- - Die 6 besten hostbasierten Intrusion Detection-Systeme (HIDS) im Jahr 2019

Die 6 besten hostbasierten Intrusion Detection-Systeme (HIDS) im Jahr 2019

Ich würde nicht zu paranoid klingen wollen, obwohl ichwahrscheinlich, aber Cyber-Kriminalität ist überall. Jede Organisation kann zum Ziel von Hackern werden, die versuchen, auf ihre Daten zuzugreifen. Es ist daher vorrangig, die Dinge im Auge zu behalten und sicherzustellen, dass wir nicht Opfer dieser böswilligen Personen werden. Die allererste Verteidigungslinie ist eine Intrusion Detection System. Host-basiert Systeme wenden ihre Erkennung auf Hostebene an und erkennen die meisten Einbruchsversuche in der Regel schnell und benachrichtigen Sie sofort, damit Sie Abhilfe schaffen können. Mit so vielen Host-basierten Intrusion DetectionDie Auswahl der für Ihre spezifische Situation am besten geeigneten Systeme kann eine Herausforderung darstellen. Damit Sie besser sehen können, haben wir eine Liste der besten hostbasierten Intrusion Detection-Systeme zusammengestellt.

Bevor wir die besten Tools enthüllen, lehnen wir den Kurs abkurz und werfen Sie einen Blick auf die verschiedenen Arten von Intrusion Detection Systemen. Einige sind hostbasiert, während andere netzwerkbasiert sind. Wir erklären die Unterschiede. Wir werden dann die verschiedenen Methoden zur Erkennung von Eindringlingen diskutieren. Einige Tools basieren auf Signaturen, während andere nach verdächtigem Verhalten Ausschau halten. Die besten verwenden eine Kombination aus beiden. Bevor wir fortfahren, werden wir die Unterschiede zwischen Intrusion Detection- und Intrusion Prevention-Systemen erläutern, da es wichtig ist, zu verstehen, worum es geht. Wir sind dann bereit für den Kern dieses Beitrags, die besten hostbasierten Intrusion Detection-Systeme.

Zwei Arten von Einbruchmeldesystemen

Es gibt im Wesentlichen zwei Arten von EingriffenDetektionssysteme. Obwohl ihr Ziel identisch ist - das schnelle Erkennen von Eindringversuchen oder verdächtigen Aktivitäten, die zu einem Eindringversuch führen könnten, unterscheiden sie sich in dem Ort, an dem diese Erkennung durchgeführt wird. Dies ist ein Konzept, das häufig als Durchsetzungspunkt bezeichnet wird. Jeder Typ hat Vor- und Nachteile, und im Allgemeinen gibt es keinen Konsens darüber, welcher Typ vorzuziehen ist. Tatsächlich ist die beste - oder sicherste - Lösung wahrscheinlich eine, die beides kombiniert.

Host-Intrusion-Detection-Systeme (HIDS)

Die erste Art von Einbruchmeldesystem, dasEine, an der wir uns heute interessieren, ist auf Host-Ebene tätig. Sie könnten das von seinem Namen erraten haben. HIDS prüft beispielsweise verschiedene Protokolldateien und Journale auf Anzeichen von verdächtiger Aktivität. Eine andere Möglichkeit, Eindringversuche zu erkennen, besteht darin, wichtige Konfigurationsdateien auf nicht autorisierte Änderungen zu überprüfen. Sie können dieselben Konfigurationsdateien auch auf bestimmte bekannte Einbruchsmuster untersuchen. Es kann beispielsweise bekannt sein, dass eine bestimmte Aufschaltungsmethode funktioniert, indem einer bestimmten Konfigurationsdatei ein bestimmter Parameter hinzugefügt wird. Ein gutes hostbasiertes Intrusion Detection-System würde dies auffangen.

Meistens werden HIDS direkt auf installiertdie Geräte, die sie schützen sollen. Sie müssen sie auf allen Ihren Computern installieren. Bei anderen muss nur ein lokaler Agent installiert werden. Einige erledigen ihre Arbeit sogar aus der Ferne. Unabhängig von ihrer Funktionsweise verfügt good HIDS über eine zentrale Konsole, über die Sie die Anwendung steuern und deren Ergebnisse anzeigen können.

