Es scheint, als wären alle in diesen Tagen besorgtmit Sicherheit. Dies ist sinnvoll, wenn man die Bedeutung der Internetkriminalität berücksichtigt. Unternehmen werden von Hackern angegriffen, die versuchen, ihre Daten zu stehlen oder ihnen anderen Schaden zuzufügen. Eine Möglichkeit, Ihre IT-Umgebung vor diesen Angriffen zu schützen, ist der Einsatz der richtigen Tools und Systeme. Häufig befindet sich die erste Verteidigungslinie am Rand des Netzwerks in Form von netzwerkbasierten Intrusion Detection-Systemen (NIDS). Diese Systeme analysieren den Verkehr auf Ihrem ComputerNetzwerk aus dem Internet, um verdächtige Aktivitäten zu erkennen und Sie sofort zu alarmieren. NIDS sind so beliebt und so viele davon sind verfügbar, dass es eine Herausforderung sein kann, das beste für Ihre Bedürfnisse zu finden. Dir zu helfen, Wir haben diese Liste der besten netzwerkbasierten Intrusion Detection-Systeme zusammengestellt.
Wir beginnen unsere Reise mit einem Blick auf dieverschiedene Arten von Intrusion Detection System. Im Wesentlichen gibt es zwei Arten: netzwerkbasiert und hostbasiert. Wir werden ihre Unterschiede erklären. Intrusion Detection-Systeme unterscheiden sich auch in der von ihnen verwendeten Erkennungsmethode. Einige von ihnen verwenden einen signaturbasierten Ansatz, während andere auf Verhaltensanalysen beruhen. Die besten Tools verwenden eine Kombination beider Erkennungsmethoden. Der Markt ist sowohl mit Intrusion Detection- als auch mit Intrusion Prevention-Systemen gesättigt. Wir werden untersuchen, wie sie sich unterscheiden und wie sie sich ähneln, da es wichtig ist, den Unterschied zu verstehen. Zuletzt werden die besten netzwerkbasierten Intrusion Detection-Systeme vorgestellt und ihre wichtigsten Funktionen vorgestellt.
Netzwerk- oder hostbasierte Intrusion Detection
Intrusion Detection-Systeme sind eines von zweiTypen. Sie haben beide dasselbe Ziel: Eindringversuche oder verdächtige Aktivitäten, die möglicherweise zu Eindringversuchen führen, schnell zu erkennen. Sie unterscheiden sich jedoch in der Position des Durchsetzungspunkts, der auf den Ort verweist, an dem die Erkennung durchgeführt wird. Jede Art von Intrusion Detection Tool hat Vor- und Nachteile. Es gibt keinen wirklichen Konsens darüber, welcher vorzuziehen ist. Einige schwören auf einen Typ, während andere nur dem anderen vertrauen. Beide haben wahrscheinlich recht. Die beste oder sicherste Lösung ist wahrscheinlich eine, die beide Typen kombiniert.
Netzwerk-Intrusion-Detection-Systeme (NIDS)
Die erste Art von Intrusion Detection System istgenannt Network Intrusion Detection System oder NIDS. Diese Systeme arbeiten an der Netzwerkgrenze, um die Erkennung zu erzwingen. Sie fangen den Netzwerkverkehr ab und untersuchen ihn auf verdächtige Aktivitäten, die auf einen Angriffsversuch hindeuten könnten, und suchen nach bekannten Angriffsmustern. Eindringlinge versuchen häufig, bekannte Schwachstellen verschiedener Systeme auszunutzen, indem sie beispielsweise fehlerhafte Pakete an Hosts senden und diese auf eine bestimmte Art und Weise reagieren lassen, durch die sie verletzt werden können. Ein Network Intrusion Detection System erkennt diese Art von Eindringversuch höchstwahrscheinlich.
