- - Top 10 Intrusion Detection Tools: Ihre besten kostenlosen Optionen für 2019

Top 10 Intrusion Detection Tools: Ihre besten kostenlosen Optionen für 2019

Sicherheit ist ein heißes Thema und das schon seit langemlängere Zeit. Vor vielen Jahren waren Viren das einzige Problem von Systemadministratoren. Viren waren so verbreitet, dass sie den Weg für eine erstaunliche Reihe von Tools zur Virenprävention ebneten. Heutzutage würde kaum noch jemand daran denken, einen ungeschützten Computer zu betreiben. Das Eindringen von Computern oder der unbefugte Zugriff von böswilligen Benutzern auf Ihre Daten ist jedoch die „Bedrohung des Tages“. Netzwerke sind zum Ziel zahlreicher böswilliger Hacker geworden, die große Anstrengungen unternehmen, um Zugang zu Ihren Daten zu erhalten. Ihre beste Verteidigung gegen diese Art von Bedrohungen ist ein Intrusion Detection- oder Prevention-System. Heute prüfen wir zehn der besten kostenlosen Tools zur Erkennung von Eindringlingen.

Bevor wir beginnen, werden wir zuerst dieverschiedene Intrusion Detection-Methoden, die verwendet werden. Genauso wie es viele Möglichkeiten gibt, wie Eindringlinge in Ihr Netzwerk eindringen können, gibt es auch - vielleicht sogar noch mehr - Möglichkeiten, sie zu erkennen. Anschließend werden die beiden Hauptkategorien des Intrusion Detection-Systems erläutert: Network Intrusion Detection und Host Intrusion Detection. Bevor wir fortfahren, werden wir die Unterschiede zwischen der Erkennung von Eindringlingen und der Verhinderung von Eindringlingen erläutern. Zum Schluss geben wir Ihnen einen kurzen Überblick über zehn der besten kostenlosen Tools zur Erkennung von Eindringlingen, die wir finden konnten.

Intrusion Detection-Methoden

Es werden grundsätzlich zwei verschiedene Methoden angewendetEinbruchsversuche erkennen. Es kann signatur- oder anomaliebasiert sein. Mal sehen, wie sie sich unterscheiden. Die signaturbasierte Aufschaltungserkennung analysiert Daten nach bestimmten Mustern, die mit Aufschaltungsversuchen in Verbindung gebracht wurden. Es ähnelt in etwa traditionellen Antivirensystemen, die auf Virendefinitionen basieren. Diese Systeme vergleichen Daten mit Aufschubsignaturmustern, um Versuche zu identifizieren. Ihr Hauptnachteil ist, dass sie erst funktionieren, wenn die richtige Signatur in die Software hochgeladen wurde, was normalerweise nach einem Angriff auf eine bestimmte Anzahl von Computern der Fall ist.

Auf Anomalien basierende Intrusion Detection bietet aBesserer Schutz vor Zero-Day-Angriffen, bevor eine Intrusion-Detection-Software die Möglichkeit hatte, die richtige Signaturdatei abzurufen. Anstatt zu versuchen, bekannte Einbruchsmuster zu erkennen, werden diese stattdessen nach Anomalien suchen. Zum Beispiel würden sie feststellen, dass jemand mehrmals versucht hat, mit einem falschen Passwort auf ein System zuzugreifen, ein häufiges Zeichen für einen Brute-Force-Angriff. Wie Sie vielleicht erraten haben, hat jede Erkennungsmethode ihre Vorteile. Aus diesem Grund verwenden die besten Werkzeuge häufig eine Kombination aus beidem, um den besten Schutz zu erzielen.

Zwei Arten von Einbruchmeldesystemen

Genauso wie es verschiedene Erkennungsmethoden gibtEs gibt auch zwei Haupttypen von Einbruchmeldesystemen. Sie unterscheiden sich hauptsächlich in dem Ort, an dem die Einbruchserkennung durchgeführt wird, entweder auf Host-Ebene oder auf Netzwerkebene. Auch hier hat jeder seine Vorteile und die beste - oder sicherste - Lösung besteht möglicherweise darin, beide zu verwenden.

