Drošība ir karsts temats, un tā ir bijusi diezgankādu laiku. Pirms daudziem gadiem sistēmu administratoru bažas radīja tikai vīrusi. Vīrusi bija tik izplatīti, ka tas parādīja ceļu pārsteidzošam vīrusu novēršanas rīku klāstam. Mūsdienās tik tikko neviens neiedomājas palaist neaizsargātu datoru. Tomēr datorizēta ielaušanās vai ļaunprātīgu lietotāju neatļauta piekļuve jūsu datiem ir “draudu draudīgs ceļojums”. Tīkli ir kļuvuši par daudzu ļaunprātīgu hakeru mērķi, kuru piekļuvei jūsu datiem būs daudz laika. Jūsu labākā aizsardzība pret šāda veida draudiem ir ielaušanās atklāšanas vai novēršanas sistēma. Šodien mēs pārskatām desmit labākos bezmaksas ielaušanās atklāšanas rīkus.
Pirms darba sākšanas mēs vispirms apspriedīsim:dažādas izmantotās ielaušanās atklāšanas metodes. Tāpat kā ir daudz veidu, kā iebrucēji var iekļūt jūsu tīklā, ir arī tikpat daudz veidu - varbūt pat vairāk - veidu, kā tos atklāt. Pēc tam mēs apspriedīsim divas galvenās ielaušanās atklāšanas sistēmas kategorijas: tīkla ielaušanās atklāšana un resursdatora ielaušanās atklāšana. Pirms turpināt, mēs paskaidrosim atšķirības starp ielaušanās atklāšanu un ielaušanās novēršanu. Visbeidzot, mēs sniegsim jums īsu pārskatu par desmit labākajiem bezmaksas ielaušanās atklāšanas rīkiem, ko mēs varētu atrast.
Ielaušanās atklāšanas metodes
Pamatā ir izmantotas divas dažādas metodesatklāt ielaušanās mēģinājumus. Tas varētu būt balstīts uz parakstu vai anomāliju. Let 's redzēt, kā viņi atšķiras Parakstu balstīta ielaušanās atklāšana darbojas, analizējot datus par īpašiem modeļiem, kas saistīti ar ielaušanās mēģinājumiem. Tas nedaudz līdzinās tradicionālajām pretvīrusu sistēmām, kas balstās uz vīrusu definīcijām. Šīs sistēmas salīdzinās datus ar ielaušanās parakstu modeļiem, lai identificētu mēģinājumus. To galvenais trūkums ir tas, ka viņi nedarbojas, kamēr programmatūrā nav augšupielādēts pareizs paraksts, kas parasti notiek pēc tam, kad ir uzbrukuši noteiktam skaitam mašīnu.
Uz anomālijām balstīta ielaušanās atklāšana nodrošina:labāka aizsardzība pret nulles dienas uzbrukumiem, tiem, kas notiek pirms jebkuras ielaušanās atklāšanas programmatūras ir bijusi iespēja iegūt pareizu paraksta failu. Tā vietā, lai mēģinātu atpazīt zināmos ielaušanās modeļus, tie meklēs anomālijas. Piemēram, viņi pamanīs, ka kāds ir mēģinājis vairākas reizes piekļūt sistēmai ar nepareizu paroli, kas ir bieži sastopama brutālu spēku uzbrukuma pazīme. Kā jūs jau varējāt uzminēt, katrai noteikšanas metodei ir savas priekšrocības. Tāpēc labākajos instrumentos labākajai aizsardzībai bieži tiks izmantoti abi apvienojumi.
Divu veidu ielaušanās atklāšanas sistēmas
Tāpat kā ir dažādas noteikšanas metodesir arī divi galvenie ielaušanās atklāšanas sistēmu veidi. Tās galvenokārt atšķiras pēc vietas, kur tiek veikta ielaušanās atklāšana, vai nu resursdatora līmenī, vai tīkla līmenī. Arī šeit katram ir savas priekšrocības, un labākais risinājums - vai visdrošākais -, iespējams, ir izmantot abus.
Saimnieka ielaušanās atklāšanas sistēmas (HIDS)
Pirmā tipa ielaušanās atklāšanas sistēmadarbojas mītnes līmenī. Tā, piemēram, varētu pārbaudīt dažādus žurnālfailus, vai nav aizdomīgu darbību pazīmju. Tas varētu arī darboties, pārbaudot svarīgos konfigurācijas failos neatļautas izmaiņas. To darītu uz anomālijām balstīts HIDS. No otras puses, uz parakstu balstītas sistēmas apskatītu tos pašus žurnāla un konfigurācijas failus, bet meklētu īpašus zināmus ielaušanās modeļus. Piemēram, var būt zināms, ka darbojas konkrēta ielaušanās metode, pievienojot noteiktai virknei īpašu konfigurācijas failu, kuru varētu noteikt ar parakstu balstītas IDS.