Einige argumentieren, dass Network Intrusion DetectionSysteme sind besser als ihre Gegenstücke auf Host-Basis, da sie Angriffe erkennen können, noch bevor sie auf Ihre Systeme gelangen. Einige bevorzugen sie auch, weil sie nichts auf jedem Host installieren müssen, um sie effektiv zu schützen. Zum anderen bieten sie wenig Schutz vor Insiderangriffen, die leider keine Seltenheit sind. Um erkannt zu werden, muss der Angriffsversuch eines Angreifers die NIDS durchlaufen, was selten der Fall ist, wenn er von innen stammt. Jede Technologie hat Vor- und Nachteile, und nichts hindert Sie daran, beide Arten von Tools für den ultimativen Schutz zu verwenden.
Host-Intrusion-Detection-Systeme (HIDS)
Host Intrusion Detection Systems (HIDS) arbeitenauf der Host-Ebene; Sie könnten das von ihrem Namen erraten haben. Sie überwachen beispielsweise verschiedene Protokolldateien und Journale auf Anzeichen von verdächtiger Aktivität. Eine andere Möglichkeit, Eindringversuche zu erkennen, besteht darin, die Systemkonfigurationsdateien auf nicht autorisierte Änderungen zu überprüfen. Sie können dieselben Dateien auch auf bestimmte bekannte Einbruchsmuster untersuchen. Es kann beispielsweise bekannt sein, dass eine bestimmte Aufschaltungsmethode funktioniert, indem einer bestimmten Konfigurationsdatei ein bestimmter Parameter hinzugefügt wird. Ein gutes Host-basiertes Intrusion Detection System würde das auffangen.
Obwohl ihr Name dazu führen könnte, dass Sie das denkenAlle HIDS werden direkt auf dem Gerät installiert, das sie schützen sollen. Dies muss nicht unbedingt der Fall sein. Einige müssen auf allen Ihren Computern installiert werden, während für andere nur ein lokaler Agent installiert werden muss. Einige erledigen ihre Arbeit sogar aus der Ferne, ohne einen Agenten zu haben. Unabhängig von ihrer Funktionsweise verfügen die meisten HIDS über eine zentrale Konsole, über die Sie jede Instanz der Anwendung steuern und alle Ergebnisse anzeigen können.
Intrusion Detection-Methoden
Intrusion Detection-Systeme unterscheiden sich nicht nur durchIm Durchsetzungspunkt unterscheiden sie sich auch durch die Methode, mit der sie Eindringversuche erkennen. Einige sind signaturbasiert, während andere anomaliebasiert sind. Die ersten analysieren Daten nach bestimmten Mustern, die mit Eindringversuchen in Verbindung gebracht wurden. Dies ähnelt herkömmlichen Virenschutzsystemen, die auf Virendefinitionen basieren. Die signaturbasierte Aufschaltungserkennung basiert auf Aufschaltungssignaturen oder -mustern. Sie vergleichen erfasste Daten mit Aufschaltungssignaturen, um Aufschaltungsversuche zu identifizieren. Natürlich funktionieren sie erst, wenn die richtige Signatur in die Software hochgeladen wurde. Dies kann manchmal erst geschehen, nachdem eine bestimmte Anzahl von Computern angegriffen wurde und Herausgeber von Intrusion-Signaturen Zeit hatten, neue Aktualisierungspakete zu veröffentlichen. Einige Lieferanten sind ziemlich schnell, während andere erst Tage später reagieren konnten. Dies ist der Hauptnachteil dieser Erkennungsmethode.
Die auf Anomalien basierende Aufschaltungserkennung bietet bessere MöglichkeitenSchutz vor Zero-Day-Angriffen, die auftreten, bevor eine Intrusion-Detection-Software die Möglichkeit hatte, die richtige Signaturdatei abzurufen. Sie suchen nach Anomalien, anstatt zu versuchen, bekannte Einbruchsmuster zu erkennen. Zum Beispiel würde jemand, der mehrmals hintereinander versucht, mit einem falschen Kennwort auf ein System zuzugreifen, eine Warnung auslösen, da dies ein häufiges Anzeichen für einen Brute-Force-Angriff ist. Diese Systeme können verdächtige Aktivitäten im Netzwerk schnell erkennen. Jede Erkennungsmethode hat Vor- und Nachteile, und genau wie bei den beiden Arten von Tools sind die besten Tools wahrscheinlich diejenigen, die eine Kombination aus Signatur- und Verhaltensanalyse verwenden.
