש לחלוטין. רוב המערכות למניעת חדירות יכללו רכיב איתור אשר יפעיל פעולה כלשהי בכל פעם שמתגלים ניסיונות חדירה. אך מניעת חדירות יכולה להיות גם פאסיבית. ניתן להשתמש במונח כדי להתייחס לכל שלב שמתקיים על מנת למנוע פריצות. אנו יכולים לחשוב על אמצעים כמו הקשחת סיסמאות, למשל.
כלי איתור הפריצות הטובים ביותר בחינם
מערכות גילוי חדירות יכולות להיות יקרות,יקר מאוד. למרבה המזל, קיימות לא מעט אלטרנטיבות בחינם. חיפשנו באינטרנט כמה מכלי התוכנה הטובים ביותר לזיהוי פריצות. מצאנו לא מעט ואנחנו עומדים לסקור בקצרה את העשרה הטובים ביותר שיכולנו למצוא.
1. OSSEC
OSSEC, שמייצגת עבור קוד פתוח אבטחה, היאללא ספק מערכת איתור החדירה המובילה בקוד פתוח. OSSEC נמצאת בבעלות Trend Micro, אחד השמות המובילים בתחום אבטחת IT. התוכנה, כאשר היא מותקנת במערכות הפעלה דמויות Unix, מתמקדת בעיקר בקבצי יומן ותצורה. זה יוצר סיכומי צ'קים של קבצים חשובים ומאמת אותם מעת לעת, ומתריע אם קורה משהו מוזר. זה גם יפקח ותפס כל ניסיונות מוזרים להשיג גישה לשורש. במערכת Windows, המערכת שומרת עין גם על שינויי רישום לא מורשים.
OSSEC, בהיותה מערכת גילוי חדירות לארחצריך להיות מותקן בכל מחשב שברצונך להגן עליו. עם זאת, זה יאחד מידע מכל מחשב מוגן במסוף יחיד לניהול קל יותר. התוכנה פועלת רק במערכות Unix-Like אך סוכן זמין להגנה על מארחי Windows. כאשר המערכת מזהה משהו, מוצגת התראה על המסוף וההודעות נשלחות באמצעות דואר אלקטרוני.
2. נחר
בדיוק כמו ש- OSSEC היה ה- HIDS הגדול ביותר בקוד הפתוח,Snort הוא ה- NIDS המוביל בקוד הפתוח. Snort הוא למעשה יותר מכלי לזיהוי פריצות. זה גם רחרוח מנות ולוגר מנות. אבל מה שאנחנו מעוניינים בינתיים זה תכונות גילוי הפריצות של סנורט. כמו חומת אש, Snort מוגדר באמצעות כללים. ניתן להוריד את כללי הבסיס מאתר Snort ולהתאים אותם לצרכים הספציפיים שלך. אתה יכול גם להירשם כמנוי לכללי Snort כדי להבטיח שתמיד תקבל את העדכונים ביותר בזמן שהם יתפתחו עם זיהוי איומים חדשים.
כללי Snort הבסיסיים יכולים לאתר מגוון רחבשל אירועים כמו סריקות נמל התגנבות, התקפות הצפת מאגר, התקפות CGI, בדיקות SMB וטביעות אצבע של מערכת ההפעלה. מה שמתקין Snort שלך מזהה תלוי אך ורק באילו כללים התקנת. חלק מהכללים הבסיסיים המוצעים הם מבוססי חתימה ואילו אחרים מבוססים על אנומליות. השימוש בסנורט יכול להעניק לך את הטוב שבשני העולמות
3. סוריקטה
סוריקטה מפרסמת את עצמה כחדירהמערכת איתור ומניעה וכמערכת אקולוגית מלאה לניטור אבטחת רשת. אחד היתרונות הטובים ביותר של הכלי הזה על פני Snort הוא שהוא עובד עד לשכבת היישום. זה מאפשר לכלי לאתר איומים שעלולים להבחין בכלים אחרים על ידי פיצול על מספר מנות.
אבל סוריקטה לא עובד רק ביישוםשכבה. זה גם יפקח על פרוטוקול ברמה נמוכה יותר כמו TLS, ICMP, TCP ו- UDP. הכלי מבין גם פרוטוקולים כמו HTTP, FTP או SMB ויכול לאתר ניסיונות חדירה מוסתרים בבקשות רגילות אחרת. יש גם יכולת חילוץ קבצים כדי לאפשר למנהלי מערכת לבדוק קבצים חשודים בעצמם.
מבחינה ארכיטקטונית, Suricata עשוי היטבזה יפיץ את עומס העבודה שלו על כמה ליבות מעבד וחוטים לקבלת הביצועים הטובים ביותר. זה יכול אפילו להוריד חלק מהעיבוד שלו לכרטיס הגרפי. זוהי תכונה נהדרת בשרתים מכיוון שכרטיס הגרפיקה שלהם הוא בעיקר סרק.
