あなたを賢くするための技術的なヒント - ネットワーク管理者 -侵入検知ツールのトップ10：2019年の最高の無料オプション

侵入検知ツールのトップ10：2019年の最高の無料オプション

セキュリティはホットな話題であり、しばらく。何年も前、ウイルスはシステム管理者の唯一の懸念事項でした。ウイルスは非常に一般的であるため、驚異的な範囲のウイルス防止ツールが開発されました。最近では、保護されていないコンピューターを実行することを考える人はほとんどいません。ただし、コンピューターの侵入、または悪意のあるユーザーによるデータへの不正アクセスは、「脅威」です。ネットワークは、多くの悪意のあるハッカーの標的になっており、ハッカーはデータにアクセスするためにかなりの時間を費やします。これらの種類の脅威に対する最善の防御は、侵入検知または防止システムです。今日、私たちは最高の無料侵入検知ツールの10をレビューしています。

始める前に、まず使用されているさまざまな侵入検知方法。侵入者がネットワークに侵入する多くの方法があるように、それらを検出する方法も同じくらい多くあります。次に、侵入検知システムの2つの主なカテゴリ、ネットワーク侵入検知とホスト侵入検知について説明します。続行する前に、侵入検知と侵入防止の違いについて説明します。最後に、私たちが見つけることができる最高の無料侵入検知ツールの10の簡単なレビューを提供します。

侵入検知方法

基本的に2つの異なる方法が使用されます侵入の試みを検出します。署名ベースまたは異常ベースの可能性があります。それらの違いを見てみましょう。署名ベースの侵入検知は、侵入の試みに関連付けられた特定のパターンのデータを分析することにより機能します。ウイルス定義に依存する従来のウイルス対策システムに似ています。これらのシステムは、データを侵入シグネチャパターンと比較して、試行を識別します。主な欠点は、適切な署名がソフトウェアにアップロードされるまで機能しないことです。これは通常、特定の数のマシンが攻撃された後に発生します。

異常ベースの侵入検知により、侵入検知ソフトウェアが適切な署名ファイルを取得する前に発生するゼロデイ攻撃に対するより良い保護。既知の侵入パターンを認識しようとする代わりに、異常を探します。たとえば、誰かが間違ったパスワードで何度かシステムにアクセスしようとしたことを検出します。これは、ブルートフォース攻撃の一般的な兆候です。ご想像のとおり、各検出方法には利点があります。これが、最良のツールがしばしば最良の保護のために両方の組み合わせを使用する理由です。

2種類の侵入検知システム

さまざまな検出方法があるように侵入検知システムには主に2つのタイプがあります。それらは、ホストレベルまたはネットワークレベルのいずれかで、侵入検知が実行される場所がほとんど異なります。ここでも、それぞれに利点があり、最良のソリューション、または最も安全な方法は両方を使用することです。

ホスト侵入検知システム（HIDS）

侵入検知システムの最初のタイプホストレベルで動作します。たとえば、疑わしいアクティビティの兆候がないか、さまざまなログファイルを確認できます。また、重要な構成ファイルをチェックして、不正な変更がないか確認することもできます。これが異常ベースのHIDSが行うことです。一方、署名ベースのシステムは同じログと設定ファイルを調べますが、特定の既知の侵入パターンを探します。たとえば、特定の侵入方法は、署名ベースのIDSが検出する特定の構成ファイルに特定の文字列を追加することで機能することがわかっています。

ご想像のとおり、HIDSがインストールされています保護対象のデバイスに直接接続するため、すべてのコンピューターにインストールする必要があります。ただし、ほとんどのシステムには、アプリケーションの各インスタンスを制御できる中央コンソールがあります。

ネットワーク侵入検知システム（NIDS）

ネットワーク侵入検知システム、またはNIDS、ネットワークの境界で働き、検出を実施します。ホスト侵入検知システムと同様の方法を使用します。もちろん、ログや設定ファイルを探すのではなく、接続要求などのネットワークトラフィックを探します。意図的に不正な形式のパケットをホストに送信し、特定の方法で反応させることにより、脆弱性を悪用する侵入方法がいくつか知られています。ネットワーク侵入検知システムは、これらを簡単に検知できます。