Kā jau varēja iedomāties, ir instalēti HIDStieši ierīcē, kuras tie ir domāti aizsardzībai, tāpēc jums tie būs jāinstalē visos datoros. tomēr lielākajai daļai sistēmu ir centralizēta konsole, kurā varat kontrolēt katru lietojumprogrammas gadījumu.
Tīkla ielaušanās atklāšanas sistēmas (NIDS)
Tīkla ielaušanās atklāšanas sistēmas jeb NIDS,strādājiet pie sava tīkla robežas, lai ieviestu atklāšanu. Viņi izmanto līdzīgas metodes kā uzņēmējas ielaušanās atklāšanas sistēmas. Protams, tā vietā, lai meklētu žurnālu un konfigurācijas failus, tie izskatās ar tīkla trafiku, piemēram, savienojuma pieprasījumiem. Ir zināmas dažas iejaukšanās metodes, kas izmanto ievainojamības, nosūtot tīšām nepareizi veidotas paketes saimniekiem, liekot tām reaģēt noteiktā veidā. Tīkla ielaušanās atklāšanas sistēmas tos varētu viegli atklāt.
Daži apgalvo, ka NIDS ir labāki par HIDSjo viņi atklāj uzbrukumus pat pirms nokļūšanas jūsu datoros. Tie ir arī labāki, jo, lai tos efektīvi aizsargātu, katrā datorā nav jāinstalē kaut kas. No otras puses, tie nodrošina nelielu aizsardzību pret iekšējās informācijas uzbrukumiem, kas diemžēl nepavisam nav retums. Šis ir vēl viens gadījums, kad vislabāko aizsardzību nodrošina abu veidu instrumentu kombinācija.
Ielaušanās atklāšana un profilakse
Programmā ir divi dažādi instrumentu žanriielaušanās aizsardzības pasaule: ielaušanās atklāšanas sistēmas un ielaušanās novēršanas sistēmas. Lai arī tie kalpo atšķirīgam mērķim, starp abiem instrumentu veidiem bieži ir kāda pārklāšanās. Kā norāda nosaukums, ielaušanās atklāšana kopumā ļaus atklāt ielaušanās mēģinājumus un aizdomīgas darbības. Kad tas notiks, tas parasti izraisīs kāda veida trauksmi vai paziņojumu. Pēc tam administratoram ir jāveic nepieciešamās darbības, lai apturētu vai bloķētu šo mēģinājumu.
Ielaušanās novēršanas sistēmas, no otras puses,strādāt pie tā, lai apturētu ielaušanos. Lielākajā daļā ielaušanās novēršanas sistēmu tiks iekļauts atklāšanas komponents, kas izraisīs zināmas darbības ikreiz, kad tiks atklāti ielaušanās mēģinājumi. Bet ielaušanās novēršana var būt arī pasīva. Terminu var izmantot, lai apzīmētu jebkurus pasākumus, kas veikti, lai novērstu ielaušanos. Mēs varam domāt par tādiem pasākumiem kā, piemēram, paroļu rūdīšana.
Labākie bezmaksas ielaušanās atklāšanas rīki
Ielaušanās atklāšanas sistēmas var būt dārgas,ļoti dārgs. Par laimi, tur ir pieejams diezgan daudz bezmaksas alternatīvu. mēs internetā esam meklējuši dažus no labākajiem ielaušanās atklāšanas programmatūras rīkiem. Mēs atradām diezgan daudz, un mēs gatavojamies īsi pārskatīt labākos desmit, kurus mēs varētu atrast.
1. OSSEC
OSSEC, kas apzīmē atvērtā koda drošību, irlīdz šim vadošā atvērtā koda resursdatora ielaušanās atklāšanas sistēma. OSSEC pieder uzņēmumam Trend Micro, vienam no vadošajiem nosaukumiem IT drošības jomā. Instalējot programmatūru Unix līdzīgajās operētājsistēmās, tā galvenokārt koncentrējas uz žurnālu un konfigurācijas failiem. Tas izveido svarīgu failu kontrolsummas un periodiski tos apstiprina, brīdinot, ja notiek kaut kas dīvains. Tas arī uzraudzīs un noķers nepāra mēģinājumus iegūt piekļuvi saknei. Operētājsistēmā Windows sistēma arī seko līdzi neatļautām reģistra modifikācijām.