Host-Intrusion-Detection-Systeme (HIDS)

Der erste Typ von Einbruchmeldesystemenarbeitet auf der Host-Ebene. Es könnte beispielsweise verschiedene Protokolldateien auf Anzeichen von verdächtiger Aktivität überprüfen. Es könnte auch funktionieren, indem wichtige Konfigurationsdateien auf nicht autorisierte Änderungen überprüft werden. Dies ist, was anomaliebasierte HIDS tun würden. Auf der anderen Seite würden signaturbasierte Systeme dieselben Protokoll- und Konfigurationsdateien durchsuchen, aber nach bestimmten bekannten Aufschaltungsmustern suchen. Es kann beispielsweise bekannt sein, dass eine bestimmte Aufschaltungsmethode funktioniert, indem einer bestimmten Konfigurationsdatei, die das signaturbasierte IDS erkennen würde, eine bestimmte Zeichenfolge hinzugefügt wird.

Wie Sie sich vorgestellt haben, sind HIDS installiertdirekt auf dem Gerät, das sie schützen sollen. Sie müssen sie also auf allen Ihren Computern installieren. Die meisten Systeme verfügen jedoch über eine zentralisierte Konsole, über die Sie jede Instanz der Anwendung steuern können.

Netzwerk-Intrusion-Detection-Systeme (NIDS)

Netzwerk-Intrusion-Detection-Systeme (NIDS)Arbeiten Sie an der Netzwerkgrenze, um die Erkennung zu erzwingen. Sie verwenden ähnliche Methoden wie Host Intrusion Detection-Systeme. Anstatt nach Protokoll- und Konfigurationsdateien zu suchen, sehen sie natürlich auch nach Netzwerkverkehr wie Verbindungsanfragen aus. Es ist bekannt, dass einige Angriffsmethoden Sicherheitslücken ausnutzen, indem sie absichtlich fehlerhafte Pakete an Hosts senden und diese auf bestimmte Weise reagieren. Netzwerk-Intrusion-Detection-Systeme könnten diese leicht erkennen.

Einige würden argumentieren, dass NIDS besser sind als HIDSSie erkennen Angriffe, noch bevor sie auf Ihre Computer gelangen. Sie sind auch besser, da für einen wirksamen Schutz auf keinem Computer etwas installiert werden muss. Zum anderen bieten sie wenig Schutz vor Insiderangriffen, die leider keine Seltenheit sind. Dies ist ein weiterer Fall, in dem der beste Schutz durch die Verwendung einer Kombination beider Arten von Werkzeugen erzielt wird.

Intrusion Detection Vs Prevention

Es gibt zwei verschiedene Arten von Werkzeugen in derIntrusion Protection World: Intrusion Detection Systeme und Intrusion Prevention Systeme. Obwohl sie einem anderen Zweck dienen, gibt es häufig eine gewisse Überlappung zwischen den beiden Arten von Werkzeugen. Wie der Name schon sagt, erkennt die Einbruchserkennung Einbruchsversuche und verdächtige Aktivitäten im Allgemeinen. In diesem Fall wird normalerweise ein Alarm oder eine Benachrichtigung ausgelöst. Es ist dann Sache des Administrators, die notwendigen Schritte zu unternehmen, um diesen Versuch zu stoppen oder zu blockieren.

Intrusion Prevention-Systeme hingegenarbeiten Sie daran, Eindringlinge zu stoppen. Die meisten Intrusion Prevention-Systeme enthalten eine Erkennungskomponente, die eine Aktion auslöst, wenn Eindringversuche erkannt werden. Intrusion Prevention kann aber auch passiv sein. Der Begriff kann verwendet werden, um alle Schritte zu bezeichnen, die eingerichtet wurden, um Einbrüche zu verhindern. Wir können zum Beispiel an Maßnahmen wie Passwort-Hardening denken.