Erkennung oder Prävention?
Manche Leute neigen dazu, sich zu verwechselnIntrusion Detection- und Intrusion Prevention-Systeme. Obwohl sie eng miteinander verwandt sind, sind sie nicht identisch, obwohl sich die beiden Funktionen teilweise überschneiden. Wie der Name schon sagt, erkennen Einbruchserkennungssysteme Einbruchsversuche und verdächtige Aktivitäten. Wenn sie etwas entdecken, lösen sie normalerweise eine Art Alarm oder Benachrichtigung aus. Es liegt dann an den Administratoren, die notwendigen Schritte zu unternehmen, um den Angriffsversuch zu stoppen oder zu blockieren.
Intrusion Prevention Systems (IPS) gehen einen Schritt weiterweiter und kann verhindern, dass Einbrüche auftreten. Intrusion Prevention-Systeme enthalten eine Erkennungskomponente, die funktional einem Intrusion Detection-System entspricht und eine automatische Abhilfemaßnahme auslöst, wenn ein Eindringversuch erkannt wird. Es ist kein menschliches Eingreifen erforderlich, um den Angriffsversuch zu stoppen. Intrusion Prevention kann sich auch auf alle Maßnahmen beziehen, die zur Verhinderung von Intrusionen ergriffen oder ergriffen werden. Zum Beispiel können Passwort-Hardening oder Eindringlingssperrung als Intrusion Prevention-Maßnahmen angesehen werden.
Die besten Tools zur Erkennung von Netzwerkeinbrüchen
Wir haben den Markt nach den besten durchsuchtNetzwerkbasierte Intrusion Detection-Systeme. Unsere Liste enthält eine Mischung aus echten Host-basierten Intrusion Detection-Systemen und anderer Software, die über eine netzwerkbasierte Intrusion Detection-Komponente verfügen oder zur Erkennung von Intrusionsversuchen verwendet werden können. Mit jedem unserer empfohlenen Tools können Sie Eindringversuche in Ihrem Netzwerk erkennen.
1. SolarWinds Threat Monitor - IT Ops Edition (Kostenlose Demo)
SolarWinds ist ein gebräuchlicher Name im BereichTools für die Netzwerkadministration. Das Unternehmen besteht seit rund 20 Jahren und hat uns einige der besten Tools für die Netzwerk- und Systemadministration geliefert. Das Vorzeigeprodukt, der Network Performance Monitor, zählt durchweg zu den Top-Tools für die Überwachung der Netzwerkbandbreite. SolarWinds stellt auch hervorragende kostenlose Tools zur Verfügung, die sich jeweils an einen bestimmten Bedarf von Netzwerkadministratoren richten. Der Kiwi Syslog Server und der Advanced Subnet Calculator sind zwei gute Beispiele dafür.
Für die netzwerkbasierte Erkennung von Eindringlingen bietet SolarWinds die Bedrohungsmonitor - IT Ops Edition. Dies ist im Gegensatz zu den meisten anderen SolarWinds-Tools der FallEiner ist ein Cloud-basierter Dienst und keine lokal installierte Software. Sie abonnieren es einfach, konfigurieren es und es überwacht Ihre Umgebung auf Eindringversuche und einige weitere Arten von Bedrohungen. Das Bedrohungsmonitor - IT Ops Edition kombiniert mehrere Werkzeuge. Es verfügt sowohl über netzwerk- und hostbasierte Intrusion Detection als auch über Protokollzentralisierung und -korrelation sowie Sicherheitsinformationen und Ereignisverwaltung (SIEM). Es ist eine sehr gründliche Bedrohungsüberwachungssuite.
- KOSTENLOSE DEMO: SolarWinds Threat Monitor - IT Ops Edition
- Offizieller Downloadlink: https://www.solarwinds.com/threat-monitor/registration
Das Bedrohungsmonitor - IT Ops Edition ist immer auf dem neuesten Stand und wird ständig aktualisiertBedrohungsinformationen aus mehreren Quellen, einschließlich IP- und Domain-Reputation-Datenbanken. Es sucht nach bekannten und unbekannten Bedrohungen. Das Tool verfügt über automatisierte, intelligente Reaktionen, um Sicherheitsvorfälle schnell zu beheben und bietet einige Funktionen, die dem Schutz vor Eindringlingen ähneln.