Netzwerk-Intrusion-Detection-Systeme (NIDS)

Eine andere Art von Einbruchmeldesystem genanntNetzwerk-Intrusion-Detection-Systeme (NIDS) arbeiten an der Netzwerkgrenze, um die Erkennung zu erzwingen. Sie verwenden ähnliche Methoden wie Host-Intrusion-Detection-Systeme, z. B. das Erkennen verdächtiger Aktivitäten und das Suchen nach bekannten Intrusionsmustern. Anstatt sich Protokolle und Konfigurationsdateien anzusehen, überwachen sie den Netzwerkverkehr und untersuchen alle Verbindungsanforderungen. Einige Angriffsmethoden nutzen bekannte Sicherheitslücken aus, indem sie absichtlich fehlerhafte Pakete an Hosts senden und diese auf eine bestimmte Art und Weise reagieren lassen, sodass sie verletzt werden können. Ein Netzwerk-Intrusion-Detection-System würde diese Art von Versuch leicht erkennen.

Einige argumentieren, dass NIDS besser sind als HIDS als sieErkennen Sie Angriffe, noch bevor sie auf Ihre Systeme gelangen. Einige bevorzugen sie, weil für den wirksamen Schutz auf jedem Host nichts installiert werden muss. Zum anderen bieten sie wenig Schutz vor Insiderangriffen, die leider keine Seltenheit sind. Um erkannt zu werden, muss ein Angreifer einen Pfad verwenden, der durch die NIDS verläuft. Aus diesen Gründen ist es wahrscheinlich der beste Schutz, wenn beide Arten von Werkzeugen kombiniert werden.

Intrusion Detection-Methoden

Genauso wie es zwei Arten des Eindringens gibtErkennungstools Es gibt hauptsächlich zwei verschiedene Methoden, um Eindringversuche zu erkennen. Die Erkennung kann signaturbasiert oder anomaliebasiert sein. Die signaturbasierte Aufschaltungserkennung analysiert Daten nach bestimmten Mustern, die mit Aufschaltungsversuchen in Verbindung gebracht wurden. Dies ähnelt herkömmlichen Virenschutzsystemen, die auf Virendefinitionen basieren. Ebenso basiert die signaturbasierte Aufschaltungserkennung auf Aufschaltungssignaturen oder -mustern. Sie vergleichen Daten mit Intrusion-Signaturen, um Versuche zu identifizieren. Ihr Hauptnachteil ist, dass sie erst funktionieren, wenn die richtigen Signaturen in die Software hochgeladen wurden. Leider geschieht dies in der Regel erst, nachdem eine bestimmte Anzahl von Computern angegriffen wurde und die Herausgeber von Intrusion-Signaturen Zeit hatten, neue Aktualisierungspakete zu veröffentlichen. Einige Lieferanten sind recht schnell, während andere erst Tage später reagieren konnten.

Anomaliebasierte Intrusion Detection, die andereDiese Methode bietet einen besseren Schutz vor Zero-Day-Angriffen, die auftreten, bevor eine Intrusion-Detection-Software die Möglichkeit hatte, die richtige Signaturdatei abzurufen. Diese Systeme suchen nach Anomalien, anstatt zu versuchen, bekannte Einbruchsmuster zu erkennen. Sie könnten beispielsweise ausgelöst werden, wenn jemand mehrmals hintereinander versucht, mit einem falschen Kennwort auf ein System zuzugreifen, ein häufiges Anzeichen für einen Brute-Force-Angriff. Jedes verdächtige Verhalten kann schnell erkannt werden. Jede Erkennungsmethode hat ihre Vor- und Nachteile. Genau wie bei den Arten von Tools sind die besten Tools diejenigen, die eine Kombination aus Signatur- und Verhaltensanalyse für den besten Schutz verwenden.

Erkennung vs. Prävention - ein wichtiger Unterschied

Wir haben über Intrusion Detection-Systeme gesprochenAber viele von Ihnen haben vielleicht schon von Intrusion Prevention-Systemen gehört. Sind die beiden Konzepte identisch? Die einfache Antwort lautet "Nein", da die beiden Arten von Werkzeugen unterschiedlichen Zwecken dienen. Es gibt jedoch einige Überlappungen zwischen ihnen. Wie der Name schon sagt, erkennt das Einbruchserkennungssystem Einbruchsversuche und verdächtige Aktivitäten. Wenn es etwas erkennt, löst es normalerweise eine Art Warnung oder Benachrichtigung aus. Administratoren müssen dann die erforderlichen Schritte ausführen, um den Angriffsversuch zu stoppen oder zu blockieren.