Die besten kostenlosen Intrusion Detection Tools

Einbruchmeldesysteme können teuer sein,sehr teuer. Glücklicherweise gibt es eine ganze Reihe kostenloser Alternativen. Wir haben das Internet nach einigen der besten Tools zur Erkennung von Eindringlingen durchsucht. Wir haben einige gefunden und werden gleich die besten zehn bewerten, die wir finden konnten.

1. OSSEC

OSSEC, was für Open Source Security steht, istbei weitem das führende Open-Source-Host-Intrusion-Detection-System. OSSEC gehört Trend Micro, einem der führenden Namen in der IT-Sicherheit. Bei der Installation unter Unix-ähnlichen Betriebssystemen konzentriert sich die Software hauptsächlich auf Protokoll- und Konfigurationsdateien. Es erstellt Prüfsummen wichtiger Dateien und überprüft diese regelmäßig, um Sie zu warnen, wenn etwas Merkwürdiges passiert. Es überwacht und fängt auch seltsame Versuche ab, Root-Zugriff zu erhalten. Unter Windows achtet das System auch auf nicht autorisierte Registrierungsänderungen.

Screenshot des OSSEC-Dashboards

OSSEC ist ein Host-Intrusion-Detection-Systemmüssen auf jedem Computer installiert werden, den Sie schützen möchten. Es werden jedoch Informationen von jedem geschützten Computer in einer einzigen Konsole zusammengefasst, um die Verwaltung zu vereinfachen. Die Software läuft nur auf Unix-ähnlichen Systemen, zum Schutz von Windows-Hosts steht jedoch ein Agent zur Verfügung. Wenn das System etwas erkennt, wird eine Warnung auf der Konsole angezeigt und Benachrichtigungen werden per E-Mail gesendet.

2. Schnauben

Genau wie OSSEC die Top-Open-Source-HIDS war,Snort ist das führende Open-Source-NIDS. Snort ist eigentlich mehr als ein Intrusion Detection Tool. Es ist auch ein Paket-Sniffer und ein Paket-Logger. Derzeit interessieren uns jedoch die Intrusion Detection-Funktionen von Snort. Ähnlich wie eine Firewall wird Snort mithilfe von Regeln konfiguriert. Die Basisregeln können von der Snort-Website heruntergeladen und an Ihre speziellen Anforderungen angepasst werden. Sie können auch Snort-Regeln abonnieren, um sicherzustellen, dass Sie immer die neuesten erhalten, sobald neue Bedrohungen erkannt werden.

Snort IDS Console unter Windows

Die grundlegenden Snort-Regeln können eine große Vielfalt erkennenvon Ereignissen wie Stealth-Port-Scans, Pufferüberlaufangriffen, CGI-Angriffen, SMB-Tests und Betriebssystem-Fingerprinting. Was Ihre Snort-Installation erkennt, hängt ausschließlich davon ab, welche Regeln Sie installiert haben. Einige der angebotenen Grundregeln basieren auf Signaturen, andere auf Anomalien. Mit Snort können Sie das Beste aus beiden Welten herausholen

3. Suricata

Suricata wirbt als IntrusionErkennungs- und Präventionssystem und als vollständiges Netzwerk-Sicherheitsüberwachungssystem. Einer der größten Vorteile dieses Tools gegenüber Snort ist, dass es bis zur Anwendungsebene funktioniert. Auf diese Weise kann das Tool Bedrohungen erkennen, die in anderen Tools möglicherweise unbemerkt bleiben, indem es auf mehrere Pakete aufgeteilt wird.

Suricata Screenshot

Suricata funktioniert jedoch nicht nur bei der AnwendungSchicht. Es überwacht auch Protokolle niedrigerer Ebenen wie TLS, ICMP, TCP und UDP. Das Tool versteht auch Protokolle wie HTTP, FTP oder SMB und kann Eindringversuche erkennen, die in ansonsten normalen Anforderungen verborgen sind. Es gibt auch eine Dateiextraktionsfunktion, mit der Administratoren verdächtige Dateien selbst untersuchen können.