Die Warnfunktionen des Produkts sind rechtbeeindruckend. Es gibt multikonditionale, kreuzkorrelierte Alarme, die in Verbindung mit der Active Response Engine des Tools arbeiten und bei der Identifizierung und Zusammenfassung wichtiger Ereignisse helfen. Das Berichtssystem ist genauso gut wie seine Warnmeldung und kann verwendet werden, um die Konformität unter Verwendung vorhandener vorgefertigter Berichtsvorlagen nachzuweisen. Alternativ können Sie benutzerdefinierte Berichte erstellen, die genau Ihren Geschäftsanforderungen entsprechen.
Preise für die SolarWinds Threat Monitor - IT Ops Edition Beginnen Sie bei 4 500 USD für bis zu 25 Knoten mit 10 Tagendes Index. Sie können sich an SolarWinds wenden, um ein detailliertes Angebot zu erhalten, das an Ihre spezifischen Anforderungen angepasst ist. Wenn Sie das Produkt in Aktion sehen möchten, können Sie bei SolarWinds eine kostenlose Demo anfordern.
2. Schnauben
Schnauben ist sicherlich das bekannteste Open-Source-NIDS. Aber Schnauben ist eigentlich mehr als ein Intrusion Detection Tool. Es ist auch ein Paket-Sniffer und ein Paket-Logger und es enthält auch einige andere Funktionen. Im Moment konzentrieren wir uns auf die Intrusion Detection-Funktionen des Tools, da dies das Thema dieses Beitrags ist. Das Konfigurieren des Produkts erinnert an das Konfigurieren einer Firewall. Es wird anhand von Regeln konfiguriert. Sie können die Basisregeln von der herunterladen Schnauben Website und verwenden Sie sie wie sie sind oder passen Sie sie an Ihre spezifischen Bedürfnisse an. Sie können auch abonnieren Schnauben Regeln, um automatisch die neuesten Regeln abzurufen, sobald neue Bedrohungen entdeckt werden.
Sortieren ist sehr gründlich und kann sogar seine GrundregelnErkennen einer Vielzahl von Ereignissen wie Stealth-Port-Scans, Pufferüberlaufangriffe, CGI-Angriffe, SMB-Tests und Betriebssystem-Fingerprinting. Es gibt praktisch keine Begrenzung, was Sie mit diesem Tool erkennen können, und was es erkennt, hängt ausschließlich von dem von Ihnen installierten Regelsatz ab. Bei den Erkennungsmethoden basieren einige der grundlegenden Snort-Regeln auf Signaturen, andere auf Anomalien. Snort bietet Ihnen daher das Beste aus beiden Welten.
3. Suricata
Suricata ist nicht nur ein Intrusion Detection System. Es hat auch einige Intrusion Prevention-Funktionen. Tatsächlich wird es als vollständiges Netzwerk-Sicherheitsüberwachungs-Ökosystem beworben. Eine der Stärken des Tools ist die Funktionsweise bis zur Anwendungsebene. Dies macht es zu einem hybriden netzwerk- und hostbasierten System, mit dem das Tool Bedrohungen erkennen kann, die von anderen Tools wahrscheinlich nicht bemerkt werden.
Suricata ist eine echte netzwerkbasierte Intrusion DetectionSystem und es funktioniert nicht nur auf der Anwendungsebene. Es überwacht Netzwerkprotokolle niedrigerer Ebenen wie TLS, ICMP, TCP und UDP. Das Tool versteht und decodiert auch Protokolle höherer Ebenen wie HTTP, FTP oder SMB und kann Eindringversuche erkennen, die in ansonsten normalen Anforderungen verborgen sind. Das Tool bietet auch Funktionen zum Extrahieren von Dateien, mit denen Administratoren verdächtige Dateien untersuchen können.
