Saugumas yra aktuali tema ir tam buvo skirta gana seniaikurį laiką. Prieš daugelį metų virusai buvo vieninteliai sistemos administratorių rūpesčiai. Virusai buvo tokie paplitę, kad tai paskatino stulbinantį virusų prevencijos priemonių pasirinkimą. Šiais laikais vos kas negalvotų paleisti neapsaugotą kompiuterį. Tačiau kompiuterio įsilaužimas arba neteisėtas vartotojų prieiga prie jūsų duomenų yra „grėsmė du kelionėms“. Tinklai tapo daugybės netinkamų įsilaužėlių taikiniu, kuriems prireiks prieigos prie jūsų duomenų. Geriausia jūsų gynyba nuo šio tipo grėsmių yra įsilaužimo aptikimo arba prevencijos sistema. Šiandien apžvelgiame dešimt geriausių nemokamų įsibrovimų aptikimo įrankių.
Prieš pradėdami, pirmiausia aptarsimeskirtingi naudojami įsibrovimo aptikimo metodai. Kaip yra daugybė būdų, kaip įsibrovėliai gali patekti į jūsų tinklą, taip pat yra daugybė būdų - galbūt net daugiau - jų aptikimo būdų. Tada aptarsime dvi pagrindines įsibrovimo aptikimo sistemos kategorijas: tinklo įsibrovimo aptikimas ir pagrindinio kompiuterio įsibrovimo aptikimas. Prieš tęsdami, paaiškinsime skirtumus tarp įsibrovimų aptikimo ir įsibrovimų prevencijos. Galiausiai pateiksime jums trumpą dešimt geriausių nemokamų įsibrovimo aptikimo įrankių apžvalgą.
Įsibrovimo aptikimo metodai
Iš esmės yra naudojami du skirtingi metodaiaptikti įsibrovimų bandymai. Tai gali būti pagrįsta parašu arba anomalija. Pažiūrėkime, kuo jie skiriasi. Paraštais grįstas įsibrovimų aptikimas veikia analizuojant duomenis apie konkrečius šablonus, susijusius su įsibrovimų bandymais. Tai panašu į tradicines antivirusines sistemas, kurios remiasi virusų apibrėžimais. Šios sistemos palygins duomenis su įsibrovėlių parašo modeliais, kad būtų galima nustatyti bandymus. Pagrindinis jų trūkumas yra tas, kad jie neveikia tol, kol į programinę įrangą nėra įkeliamas tinkamas parašas, kuris paprastai įvyksta užpuolus tam tikrą skaičių mašinų.
Anomalija paremtas įsibrovimo aptikimas suteikia:geresnė apsauga nuo nulinės dienos atakų, įvykusių prieš įsilaužimo aptikimo programinę įrangą turėjo galimybę įsigyti tinkamą parašo failą. Užuot bandę atpažinti žinomus įsibrovimo modelius, jie ieškos anomalijų. Pavyzdžiui, jie aptiktų, kad kažkas kelis kartus bandė prieiti prie sistemos su neteisingu slaptažodžiu, kuris yra įprastas brutalios jėgos išpuolio ženklas. Kaip jau galėjote atspėti, kiekvienas aptikimo būdas turi savo privalumų. Štai kodėl geriausios priemonės, norėdamos užtikrinti geriausią apsaugą, dažnai naudoja abiejų derinį.
Dviejų tipų įsibrovimo aptikimo sistemos
Kaip ir skirtingi aptikimo metodaitaip pat yra du pagrindiniai įsibrovimo aptikimo sistemų tipai. Jie daugiausia skiriasi tuo, kur atliekamas įsilaužimo aptikimas, tiek pagrindinio kompiuterio, tiek tinklo lygmeniu. Vėlgi, kiekvienas turi savo privalumų, o geriausias sprendimas - ar pats saugiausias - galbūt naudoti abu.
Priėmėjo įsibrovimo aptikimo sistemos (HIDS)
Pirmojo tipo įsibrovimo aptikimo sistemaveikia priimančiojo lygio lygmeniu. Pavyzdžiui, ji gali patikrinti įvairius žurnalų failus, ar nėra įtartinos veiklos požymių. Tai taip pat galėtų veikti tikrinant, ar svarbiuose konfigūracijos failuose nėra neteisėtų pakeitimų. Tai darytų anomalija paremtas HIDS. Kita vertus, parašais pagrįstos sistemos žiūrėtų į tuos pačius žurnalo ir konfigūracijos failus, tačiau ieškotų konkrečių žinomų įsibrovimo modelių. Pvz., Gali būti žinomas tam tikras įsibrovimo būdas, pridedant tam tikrą eilutę į konkretų konfigūracijos failą, kurį aptiktų parašo pagrįstos IDS.