NIDSはHIDSよりも優れていると主張する人もいます。彼らはあなたのコンピューターに到達する前に攻撃を検出するように。また、効果的に保護するために各コンピューターに何もインストールする必要がないため、優れています。一方、残念ながら、珍しいことではないインサイダー攻撃に対する保護はほとんどありません。これは、両方のタイプのツールを組み合わせて使用することで最良の保護が得られるもう1つのケースです。

侵入検知と防止

には2つの異なるジャンルのツールがあります侵入防御の世界：侵入検知システムと侵入防止システム。それらは異なる目的を果たしますが、多くの場合、2種類のツールにはある程度の重複があります。その名前が示すように、侵入検知は一般に侵入の試みと疑わしい活動を検知します。その場合、通常、何らかのアラームまたは通知がトリガーされます。この試行を停止またはブロックするために必要な手順を実行するのは、管理者の責任です。

一方、侵入防止システムは、侵入が完全に起こらないようにします。ほとんどの侵入防止システムには、侵入の試みが検出されるたびに何らかのアクションをトリガーする検出コンポーネントが含まれます。ただし、侵入防止は受動的な場合もあります。この用語は、侵入を防ぐために設けられているステップを指すために使用できます。たとえば、パスワードの強化などの対策が考えられます。

最高の無料侵入検知ツール

侵入検知システムは高価になる可能性があり、とても高い。幸いなことに、そこにはかなりの数の無料の代替があります。最高の侵入検知ソフトウェアツールのいくつかをインターネットで検索しました。かなりの数が見つかりました。見つけられるベスト10を簡単に確認しようとしています。

1. OSSEC

OSSECは、オープンソースセキュリティの略で、最先端のオープンソースホスト侵入検知システムです。 OSSECは、ITセキュリティの大手企業の1つであるTrend Microが所有しています。このソフトウェアは、Unixライクなオペレーティングシステムにインストールされると、主にログファイルと構成ファイルに焦点を合わせます。重要なファイルのチェックサムを作成し、定期的にそれらを検証し、奇妙なことが発生した場合に警告します。また、rootアクセスを取得する奇妙な試みを監視およびキャッチします。 Windowsでは、システムは不正なレジストリ変更も監視します。

OSSEC、ホスト侵入検知システム保護する各コンピューターにインストールする必要があります。ただし、保護された各コンピューターの情報を単一のコンソールに統合して、管理を容易にします。ソフトウェアはUnixライクシステムでのみ動作しますが、Windowsホストを保護するためのエージェントを使用できます。システムが何かを検出すると、コンソールにアラートが表示され、通知が電子メールで送信されます。

2. Snort

OSSECがトップソースのHIDSであったように、Snortは、主要なオープンソースNIDSです。 Snortは、実際には侵入検知ツール以上のものです。また、パケットスニファーとパケットロガーです。しかし、私たちが今関心を持っているのは、Snortの侵入検知機能です。ファイアウォールのように、Snortはルールを使用して構成されます。基本ルールはSnort Webサイトからダウンロードして、特定のニーズに合わせてカスタマイズできます。また、Snortルールをサブスクライブして、新しい脅威が識別されるたびに最新のルールを取得できるようにすることもできます。

基本的なSnortルールはさまざまなものを検出できますステルスポートスキャン、バッファオーバーフロー攻撃、CGI攻撃、SMBプローブ、OSフィンガープリントなどのイベント。 Snortインストールが検出するものは、インストールしたルールのみに依存します。提供される基本的なルールには、署名ベースのものと異常ベースのものがあります。 Snortを使用すると、両方の長所が得られます