OSSEC ir uzņēmējas ielaušanās atklāšanas sistēmajāinstalē katrā datorā, kuru vēlaties aizsargāt. Lai atvieglotu pārvaldību, tas apvienos informāciju no katra aizsargātā datora vienā konsolē. Programmatūra darbojas tikai sistēmām, kas līdzīgas Unix, taču ir pieejams pārstāvis, kas aizsargā Windows saimniekdatorus. Kad sistēma kaut ko atrod, konsolē tiek parādīts brīdinājums, un paziņojumi tiek nosūtīti pa e-pastu.
2. Snort
Tāpat kā OSSEC bija populārākais atvērtā koda HIDS,Snort ir vadošais atvērtā koda NIDS. Snort faktiski ir kas vairāk nekā ielaušanās atklāšanas rīks. Tas ir arī pakešu snifferis un pakešu reģistrētājs. Bet tas, kas mūs tagad interesē, ir Snort ielaušanās atklāšanas funkcijas. Kaut kā ugunsmūris Snort tiek konfigurēts, izmantojot kārtulas. Pamatnoteikumus var lejupielādēt vietnē Snort un pielāgot jūsu īpašajām vajadzībām. Varat arī parakstīties uz Snort noteikumiem, lai nodrošinātu, ka vienmēr saņemat jaunākos, jo tie attīstās, kad tiek identificēti jauni draudi.
Snort pamatnoteikumi var atklāt ļoti dažādastādu notikumu kā slepena porta skenēšana, bufera pārpildes uzbrukumi, CGI uzbrukumi, SMB zondes un OS pirkstu nospiedumu noņemšana. Tas, ko nosaka jūsu Snort instalācija, ir atkarīgs tikai no instalētajiem noteikumiem. Daži no piedāvātajiem pamatnoteikumiem ir balstīti uz parakstu, bet citi - uz anomālijām. Izmantojot Snort, jūs varat iegūt labāko no abām pasaulēm
3. Surikata
Surikata sevi reklamē kā ielaušanosatklāšanas un novēršanas sistēma un kā pilnīga tīkla drošības uzraudzības ekosistēma. Viena no šī rīka labākajām priekšrocībām salīdzinājumā ar Snort ir tā, ka tā darbojas līdz pat lietojumprogrammas slānim. Tas ļauj rīkam noteikt draudus, kas citos rīkos var palikt nepamanīti, sadalot pa vairākām paketēm.
Bet Suricata darbojas ne tikai lietojumprogrammāslānis. Tas uzraudzīs arī zemāka līmeņa protokolus, piemēram, TLS, ICMP, TCP un UDP. Rīks saprot arī tādus protokolus kā HTTP, FTP vai SMB un var atklāt ielaušanās mēģinājumus, kas paslēpti citādi parastos pieprasījumos. Ir arī failu ieguves iespēja, kas ļauj administratoriem pašiem pārbaudīt aizdomīgos failus.
Arhitektūras ziņā Suricata ir ļoti labi izgatavota untas sadalīs savu darba slodzi pa vairākiem procesora kodoliem un pavedieniem, lai nodrošinātu vislabāko veiktspēju. Tā pat daļu apstrādes var izkraut grafiskajā kartē. Šī ir lieliska funkcija serveros, jo viņu grafiskā karte pārsvarā darbojas tukšgaitā.
4. Bro tīkla drošības monitors
Nākamais mūsu sarakstā ir produkts ar nosaukumu BroTīkla drošības monitors, vēl viena bezmaksas tīkla ielaušanās atklāšanas sistēma. Bro darbojas divās fāzēs: satiksmes reģistrēšana un analīze. Tāpat kā Suricata, Bro darbojas lietojumprogrammu slānī, ļaujot labāk atklāt sadalītus ielaušanās mēģinājumus. Liekas, ka viss notiek pa pāriem ar Bro, un tā analīzes modulis sastāv no diviem elementiem. Pirmais ir notikumu motors, kas izseko palaišanas notikumus, piemēram, neto TCP savienojumus vai HTTP pieprasījumus. Notikumus pēc tam sīkāk analizē ar politikas skriptiem, kas izlemj, vai izraisīt trauksmi un sākt darbību, padarot Bro iejaukšanās novēršanu papildus atklāšanas sistēmai.