Kaip jūs galėjote įsivaizduoti, HIDS yra įdiegtitiesiai į įrenginį, kurį jie skirti apsaugoti, todėl turėsite juos įdiegti visuose savo kompiuteriuose. tačiau daugumoje sistemų yra centralizuota konsolė, kurioje galite valdyti kiekvieną programos egzempliorių.
Tinklo įsibrovimo aptikimo sistemos (NIDS)
Tinklo įsibrovimo aptikimo sistemos arba NIDSdirbkite prie savo tinklo sienos, kad galėtumėte nustatyti. Jie naudoja panašius metodus kaip priimančiosios įsibrovimo aptikimo sistemos. Žinoma, užuot ieškoję žurnalų ir konfigūracijos failų, jie atrodo tinklo sraute, pavyzdžiui, ryšio užklausose. Buvo žinoma, kad kai kurie įsibrovimo būdai išnaudoja pažeidžiamumą, ty sąmoningai suklastotus paketus siųsdami kompiuteriams, priversdami juos reaguoti tam tikru būdu. Tinklo įsibrovimo aptikimo sistemos galėtų lengvai juos aptikti.
Kai kurie teigia, kad NIDS yra geresni už HIDSnes jie nustato išpuolius dar prieš jiems pasiekiant jūsų kompiuterius. Jie taip pat yra geresni, nes norint, kad jie būtų veiksmingai apsaugoti, kiekviename kompiuteryje nereikia nieko įdiegti. Kita vertus, jie mažai apsaugo nuo viešai neatskleistų išpuolių, kurie, deja, nėra neįprasti. Tai dar vienas atvejis, kai geriausia apsauga užtikrinama naudojant abiejų tipų įrankius.
Įsibrovimo aptikimas ir prevencija
Yra du skirtingų žanrų įrankiaiapsaugos nuo įsilaužimo pasaulis: įsibrovimų aptikimo ir įsibrovimų prevencijos sistemos. Nors jie tarnauja skirtingam tikslui, abu šių tipų įrankiai dažnai šiek tiek sutampa. Kaip rodo jo pavadinimas, įsibrovimo aptikimas aptinka bandymus įsilaužti ir įtartiną veiklą apskritai. Kai tai įvyks, jis paprastai suaktyvins tam tikrą aliarmą ar pranešimą. Administratorius turi imtis reikiamų veiksmų, kad sustabdytų ar užblokuotų šį bandymą.
Įsibrovimų prevencijos sistemos, kita vertus,stenkitės sustabdyti įsibrovimus išvis. Daugelyje įsibrovimų prevencijos sistemų bus aptikimo komponentas, kuris suaktyvins tam tikrus veiksmus, kai bus aptikta įsibrovimų. Tačiau įsibrovimų prevencija taip pat gali būti pasyvi. Šis terminas gali būti vartojamas nurodant bet kokius veiksmus, kurių imamasi siekiant užkirsti kelią įsibrovimui. Mes galime galvoti apie tokias priemones kaip, pavyzdžiui, slaptažodžio kietinimas.
Geriausi nemokami įsibrovimo aptikimo įrankiai
Įsibrovimo aptikimo sistemos gali būti brangios,labai brangus. Laimei, ten yra nemažai nemokamų alternatyvų. internete ieškojome geriausių įsibrovimų aptikimo programinės įrangos įrankių. Radome nemažai ir netrukus apžvelgsime geriausius dešimt, kuriuos galėjome rasti.
1. OSSEC
OSSEC, kuri reiškia atvirojo kodo apsaugą, yraiki šiol pirmaujanti atvirojo kodo kompiuterio įsibrovimo aptikimo sistema. „OSSEC“ priklauso „Trend Micro“, vienam iš pirmaujančių vardų IT saugumo srityje. Įdiegus programinę įrangą panašiose „Unix“ operacinėse sistemose, daugiausia dėmesio skiriama žurnalų ir konfigūracijos failams. Tai sukuria svarbių failų kontrolines sumas ir periodiškai jas patvirtina, įspėdama, jei atsitiks kažkas keista. Ji taip pat stebės ir užfiksuos keistus bandymus gauti prieigą prie šaknies. „Windows“ sistemoje sistema taip pat stebi neleistinus registro pakeitimus.