SuricataDie Anwendungsarchitektur ist recht innovativ. Das Tool verteilt seine Arbeitslast auf mehrere Prozessorkerne und Threads, um die bestmögliche Leistung zu erzielen. Bei Bedarf kann sogar ein Teil der Verarbeitung auf die Grafikkarte verlagert werden. Dies ist eine großartige Funktion, wenn das Tool auf Servern verwendet wird, da die Grafikkarte normalerweise nicht ausreichend ausgelastet ist.
4. Bruder Netzwerksicherheitsmonitor
Das Bro Netzwerksicherheitsmonitor, ein weiteres kostenloses Netzwerk-Intrusion-Detection-System. Das Tool arbeitet in zwei Phasen: Verkehrsaufzeichnung und Verkehrsanalyse. Genau wie Suricata, Bro Netzwerksicherheitsmonitor arbeitet in mehreren Schichten auf der Anwendungsschicht. Dies ermöglicht eine bessere Erkennung von Split-Intrusion-Versuchen. Das Bro NetzwerksicherheitsmonitorDas Analysemodul besteht aus zwei Elementen. Das erste Element heißt Event Engine und verfolgt auslösende Ereignisse wie z. B. Netto-TCP-Verbindungen oder HTTP-Anforderungen. Die Ereignisse werden dann von Policy-Skripten analysiert, dem zweiten Element, das entscheidet, ob ein Alarm ausgelöst und / oder eine Aktion gestartet werden soll. Die Möglichkeit, eine Aktion zu starten, gibt dem Bro Netzwerksicherheitsmonitor einige IPS-ähnliche Funktionen.
Das Bro Netzwerksicherheitsmonitor Damit können Sie HTTP-, DNS- und FTP-Aktivitäten verfolgenAußerdem wird der SNMP-Verkehr überwacht. Dies ist eine gute Sache, da SNMP häufig für die Netzwerküberwachung verwendet wird, jedoch kein sicheres Protokoll ist. Und da es auch zum Ändern von Konfigurationen verwendet werden kann, kann es von böswilligen Benutzern ausgenutzt werden. Mit dem Tool können Sie auch Gerätekonfigurationsänderungen und SNMP-Traps überwachen. Es kann unter Unix, Linux und OS X installiert werden, ist jedoch nicht für Windows verfügbar, was möglicherweise den Hauptnachteil darstellt.
5. Sicherheitszwiebel
Es ist schwer zu definieren, was die Sicherheitszwiebel ist. Es ist nicht nur ein System zur Erkennung oder Verhinderung von Eindringlingen. In Wirklichkeit handelt es sich um eine vollständige Linux-Distribution mit den Schwerpunkten Intrusion Detection, Enterprise Security Monitoring und Log Management. Dadurch können Administratoren viel Zeit sparen. Es enthält viele Tools, von denen einige gerade überprüft wurden. Sicherheitszwiebel enthält Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner und mehr. Um die Einrichtung zu vereinfachen, wird die Distribution mit einem benutzerfreundlichen Setup-Assistenten gebündelt, mit dem Sie Ihre Organisation innerhalb von Minuten schützen können. Wenn wir das beschreiben müssten Sicherheitszwiebel In einem Satz würden wir sagen, es ist das Schweizer Taschenmesser für die IT-Sicherheit von Unternehmen.
Eines der interessantesten Dinge dabeiWerkzeug ist, dass Sie alles in einer einfachen Installation bekommen. Für die Intrusion Detection bietet das Tool netzwerk- und hostbasierte Intrusion Detection-Tools. Das Paket kombiniert außerdem Tools, die einen signaturbasierten Ansatz verwenden, und Tools, die auf Anomalien basieren. Darüber hinaus finden Sie eine Kombination aus textbasierten und GUI-Tools. Es gibt wirklich einen hervorragenden Mix an Sicherheitstools. Es gibt einen Hauptnachteil der Sicherheitszwiebel. Bei so vielen enthaltenen Tools kann die Konfiguration aller Tools eine erhebliche Aufgabe sein. Sie müssen jedoch nicht alle Tools verwenden und konfigurieren. Es steht Ihnen frei, nur diejenigen auszuwählen, die Sie verwenden möchten. Selbst wenn Sie nur einige der enthaltenen Tools verwenden, ist dies wahrscheinlich eine schnellere Option als die separate Installation.
Bemerkungen