Bro ļaus jums izsekot HTTP, DNS un FTPaktivitātes, kā arī uzraudzīt SNMP trafiku. Tā ir laba lieta, jo, lai arī SNMP bieži izmanto tīkla uzraudzībai, tas nav drošs protokols. Bro arī ļauj jums skatīties ierīces konfigurācijas izmaiņas un SNMP slazdus. Bro var instalēt Unix, Linux un OS X, taču tas nav pieejams operētājsistēmai Windows, iespējams, tā galvenais trūkums.
5. Atvērt WIPS NG
Atvērtā WIPS NG to iekļāva mūsu sarakstā galvenokārt tāpēc, katas ir vienīgais, kas īpaši paredzēts bezvadu tīkliem. Atvērtā WIPS NG - kurā WIPS apzīmē bezvadu ielaušanās novēršanas sistēmu - ir atvērtā koda rīks, kas sastāv no trim galvenajiem komponentiem. Pirmkārt, ir sensors, kas ir mēms ierīce, kas uztver tikai bezvadu trafiku un nosūta to uz serveri analīzei. Nākamais ir serveris. Šis apkopo datus no visiem sensoriem, analizē apkopotos datus un reaģē uz uzbrukumiem. Tā ir sistēmas sirds. Pēdējais, bet ne mazāk svarīgais ir interfeisa komponents, kas ir GUI, kuru izmantojat, lai pārvaldītu serveri un parādītu informāciju par draudiem jūsu bezvadu tīklā.
Tomēr ne visiem patīk Open WIPS NG. Produkts, ja no tā paša izstrādātāja kā Aircrack NG ir izveidots bezvadu pakešu snifferis un paroli krekinga rīks, kas ir daļa no katra WiFi hakeru rīkkopa. No otras puses, ņemot vērā viņa fona, mēs varam pieņemt, ka izstrādātājs diezgan daudz zina par Wi-Fi drošību.
6. Samhains
Samhain ir bezmaksas resursdatora ielaušanās atklāšanas sistēmakas nodrošina faila integritātes pārbaudi un žurnāla faila uzraudzību / analīzi. Turklāt produkts veic arī sakņu komplekta noteikšanu, portu uzraudzību, negodīgu SUID izpildāmu datu atklāšanu un slēptus procesus. Šis rīks ir paredzēts vairāku sistēmu uzraudzībai ar dažādām operētājsistēmām ar centralizētu reģistrēšanu un uzturēšanu. Tomēr Samhain var izmantot arī kā atsevišķu lietojumprogrammu vienā datorā. Samhain var darboties tādās POSIX sistēmās kā Unix Linux vai OS X. Tas var darboties arī Windows operētājsistēmā Cygwin, lai gan šajā konfigurācijā ir pārbaudīts tikai uzraudzības līdzeklis, nevis serveris.
Viena no Samhain unikālākajām īpašībām ir tāMaskēšanās režīms, kas ļauj tam darboties bez iespējamiem uzbrucējiem. Iebrucēji pārāk bieži nogalina atpazīšanas procesus, kurus viņi atpazīst, ļaujot viņiem palikt nepamanītiem. Samhains izmanto steganogrāfiju, lai paslēptu savus procesus no citiem. Tas arī aizsargā savus centrālos žurnālfailus un konfigurācijas dublējumus ar PGP atslēgu, lai novērstu viltojumus.
7. Fail2Ban
Fail2Ban ir interesanta bezmaksas resursdatora ielaušanāsatklāšanas sistēma, kurai ir arī dažas profilakses funkcijas. Šis rīks darbojas, pārraugot žurnālfailus par aizdomīgiem notikumiem, piemēram, neveiksmīgiem pieteikšanās mēģinājumiem, izmantojumiem utt. Atklājot kaut ko aizdomīgu, tas automātiski atjaunina vietējā ugunsmūra noteikumus, lai bloķētu ļaunprātīgas darbības avota IP adresi. Šī ir rīka noklusējuma darbība, taču jebkuru citu patvaļīgu darbību, piemēram, e-pasta paziņojumu nosūtīšanu, var konfigurēt.
Sistēmai ir dažādi iepriekš iebūvēti filtridažiem no visizplatītākajiem pakalpojumiem, piemēram, Apache, Courrier, SSH, FTP, Postfix un daudziem citiem. Profilakse tiek veikta, modificējot resursdatora ugunsmūra tabulas. Rīks var darboties ar Netfilter, IPtables vai TCP Wrapper tabulu hosts.deny. Katru filtru var saistīt ar vienu vai vairākām darbībām. Filtrus un darbības kopā sauc par cietumu.