OSSEC yra įsibrovėlių aptikimo sistemareikia įdiegti į kiekvieną kompiuterį, kurį norite apsaugoti. Tačiau ji padės konsoliduoti kiekvieno saugomo kompiuterio informaciją vienoje konsolėje, kad būtų lengviau valdyti. Programinė įranga veikia tik „Unix-Like“ sistemose, tačiau yra prieinamas agentas, skirtas apsaugoti „Windows“ pagrindinius kompiuterius. Kai sistema ką nors aptinka, pulte rodomas įspėjimas ir pranešimai siunčiami el. Paštu.
2. Užkandžiaukite
Kaip ir OSSEC buvo populiariausias atvirojo kodo HIDS,„Snort“ yra pagrindinis atvirojo kodo NIDS. „Snort“ iš tikrųjų yra daugiau nei įsibrovimų aptikimo įrankis. Tai taip pat yra paketų naikiklis ir paketų kaupiklis. Tačiau tai, kas dabar mus domina, yra „Snort“ įsilaužimo aptikimo funkcijos. Panašiai kaip ugniasienė „Snort“ sukonfigūruota naudojant taisykles. Pagrindines taisykles galima atsisiųsti iš „Snort“ interneto svetainės ir pritaikyti pagal jūsų konkrečius poreikius. Taip pat galite užsiprenumeruoti „Snort“ taisykles, kad užtikrintumėte, jog visada gausite naujausias taisykles, nes jos tobulėja, kai nustatomos naujos grėsmės.
Pagrindinės „Snort“ taisyklės gali aptikti labai daugįvykių, tokių kaip slaptas prievadų nuskaitymas, buferio perpildymo išpuoliai, CGI išpuoliai, SMB zondai ir OS pirštų atspaudai. Tai, ką nustato „Snort“ diegimas, priklauso tik nuo jūsų įdiegtų taisyklių. Kai kurios pagrindinės siūlomos taisyklės yra pagrįstos parašu, o kitos - anomalijomis. Jei naudosite „Snort“, galėsite gauti geriausius iš abiejų pasaulių
3. Surikata
Suricata reklamuoja save kaip įsibrovimąaptikimo ir prevencijos sistema ir kaip visa tinklo saugumo stebėjimo ekosistema. Vienas geriausių šio įrankio pranašumų, palyginti su „Snort“, yra tai, kad jis veikia iki pat programos sluoksnio. Tai leidžia įrankiui aptikti grėsmes, kurios gali būti nepastebėtos kituose įrankiuose, padalytos į kelis paketus.
Tačiau „Suricata“ veikia ne tik programojesluoksnis. Jis taip pat stebės žemesnio lygio protokolus, tokius kaip TLS, ICMP, TCP ir UDP. Įrankis taip pat supranta tokius protokolus kaip HTTP, FTP ar SMB ir gali aptikti įsibrovimų bandymus, paslėptus kituose įprastuose prašymuose. Taip pat yra failų ištraukimo galimybė, leidžianti administratoriams patiems ištirti įtartinus failus.
Remiantis architektūra, Suricata yra labai gerai pagaminta irjis paskirstys savo darbo krūvį per keletą procesoriaus branduolių ir gijų, kad pasiektų geriausią našumą. Jis netgi gali perkelti dalį savo apdorojimo į vaizdo plokštę. Tai puiki funkcija serveriuose, nes jų vaizdo plokštė dažniausiai nenaudojama.
4. „Bro“ tinklo saugos monitorius
Kitas mūsų sąraše yra produktas, vadinamas Bro„Network Security Monitor“ - dar viena nemokama tinklo įsilaužimo aptikimo sistema. Bro veikia dviem etapais: srauto registravimas ir analizė. Kaip ir „Suricata“, „Bro“ veikia programų lygmenyje, leisdamas geriau aptikti padalijimo įsibrovimus. Panašu, kad viskas susideda iš poros su Bro, o jo analizės modulis sudarytas iš dviejų elementų. Pirmasis yra įvykių variklis, kuris seka suveikiančius įvykius, tokius kaip grynieji TCP ryšiai ar HTTP užklausos. Po to įvykiai toliau analizuojami scenarijaus scenarijais, kurie nusprendžia, ar suaktyvinti perspėjimą, ir pradėti veiksmą, paverčiant Bro įsibrovimų prevencija, be aptikimo sistemos.
Bro leis jums sekti HTTP, DNS ir FTPveiklą, taip pat stebėti SNMP srautą. Tai yra geras dalykas, nes nors SNMP dažnai naudojamas tinklo stebėjimui, jis nėra saugus protokolas. Bro taip pat leidžia stebėti įrenginio konfigūracijos pokyčius ir SNMP spąstus. „Bro“ gali būti įdiegta „Unix“, „Linux“ ir „OS X“, tačiau jos negalima naudoti „Windows“, galbūt jos pagrindinis trūkumas.