4. אח מוניטור אבטחת רשת
הבא ברשימה שלנו הוא מוצר בשם BroNetwork Security Monitor, עוד מערכת גילוי חדירה ברשת בחינם. אחי פועל בשני שלבים: רישום תנועה וניתוח. בדומה לסוריקטה, גם בר פועלת בשכבת היישום, ומאפשרת איתור טוב יותר של ניסיונות חדירה מפוצלים. נראה שהכל בא בזוגות עם בר ומודול הניתוח שלו מורכב משני אלמנטים. הראשון הוא מנוע האירועים שעוקב אחר אירועים מפעילים כגון חיבורי TCP נטו או בקשות HTTP. לאחר מכן מנותחים את האירועים על ידי סקריפטים למדיניות המחליטים אם להפעיל התראה או לפתוח בפעולה, מה שהופך את חברת Bro למניעת חדירות בנוסף למערכת איתור.
אחי יאפשר לך לעקוב אחר HTTP, DNS ו- FTPפעילות כמו גם פיקוח על תנועת SNMP. זה דבר טוב מכיוון שלמרות שלעתים קרובות SNMP משמש לניטור רשת, הוא אינו פרוטוקול מאובטח. Bro גם מאפשרת לך לצפות בשינויים בתצורת המכשיר ובמלכודות SNMP. ניתן להתקין את אחי ב- Unix, Linux ו- OS X, אך היא אינה זמינה עבור Windows, אולי החיסרון העיקרי שלה.
5. פתח את WIPS NG
WIPS NG הפתוח הגיע לרשימה שלנו בעיקר בגללזה היחיד שממקד ספציפית לרשתות אלחוטיות. Open WIPS NG - שם WIPS עומד על מערכת מניעת חדירות אלחוטית - הוא כלי בקוד פתוח הכולל שלושה רכיבים עיקריים. ראשית, יש את החיישן שהוא מכשיר מטומטם שרק תופס תנועה אלחוטית ושולח אותו לשרת לצורך ניתוח. הבא הוא השרת. זה צובר נתונים מכל החיישנים, מנתח את הנתונים שנאספו ומגיב להתקפות. זהו לב המערכת. אחרון חביב הוא רכיב הממשק שהוא ממשק המשתמש בו אתה משתמש לניהול השרת ולהצגת מידע על איומים ברשת האלחוטית שלך.
אבל לא כולם אוהבים Open WIPS NG. המוצר אם מאותו מפתח כמו Aircrack NG, מריח מנות אלחוטי ומפצח סיסמאות שהוא חלק מכל ערכת הכלים של האקר WiFi. מצד שני, בהתחשב ברקע שלו, אנו יכולים להניח שהמפתח יודע לא מעט על אבטחת Wi-Fi.
6. סמהיין
Samhain היא מערכת גילוי חדירות לארח בחינםהמספק בדיקת תקינות קבצים וניטור / ניתוח קבצי יומן. בנוסף, המוצר מבצע גם איתור ערכות שורש, פיקוח על יציאה, איתור רשימות SUID נוכלות ותהליכים נסתרים. כלי זה תוכנן לפקח על מספר מערכות עם מערכות הפעלה שונות עם רישום ותחזוקה מרכזיים. עם זאת, Samhain יכול לשמש גם כיישום עצמאי במחשב יחיד. Samhain יכול לרוץ במערכות POSIX כמו יוניקס לינוקס או OS X. זה יכול גם לפעול במערכת Windows תחת Cygwin אם כי רק סוכן הניטור ולא השרת נבדק בתצורה זו.
אחד התכונות הייחודיות ביותר של Samhain הוא זהמצב התגנבות המאפשר לה לפעול מבלי שאותו תוקפים יתגלו. לעתים קרובות מדי פורצים הורגים תהליכי גילוי שהם מכירים, ומאפשרים להם לשים לב. Samhain משתמש ב- Steganography כדי להסתיר את התהליכים שלה מאחרים. זה גם מגן על קבצי היומן המרכזיים ועל גיבוי התצורה באמצעות מפתח PGP למניעת חבלה.
7. Fail2Ban
Fail2Ban הוא חדירה מארחת בחינם מעניינתמערכת איתור הכוללת גם כמה מאפייני מניעה. כלי זה פועל על ידי ניטור קבצי יומן עבור אירועים חשודים כמו ניסיונות כניסה כושלים, ניצול חיפושים וכו '. כאשר הוא אכן מגלה משהו חשוד, הוא מעדכן אוטומטית את כללי חומת האש המקומית כדי לחסום את כתובת ה- IP המקורית של ההתנהגות הזדונית. זוהי פעולת ברירת המחדל של הכלי אך ניתן להגדיר כל פעולה שרירותית אחרת - למשל שליחת התראות בדוא"ל.