3.スリカタ

Suricataは自分自身を侵入として宣伝します検出および防止システム、および完全なネットワークセキュリティ監視エコシステムとして。このツールのSnortに対する最大の利点の1つは、アプリケーション層まで機能することです。これにより、ツールは、いくつかのパケットに分割されることにより、他のツールでは気付かれない脅威を検出できます。

しかし、Suricataはアプリケーションでのみ機能しません層。また、TLS、ICMP、TCP、UDPなどの下位レベルのプロトコルも監視します。このツールは、HTTP、FTP、SMBなどのプロトコルも理解し、通常のリクエストでは隠されている侵入の試みを検出できます。管理者が疑わしいファイルを自分で調べることができるファイル抽出機能もあります。

建築面では、スリカタは非常によく作られており、最高のパフォーマンスを得るために、複数のプロセッサコアとスレッドにワークロードを分散します。処理の一部をグラフィックカードにオフロードすることもできます。これは、グラフィックカードのほとんどがアイドル状態であるため、サーバーの優れた機能です。

4. Bro Network Security Monitor

リストの次は、ブロと呼ばれる製品です別の無料のネットワーク侵入検知システムであるNetwork Security Monitor。 Broは、トラフィックロギングと分析の2つのフェーズで動作します。 Suricataと同様に、Broはアプリケーション層で動作するため、スプリット侵入の試みをより適切に検出できます。 Broにはすべてがペアになっており、分析モジュールは2つの要素で構成されているようです。 1つ目は、ネットTCP接続やHTTP要求などのトリガーイベントを追跡するイベントエンジンです。その後、イベントは、アラートをトリガーしてアクションを起動するかどうかを決定するポリシースクリプトによってさらに分析され、検出システムに加えてBroが侵入防止になります。

Broは、HTTP、DNS、およびFTPを追跡できるようにしますアクティビティとSNMPトラフィックの監視。 SNMPはネットワーク監視によく使用されますが、安全なプロトコルではないため、これは良いことです。 Broでは、デバイス構成の変更とSNMPトラップも監視できます。 Broは、Unix、Linux、およびOS Xにインストールできますが、Windowsには使用できません。これはおそらく主な欠点です。

5. WIPS NGを開きます

Open WIPS NGがリストに追加されたのは、主に特にワイヤレスネットワークを対象とする唯一のものです。 Open WIPS NG（WIPSはWireless Intrusion Prevention Systemの略）は、3つの主要コンポーネントで構成されるオープンソースツールです。まず、ワイヤレストラフィックのみをキャプチャし、分析のためにサーバーに送信するダムデバイスであるセンサーがあります。次はサーバーです。これは、すべてのセンサーからのデータを集約し、収集されたデータを分析して攻撃に対応します。それがシステムの心臓部です。最後になりましたが、インターフェイスコンポーネントは、サーバーを管理し、ワイヤレスネットワーク上の脅威に関する情報を表示するために使用するGUIです。

ただし、誰もがOpen WIPS NGを好むわけではありません。製品は、Aircrack NGと同じ開発者からのもので、すべてのWiFiハッカーのツールキットの一部であるワイヤレスパケットスニッファーとパスワードクラッカーである場合。一方、彼のバックグラウンドを考えると、開発者はWi-Fiセキュリティについてかなり知っていると想定できます。

6.サムハイン

Samhainは無料のホスト侵入検知システムですファイルの整合性チェックとログファイルの監視/分析を提供します。さらに、この製品は、ルートキットの検出、ポートの監視、不正なSUID実行可能ファイルの検出、隠しプロセスも実行します。このツールは、さまざまなオペレーティングシステムを備えた複数のシステムを集中ログとメンテナンスで監視するように設計されています。ただし、Samhainは、単一のコンピューターでスタンドアロンアプリケーションとして使用することもできます。 SamhainはUnix LinuxやOS XなどのPOSIXシステム上で実行できます。また、Cygwinの下のWindows上でも実行できますが、その構成ではサーバーではなく監視エージェントのみがテストされています。