8. ATBALSTS
AIDE ir saīsinājums no Advanced IntrusionNoteikšanas vide. Bezmaksas resursdatora ielaušanās atklāšanas sistēma galvenokārt koncentrējas uz rootkit noteikšanu un failu parakstu salīdzināšanu. Sākotnēji instalējot AIDE, tas apkopos administratora datu bāzi no sistēmas konfigurācijas failiem. Pēc tam to izmanto kā atskaites punktu, ar kuru var salīdzināt jebkuras izmaiņas, un, ja nepieciešams, galu galā to atceļ.
AIDE izmanto gan parakstu, gan anomālijasanalīze, kas tiek veikta pēc pieprasījuma un nav plānota vai nepārtraukti darbojas. Tas faktiski ir šī produkta galvenais trūkums. Tomēr AIDE ir komandrindas rīks, un CRON darbu var izveidot, lai to regulāri darbinātu. Un, ja jūs to izmantojat ļoti bieži, piemēram, apmēram katru minūti, jūs saņemsit gandrīz reāllaika datus. Pamatā AIDE ir nekas cits kā datu salīdzināšanas rīks. Jāizveido ārējie skripti, lai tas būtu īsts HIDS.
9. Drošības sīpols
Drošības sīpols ir interesants zvērs, kurš to varietaupīt daudz laika. Šī nav tikai ielaušanās atklāšanas vai novēršanas sistēma. Drošības sīpols ir pilnīgs Linux izplatīšana, kas koncentrējas uz ielaušanās atklāšanu, uzņēmuma drošības uzraudzību un žurnālu pārvaldību. Tajā ir iekļauti daudzi rīki, no kuriem dažus mēs tikko esam pārskatījuši. Piemēram, drošības sīpoliem ir Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner un citas. Tas viss ir saistīts ar ērti lietojamu iestatīšanas vedni, kas dažu minūšu laikā ļauj jums aizsargāt organizāciju. Jūs varat domāt par drošības sīpolu kā Šveices armijas nazi uzņēmuma IT drošībai.
Visinteresantākais ir šis rīkska jūs visu iegūstat vienā vienkāršā instalācijā. Jūs saņemat gan tīkla, gan resursdatora ielaušanās atklāšanas rīkus. Ir rīki, kas izmanto uz parakstu balstītu pieeju, un daži, kas balstās uz anomāliju. Izplatīšana satur arī teksta un GUI rīku kombināciju. Tur tiešām ir lielisks visu sajaukums. Trūkums, protams, ir tas, ka jūs saņemat tik daudz, ka visa tā konfigurēšana var aizņemt laiku. Bet jums nav jāizmanto visi rīki. Jūs varat izvēlēties tikai tos, kuriem vēlaties.
10. Sāgans
Sagan faktiski ir vairāk kā žurnālu analīzes sistēmanekā īsta IDS, taču tai ir dažas IDS līdzīgas funkcijas, kuras, mūsuprāt, ir pamatotas iekļaušanai mūsu sarakstā. Šis rīks var skatīties sistēmas lokālos žurnālus, kur tas ir instalēts, bet tas var arī mijiedarboties ar citiem rīkiem. Tā, piemēram, varētu analizēt Snort žurnālus, efektīvi pievienojot kādu NIDS funkcionalitāti tam, kas būtībā ir HIDS. Un tas ne tikai mijiedarbosies ar Snort. Tas var mijiedarboties arī ar Suricata, un tas ir savietojams ar vairākiem noteikumu veidošanas rīkiem, piemēram, Oinkmaster vai Cūkgaļa.
Sagan ir arī skriptu izpildes iespējaspadarot to par rupju ielaušanās novēršanas sistēmu. Šis rīks, iespējams, netiks izmantots kā vienīgā aizsardzība pret ielaušanos, taču tā būs lieliska sistēmas sastāvdaļa, kurā var iekļaut daudzus rīkus, korelējot notikumus no dažādiem avotiem.
Secinājums
Ielaušanās atklāšanas sistēmas ir tikai viena nodaudz pieejamo rīku, lai palīdzētu tīkla un sistēmu administratoriem nodrošināt optimālu savas vides darbību. Jebkurš no šeit apskatītajiem instrumentiem ir lielisks, taču katram no tiem ir nedaudz atšķirīgs mērķis. Tas, kuru izvēlēsities, lielā mērā būs atkarīgs no personīgajām vēlmēm un īpašajām vajadzībām.
Komentāri