Architekturtechnisch ist Suricata sehr gut gemacht undEs verteilt seine Arbeitslast auf mehrere Prozessorkerne und -threads, um die bestmögliche Leistung zu erzielen. Es kann sogar einen Teil seiner Verarbeitung auf die Grafikkarte übertragen. Dies ist eine großartige Funktion auf Servern, da ihre Grafikkarte meist im Leerlauf ist.

4. Bro Network Security Monitor

Als nächstes steht ein Produkt namens Bro auf unserer ListeNetwork Security Monitor, ein weiteres kostenloses System zur Erkennung von Netzwerkeinbrüchen. Bro arbeitet in zwei Phasen: Verkehrsaufzeichnung und -analyse. Wie Suricata arbeitet Bro auf der Anwendungsebene und ermöglicht so eine bessere Erkennung von Split-Intrusion-Versuchen. Es scheint, als ob alles paarweise mit Bro geliefert wird und sein Analysemodul aus zwei Elementen besteht. Die erste ist die Ereignis-Engine, die auslösende Ereignisse wie z. B. Netto-TCP-Verbindungen oder HTTP-Anforderungen nachverfolgt. Die Ereignisse werden dann durch Richtlinienskripte weiter analysiert, die entscheiden, ob eine Warnung ausgelöst und eine Aktion gestartet werden soll oder nicht, wodurch Bro zusätzlich zu einem Erkennungssystem eine Intrusion Prevention darstellt.

Mit Bro können Sie HTTP, DNS und FTP nachverfolgenAktivität sowie Überwachung des SNMP-Verkehrs. Dies ist eine gute Sache, da SNMP zwar häufig für die Netzwerküberwachung verwendet wird, es jedoch kein sicheres Protokoll ist. Mit Bro können Sie auch Gerätekonfigurationsänderungen und SNMP-Traps beobachten. Bro kann unter Unix, Linux und OS X installiert werden, ist jedoch für Windows nicht verfügbar, was möglicherweise den Hauptnachteil darstellt.

5. Öffnen Sie WIPS NG

Open WIPS NG hat es hauptsächlich deshalb auf unsere Liste geschafftEs ist das einzige, das speziell auf drahtlose Netzwerke abzielt. Open WIPS NG - WIPS steht für Wireless Intrusion Prevention System - ist ein Open Source-Tool, das drei Hauptkomponenten umfasst. Erstens gibt es den Sensor, bei dem es sich um ein dummes Gerät handelt, das nur den Funkverkehr erfasst und zur Analyse an den Server sendet. Als nächstes kommt der Server. Dieser sammelt Daten aller Sensoren, analysiert die gesammelten Daten und reagiert auf Angriffe. Es ist das Herz des Systems. Last but not least ist die Schnittstellenkomponente die GUI, mit der Sie den Server verwalten und Informationen zu Bedrohungen in Ihrem drahtlosen Netzwerk anzeigen.

Nicht jeder mag Open WIPS NG. Das Produkt stammt von demselben Entwickler wie Aircrack NG, einem drahtlosen Paket-Sniffer und Passwort-Cracker, der Bestandteil des Toolkits jedes WiFi-Hackers ist. Andererseits können wir aufgrund seines Hintergrunds davon ausgehen, dass der Entwickler einiges über Wi-Fi-Sicherheit weiß.

6. Samhain

Samhain ist ein kostenloses Host Intrusion Detection SystemDies ermöglicht die Überprüfung der Dateiintegrität und die Überwachung / Analyse von Protokolldateien. Darüber hinaus führt das Produkt Rootkit-Erkennung, Port-Überwachung, Erkennung von nicht autorisierten SUID-Programmdateien und versteckte Prozesse durch. Dieses Tool wurde entwickelt, um mehrere Systeme mit verschiedenen Betriebssystemen mit zentraler Protokollierung und Wartung zu überwachen. Samhain kann jedoch auch als eigenständige Anwendung auf einem einzelnen Computer verwendet werden. Samhain kann auf POSIX-Systemen wie Unix Linux oder OS X ausgeführt werden. Es kann auch unter Cygwin unter Windows ausgeführt werden, obwohl in dieser Konfiguration nur der Überwachungsagent und nicht der Server getestet wurde.