המערכת מגיעה עם פילטרים שונים שנבנו מראשעבור כמה מהשירותים הנפוצים ביותר כמו אפאצ'י, Courrier, SSH, FTP, Postfix ורבים אחרים. מניעה מתבצעת על ידי שינוי טבלאות חומת האש של המארח. הכלי יכול לעבוד עם Netfilter, IPtables או הטבלה hosts.deny של TCP Wrapper. ניתן לשייך כל פילטר לפעולה אחת או רבות. יחד מכנים פילטרים ופעולות כלא.
8. עזרה
AIDE הוא ראשי תיבות של חדירה מתקדמתסביבת גילוי. מערכת גילוי הפריצה המארחת החינמית מתמקדת בעיקר בזיהוי ערכות root והשוואת חתימות קבצים. כשאתה מתקין לראשונה את AIDE, הוא ירכיב בסיס נתונים של נתוני מנהל מערכת מקבצי התצורה של המערכת. לאחר מכן משתמשים בו בתור קו בסיס שמולו ניתן להשוות כל שינוי ובסופו של דבר להחזיר אותו למקרה הצורך.
AIDE משתמש גם מבוסס חתימה וגם מבוסס אנומליהניתוח שמופעל על פי דרישה ולא מתוזמן או פועל ברציפות, זהו למעשה החיסרון העיקרי של מוצר זה. עם זאת, AIDE הוא כלי בשורת הפקודה וניתן ליצור משימת CRON כדי להריץ אותו בפרקי זמן קבועים. ואם אתה מפעיל את זה בתדירות גבוהה - כמו כל דקה לערך - תקבל נתונים מעין בזמן אמת. בבסיסה, AIDE אינו אלא כלי להשוואת נתונים. יש ליצור סקריפטים חיצוניים כדי להפוך אותו ל- HIDS אמיתי.
9. בצל אבטחה
בצל אבטחה הוא חיה מעניינת שיכולהחסוך לך זמן רב. זו לא רק מערכת גילוי או מניעה של חדירות. בצל אבטחה הוא הפצה לינוקס מלאה עם דגש על גילוי חדירות, ניטור אבטחה ארגוני וניהול יומני. זה כולל כלים רבים שחלקם סקרנו זה עתה. לדוגמה, ב- Security Onion יש Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner, ועוד. כל זאת יחד עם אשף הגדרות קל לשימוש, המאפשר לך להגן על הארגון שלך תוך דקות ספורות. אתה יכול לחשוב על בצל אבטחה כסכין הצבא השוויצרי של אבטחת IT ארגונית.
הדבר המעניין ביותר בכלי זהשאתה מקבל הכל בהתקנה אחת פשוטה. ותקבל גם כלי לגילוי חדירות לרשת וגם לארח. ישנם כלים המשתמשים בגישה מבוססת חתימה ויש כאלה שמבוססים על אנומליות. ההפצה כוללת גם שילוב של כלים מבוססי טקסט וכלי GUI. יש באמת תערובת מצוינת של הכל. החיסרון, כמובן, הוא שאתה מקבל כל כך הרבה שתצורת הכל יכולה לקחת זמן מה. אבל אתה לא צריך להשתמש בכל הכלים. אתה יכול לבחור רק את אלה שאתה מעדיף.
10. סגן
Sagan הוא למעשה יותר מערכת ניתוח יומןמאשר IDS אמיתי אבל יש לו כמה תכונות דמויות IDS שלדעתנו הצדיקו את הכללתה ברשימה שלנו. כלי זה יכול לצפות ביומנים המקומיים של המערכת בה היא מותקנת, אך הוא יכול גם לתקשר עם כלים אחרים. זה יכול, למשל, לנתח את יומני Snort, להוסיף ביעילות כמה פונקציונליות NIDS למה שהוא בעצם HIDS. וזה לא סתם מתקשר עם סנורט. זה יכול גם לקיים אינטראקציה עם Suricata וזה תואם לכמה כלים לבניית כללים כמו Oinkmaster או Pulled Pork.
לסאגן יש גם יכולות ביצוע סקריפטמה שהופך אותה למערכת מניעת חדירות גסה. יתכן וכלי זה לא ישמש כהגנה היחידה שלך מפני פריצה, אך הוא יהיה מרכיב נהדר במערכת שיכולה לשלב כלים רבים על ידי מתאם אירועים ממקורות שונים.
סיכום
מערכות גילוי חדירות הן רק אחת מהןכלים רבים העומדים לרשותם של מנהלי רשת ומערכת להבטיח את התפעול האופטימלי של הסביבה שלהם. כל אחד מהכלים שנדונו כאן הם מצוינים אך לכל אחד מהם מטרה מעט שונה. זה שתבחר יהיה תלוי במידה רבה בהעדפה האישית ובצרכים הספציפיים.
הערות