5. Atvira WIPS NG
Atvira WIPS NG pateko į mūsų sąrašą daugiausia todėl, kadtai vienintelis specialiai skirtas belaidžiams tinklams. Atvira WIPS NG, kur WIPS reiškia belaidžio įsibrovimo prevencijos sistemą, yra atvirojo kodo įrankis, kurį sudaro trys pagrindiniai komponentai. Pirmiausia yra jutiklis, tylus įrenginys, kuris tik fiksuoja belaidį srautą ir siunčia jį į serverį analizei. Kitas yra serveris. Tai kaupia visų jutiklių duomenis, analizuoja surinktus duomenis ir reaguoja į išpuolius. Tai yra sistemos širdis. Paskutinis, bet ne mažiau svarbus dalykas yra sąsajos komponentas, kuris yra GUI, kurį naudojate serveriui valdyti ir informacijai apie grėsmes jūsų belaidžiame tinkle rodyti.
Vis dėlto ne visiems patinka „Open WIPS NG“. Produktas, jei iš to paties kūrėjo, kaip ir „Aircrack NG“, belaidis paketų snifferis ir slaptažodžių krekeris, kuris yra kiekvieno „WiFi hacker“ įrankių rinkinio dalis. Kita vertus, atsižvelgiant į jo išsilavinimą, mes galime manyti, kad kūrėjas gana mažai žino apie „Wi-Fi“ saugumą.
6. Samhainas
„Samhain“ yra nemokama įsibrovėlių aptikimo sistemakuri teikia failų vientisumo tikrinimą ir žurnalo failų stebėjimą / analizę. Be to, produktas taip pat vykdo „rootkit“ aptikimą, prievadų stebėjimą, nesąžiningų SUID vykdomųjų programų aptikimą ir paslėptus procesus. Šis įrankis skirtas stebėti kelias sistemas su įvairiomis operacinėmis sistemomis su centralizuotu registravimu ir priežiūra. Tačiau „Samhain“ taip pat gali būti naudojama kaip atskira programa viename kompiuteryje. „Samhain“ gali veikti POSIX sistemose, tokiose kaip „Unix Linux“ ar OS X. Tai taip pat gali veikti „Windows“, naudojant „Cygwin“, nors šioje konfigūracijoje buvo išbandytas tik stebėjimo agentas, o ne serveris.
Viena unikaliausių Samhain savybių yra jislaptasis režimas, leidžiantis jį paleisti neaptinkamų galimų užpuolikų. Įsibrovėliai pernelyg dažnai užmuša atpažįstamus aptikimo procesus, leisdami jiems nepastebėti. Samhain naudoja steganografiją, kad paslėptų savo procesus nuo kitų. Tai taip pat apsaugo savo centrinius žurnalo failus ir konfigūracijos atsargines kopijas naudodama PGP raktą, kad būtų išvengta klastojimo.
7. „Fail2Ban“
„Fail2Ban“ yra įdomi nemokama kompiuterio įsibrovėlėaptikimo sistema, kuri taip pat turi keletą prevencijos funkcijų. Šis įrankis veikia stebint žurnale esančius įtartinus įvykius, pvz., Nesėkmingus prisijungimo bandymus, išnaudojančius ieškojimus ir pan. Aptikęs ką nors įtartino, jis automatiškai atnaujina vietinės ugniasienės taisykles, kad užblokuotų kenksmingo elgesio šaltinio IP adresą. Tai yra numatytasis įrankio veiksmas, tačiau bet kurį kitą savavališką veiksmą, pavyzdžiui, el. Pašto pranešimų siuntimą, galima sukonfigūruoti.
Sistema tiekiama su įvairiais iš anksto pastatytais filtraiskai kurioms iš labiausiai paplitusių paslaugų, tokių kaip „Apache“, „Courrier“, SSH, FTP, „Postfix“ ir daugeliui kitų. Prevencija vykdoma modifikuojant pagrindinio kompiuterio užkardų lenteles. Įrankis gali veikti su „Netfilter“, „IPtable“ arba „TCP Wrapper“ lentelės hosts.deny. Kiekvienas filtras gali būti susietas su vienu ar keliais veiksmais. Kartu filtrai ir veiksmai yra vadinami kalėjimu.