Samhainの最もユニークな機能の1つは最終的な攻撃者に検出されずに実行できるステルスモード。多くの場合、侵入者は認識している検出プロセスを殺し、気付かれないようにします。 Samhainはステガノグラフィを使用して、そのプロセスを他の人から隠しています。また、中央ログファイルと構成バックアップをPGPキーで保護して、改ざんを防ぎます。

7. Fail2Ban

Fail2Banは興味深い無料のホスト侵入ですいくつかの防止機能も備えた検出システム。このツールは、ログイン試行の失敗、シークのエクスプロイトなどの疑わしいイベントのログファイルを監視することで動作します。疑わしいものを検出すると、ローカルファイアウォールルールを自動的に更新して、悪意のある動作のソースIPアドレスをブロックします。これはツールのデフォルトのアクションですが、電子メール通知の送信など、他の任意のアクションを設定できます。

システムには、さまざまな事前構築されたフィルターが付属していますApache、Courrier、SSH、FTP、Postfixなどの最も一般的なサービスのいくつか。防止は、ホストのファイアウォールテーブルを変更することにより実行されます。このツールは、Netfilter、IPtables、またはTCP Wrapperのhosts.denyテーブルと連携できます。各フィルターは、1つ以上のアクションに関連付けることができます。フィルタとアクションを合わせて、刑務所と呼びます。

8.補佐官

AIDEはAdvanced Intrusionの頭字語です検出環境。無料のホスト侵入検知システムは、主にルートキットの検知とファイル署名の比較に焦点を当てています。 AIDEを最初にインストールすると、システムの構成ファイルから管理データのデータベースがコンパイルされます。次に、これをベースラインとして使用して、変更を比較し、必要に応じて最終的にロールバックできます。

AIDEは署名ベースと異常ベースの両方を使用しますオンデマンドで実行され、スケジュールされていない、または継続的に実行されていない分析、これは実際にこの製品の主な欠点です。ただし、AIDEはコマンドラインツールであり、CRONジョブを作成して定期的に実行することができます。また、1分ごとなど非常に頻繁に実行すると、準リアルタイムデータが取得されます。 AIDEは、本質的にデータ比較ツールに他なりません。外部スクリプトを作成して、真のHIDSにする必要があります。

9.セキュリティオニオン

セキュリティオニオンは面白い動物です多くの時間を節約できます。これは、単なる侵入検知または侵入防止システムではありません。 Security Onionは、侵入検知、エンタープライズセキュリティ監視、ログ管理に重点を置いた完全なLinuxディストリビューションです。これには多くのツールが含まれており、そのうちのいくつかはレビューしたばかりです。たとえば、Security OnionにはElasticsearch、Logstash、Kibana、Snort、Suricata、Bro、OSSEC、Sguil、Squart、NetworkMinerなどがあります。これらはすべて、使いやすいセットアップウィザードにバンドルされており、数分で組織を保護できます。 Security Onionは、エンタープライズITセキュリティのスイスアーミーナイフと考えることができます。

このツールの最も興味深い点は1回の簡単なインストールですべてを手に入れることができます。また、ネットワークとホストの両方の侵入検知ツールを入手できます。署名ベースのアプローチを使用するツールと、異常ベースのツールがあります。配布には、テキストベースのツールとGUIツールの組み合わせも含まれています。本当に素晴らしいものがすべて揃っています。欠点は、もちろん、設定するのに時間がかかりすぎるということです。ただし、すべてのツールを使用する必要はありません。あなたが好むものだけを選ぶことができます。

10.サガン

Saganは実際にはログ分析システムに近い真のIDSよりも優れていますが、リストに含める必要があると思われるIDSに似た機能がいくつかあります。このツールは、インストールされているシステムのローカルログを監視できますが、他のツールと対話することもできます。たとえば、Snortのログを分析し、NIDS機能を基本的にHIDSに効果的に追加できます。そして、Snortと対話するだけではありません。 Suricataと対話することもでき、OinkmasterやPulled Porkなどのいくつかのルール構築ツールと互換性があります。