Samhain IDS Bildschirmfoto

Eines der einzigartigsten Merkmale von Samhain ist dasStealth-Modus, der es ermöglicht, ausgeführt zu werden, ohne von möglichen Angreifern entdeckt zu werden. Zu oft beenden Eindringlinge Erkennungsprozesse, die sie erkennen, und lassen sie unbemerkt. Samhain nutzt die Steganographie, um seine Prozesse vor anderen zu verbergen. Außerdem werden die zentralen Protokolldateien und Konfigurationssicherungen mit einem PGP-Schlüssel geschützt, um Manipulationen zu verhindern.

7. Fail2Ban

Fail2Ban ist eine interessante kostenlose Host-IntrusionErkennungssystem, das auch einige Vorbeugungsfunktionen hat. Dieses Tool überwacht Protokolldateien auf verdächtige Ereignisse wie fehlgeschlagene Anmeldeversuche, Ausnutzungsversuche usw. Wenn verdächtige Ereignisse erkannt werden, werden die lokalen Firewall-Regeln automatisch aktualisiert, um die Quell-IP-Adresse des böswilligen Verhaltens zu blockieren. Dies ist die Standardaktion des Tools. Es kann jedoch jede andere beliebige Aktion konfiguriert werden, z. B. das Senden von E-Mail-Benachrichtigungen.

Das System wird mit verschiedenen vorgefertigten Filtern geliefertfür einige der gebräuchlichsten Dienste wie Apache, Courrier, SSH, FTP, Postfix und viele mehr. Die Vorbeugung erfolgt durch Ändern der Firewall-Tabellen des Hosts. Das Tool kann mit Netfilter, IPtables oder der hosts.deny-Tabelle von TCP Wrapper arbeiten. Jeder Filter kann einer oder mehreren Aktionen zugeordnet werden. Zusammen werden Filter und Aktionen als Gefängnis bezeichnet.

8. AIDE

AIDE ist eine Abkürzung für Advanced IntrusionErkennungsumgebung. Das kostenlose Host Intrusion Detection-System konzentriert sich hauptsächlich auf die Erkennung von Rootkits und den Vergleich von Dateisignaturen. Bei der Erstinstallation von AIDE wird eine Datenbank mit Verwaltungsdaten aus den Konfigurationsdateien des Systems erstellt. Dies wird dann als Basis verwendet, anhand derer jede Änderung verglichen und gegebenenfalls zurückgesetzt werden kann.

AIDE verwendet sowohl signaturbasierte als auch anomaliebasierte MethodenAnalyse, die bei Bedarf ausgeführt und nicht geplant oder kontinuierlich ausgeführt wird. Dies ist der Hauptnachteil dieses Produkts. AIDE ist jedoch ein Befehlszeilentool, und es kann ein CRON-Job erstellt werden, um ihn in regelmäßigen Abständen auszuführen. Und wenn Sie es sehr häufig ausführen - etwa jede Minute -, erhalten Sie Quasi-Echtzeitdaten. AIDE ist im Kern nichts anderes als ein Datenvergleichstool. Externe Skripte müssen erstellt werden, um es zu einem echten HIDS zu machen.

9. Sicherheitszwiebel

Sicherheitszwiebel ist ein interessantes Tier, das kannSparen Sie viel Zeit. Dies ist nicht nur ein System zur Erkennung oder Verhinderung von Eindringlingen. Security Onion ist eine vollständige Linux-Distribution mit den Schwerpunkten Intrusion Detection, Enterprise Security Monitoring und Log Management. Es enthält viele Tools, von denen einige gerade überprüft wurden. Zum Beispiel bietet Security Onion Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner und mehr. All dies wird mit einem benutzerfreundlichen Setup-Assistenten gebündelt, mit dem Sie Ihre Organisation innerhalb von Minuten schützen können. Sie können sich Security Onion als das Schweizer Taschenmesser für IT-Sicherheit in Unternehmen vorstellen.