8. PAGALBA
AIDE yra Advanced Intrusion sutrumpinimasAptikimo aplinka. Nemokama kompiuterio įsibrovimo aptikimo sistema daugiausia dėmesio skiria „rootkit“ aptikimui ir failų parašų palyginimui. Iš pradžių įdiegę AIDE, ji sukurs administratoriaus duomenų duomenų bazę iš sistemos konfigūracijos failų. Tada tai naudojama kaip atskaitos taškas, su kuriuo galima palyginti bet kokius pokyčius ir, jei reikia, galų gale atšaukti.
AIDE naudoja ir parašą, ir anomalijąanalizė, kuri vykdoma pagal pareikalavimą, nėra suplanuota ar nuolat vykdoma. Tai iš tikrųjų yra pagrindinis šio produkto trūkumas. Tačiau AIDE yra komandų eilutės įrankis ir galima sukurti CRON užduotį, kad ji būtų vykdoma reguliariais intervalais. Ir jei jūs jį vykdysite labai dažnai, pavyzdžiui, maždaug kas minutę, gausite beveik realiojo laiko duomenis. AIDE yra ne kas kita, kaip duomenų palyginimo įrankis. Norint, kad tai būtų tikras HIDS, turi būti sukurti išoriniai scenarijai.
9. Saugumo svogūnas
Saugumo svogūnai yra įdomus žvėris, kuris galiSutaupysite daug laiko. Tai nėra tik įsilaužimo aptikimo ar prevencijos sistema. Saugumo svogūnai yra visas „Linux“ paskirstymas, daugiausia dėmesio skiriant įsibrovimų aptikimui, įmonės saugos stebėjimui ir žurnalų valdymui. Tai apima daugybę įrankių, iš kurių kai kuriuos ką tik peržiūrėjome. Pavyzdžiui, „Security Onion“ turi „Elasticsearch“, „Logstash“, „Kibana“, „Snort“, „Suricata“, „Bro“, „OSSEC“, „Sguil“, „Squert“, „NetworkMiner“ ir dar daugiau. Visa tai susideda iš lengvai naudojamo sąrankos vedlio, kuris leidžia apsaugoti organizaciją per kelias minutes. Galite galvoti apie svogūnų saugumą kaip apie Šveicarijos armijos peilį, skirtą įmonės IT saugumui.
Įdomiausias dalykas yra šis įrankiskad viską gausite per vieną paprastą diegimą. Jūs gaunate ir tinklo, ir pagrindinio kompiuterio įsibrovimo aptikimo įrankius. Yra priemonių, kurios naudoja parašu pagrįstą metodą, ir kai kurių - anomalijos. Platinimas taip pat apima teksto ir GUI įrankių derinį. Yra tikrai puikus visko derinys. Trūkumas, be abejo, yra tas, kad jūs gaunate tiek, kad visa tai sukonfigūruoti gali užtrukti. Bet jums nereikia naudoti visų įrankių. Galite pasirinkti tik tuos, kurie jums labiau patinka.
10. Saganas
„Sagan“ iš tikrųjų yra daugiau duomenų analizės sistemanei tikras IDS, tačiau jis turi keletą panašių į IDS funkcijų, kurios, mūsų manymu, pateisina jos įtraukimą į mūsų sąrašą. Šis įrankis gali stebėti vietinius sistemos žurnalus, kur jis yra įdiegtas, tačiau taip pat gali sąveikauti su kitais įrankiais. Pavyzdžiui, ji galėtų analizuoti „Snort“ žurnalus, efektyviai pridėdama tam tikras NIDS funkcijas prie to, kas iš esmės yra HIDS. Ir tai ne tik sąveikaus su „Snort“. Jis taip pat gali bendrauti su „Suricata“ ir yra suderinamas su keliais taisyklių kūrimo įrankiais, tokiais kaip „Oinkmaster“ ar „Kiauliena“.
„Sagan“ taip pat turi scenarijų vykdymo galimybespaverčiant ją grubia įsibrovimų prevencijos sistema. Šis įrankis greičiausiai nebus naudojamas kaip jūsų vienintelė gynyba nuo įsilaužimo, tačiau tai bus puikus sistemos komponentas, į kurį galima įtraukti daugybę įrankių, koreliuojant įvykius iš skirtingų šaltinių.
Išvada
Įsibrovimo aptikimo sistemos yra tik viena išdaugybė prieinamų įrankių, padedančių tinklo ir sistemos administratoriams užtikrinti optimalų savo aplinkos veikimą. Bet kuri iš čia aptartų priemonių yra puiki, tačiau kiekvienos tikslas yra šiek tiek kitoks. Tai, ką pasirinksite, labai priklausys nuo asmeninių pageidavimų ir konkrečių poreikių.
Komentarai