Security Onion Setup-Assistent

Das Interessanteste an diesem Tool istdass Sie alles in einer einfachen Installation bekommen. Außerdem erhalten Sie Tools zur Erkennung von Netzwerk- und Host-Eindringlingen. Es gibt Tools, die einen signaturbasierten Ansatz verwenden, und einige, die auf Anomalien basieren. Die Distribution enthält auch eine Kombination aus textbasierten und GUI-Tools. Es gibt wirklich eine hervorragende Mischung aus allem. Der Nachteil ist natürlich, dass Sie so viel bekommen, dass die Konfiguration eine Weile dauern kann. Sie müssen jedoch nicht alle Tools verwenden. Sie können nur diejenigen auswählen, die Sie bevorzugen.

10. Sagan

Sagan ist eigentlich eher ein Log-Analysesystemals ein echtes IDS, aber es hat einige IDS-ähnliche Merkmale, die wir für gerechtfertigt hielten, in unsere Liste aufgenommen zu werden. Dieses Tool kann die lokalen Protokolle des Systems überwachen, auf dem es installiert ist, es kann jedoch auch mit anderen Tools interagieren. Es könnte zum Beispiel die Protokolle von Snort analysieren und effektiv einige NIDS-Funktionen zu dem hinzufügen, was im Wesentlichen ein HIDS ist. Und es interagiert nicht nur mit Snort. Es kann auch mit Suricata interagieren und ist mit verschiedenen Tools zur Regelerstellung wie Oinkmaster oder Pulled Pork kompatibel.

Sagan Screenshot

Sagan verfügt auch über Skriptausführungsfunktionenmacht es zu einem groben Intrusion Prevention System. Dieses Tool wird wahrscheinlich nicht als einziger Schutz gegen Eindringlinge verwendet, ist jedoch eine hervorragende Komponente eines Systems, das viele Tools enthalten kann, indem Ereignisse aus verschiedenen Quellen miteinander korreliert werden.

Fazit

Einbruchmeldesysteme sind nur eine derZahlreiche Tools unterstützen Netzwerk- und Systemadministratoren dabei, den optimalen Betrieb ihrer Umgebung sicherzustellen. Jedes der hier diskutierten Tools ist exzellent, aber jedes hat einen etwas anderen Zweck. Welche Sie auswählen, hängt weitgehend von Ihren persönlichen Vorlieben und spezifischen Bedürfnissen ab.

Lesen Sie auch

Deaktivieren der Gesichtserkennung und -erkennung in Fotos unter Windows 10
Bewegungsmelder - Verwandeln Sie die Webcam in eine Überwachungskamera zur Bewegungserkennung
SolarWinds Threat Monitor - REVIEW 2019 (Erweiterte Erkennung und Überwachung von Bedrohungen)
SolarWinds Log & Event Manager gegen Splunk - eine vergleichende Übersicht
Remote Access Trojaner (RATs) - Was sind sie und wie schützen sie sich davor?
Die 6 besten hostbasierten Intrusion Detection-Systeme (HIDS) im Jahr 2019
7 Best Intrusion Prevention Systems (IPS) für 2019
Netzwerkbasierte Intrusion Detection-Systeme: Die 5 besten zu verwendenden NIDS-Tools
Die 6 besten Tools für Sicherheitsinformationen und Ereignisverwaltung (SIEM), die es wert sind, im Jahr 2019 ausgecheckt zu werden
14 Beste Netzwerksicherheitstools für sicherere Umgebungen im Jahr 2019
Verwenden Sie die Smart Lock-Funktion zur Erkennung des Körpers, um Ihr Telefon in Ihrer Tasche entsperrt zu halten
OK Google-Erkennung zu allen Bildschirmen auf Ihrem Gerät hinzufügen [No Root]

Bemerkungen