Intrusion Prevention Systems (IPS) werden dazu gemachtVerhindern Sie Eindringlinge. Active IPS enthält eine Erkennungskomponente, die automatisch eine Abhilfemaßnahme auslöst, wenn ein Angriffsversuch erkannt wird. Intrusion Prevention kann auch passiv sein. Der Begriff kann verwendet werden, um alles zu bezeichnen, was getan oder eingerichtet wird, um Einbrüche zu verhindern. Beispielsweise kann die Kennwortabsicherung als Intrusion-Prevention-Maßnahme angesehen werden.

Die besten Tools zur Erkennung von Host-Eindringlingen

Wir haben den Markt nach den besten Hosts durchsuchtEinbrucherkennungssystem. Was wir für Sie haben, ist eine Mischung aus echten HIDS und anderer Software, die, obwohl sie sich nicht als Intrusion-Detection-Systeme bezeichnen, eine Intrusion-Detection-Komponente haben oder zur Erkennung von Intrusion-Versuchen verwendet werden können. Schauen wir uns unsere Top-Angebote an und schauen wir uns ihre besten Funktionen an.

1. SolarWinds Log & Event Manager (Kostenlose Testphase)

Unser erster Eintrag stammt von SolarWinds, einem gebräuchlichen Namenim Bereich der Netzwerkadministrationstools. Das Unternehmen besteht seit ungefähr 20 Jahren und hat uns einige der besten Tools für die Netzwerk- und Systemadministration mitgebracht. Es ist auch bekannt, dass es viele kostenlose Tools gibt, die bestimmte Anforderungen von Netzwerkadministratoren erfüllen. Zwei großartige Beispiele für diese kostenlosen Tools sind der Kiwi Syslog Server und der Advanced Subnet Calculator.

Lass das nicht zu SolarWinds Log & Event ManagerDer Name täuscht dich. Es ist viel mehr als nur ein Protokoll- und Ereignisverwaltungssystem. Viele der erweiterten Funktionen dieses Produkts haben es in die SIEM-Produktreihe (Security Information and Event Management) aufgenommen. Andere Merkmale qualifizieren es als Intrusion Detection System und bis zu einem gewissen Grad sogar als Intrusion Prevention System. Dieses Tool bietet zum Beispiel Echtzeit-Ereigniskorrelation und Echtzeit-Korrektur.

SolarWinds Log und Event Manager Screenshot

  • KOSTENLOSE TESTPHASE: SolarWinds Log & Event Manager
  • Offizieller Download-Link: https://www.solarwinds.com/log-event-manager-software/registration

Das SolarWinds Log & Event Manager verfügt über eine sofortige Erkennung von verdächtigenAktivität (eine IDS-ähnliche Funktionalität) und automatisierte Antworten (eine IPS-ähnliche Funktionalität). Es kann auch Sicherheitsereignisuntersuchungen und Forensik sowohl zu Schadensbegrenzungs- als auch zu Compliance-Zwecken durchführen. Dank seiner revisionssicheren Berichterstattung kann das Tool unter anderem auch zum Nachweis der Konformität mit HIPAA, PCI-DSS und SOX verwendet werden. Das Tool verfügt auch über die Überwachung der Dateiintegrität und der USB-Geräte. Damit ist es mehr eine integrierte Sicherheitsplattform als nur ein Protokoll- und Ereignismanagementsystem.

Preise für die SolarWinds Log & Event Manager beginnt bei 4.585 USD für bis zu 30 überwachte Knoten. Es können Lizenzen für bis zu 2500 Knoten erworben werden, wodurch das Produkt in hohem Maße skalierbar wird. Wenn Sie das Produkt für einen Testlauf verwenden und selbst prüfen möchten, ob es für Sie geeignet ist, steht eine kostenlose 30-Tage-Testversion mit vollem Funktionsumfang zur Verfügung.

2. OSSEC

Open Source-Sicherheit, oder OSSECist mit Abstand das führende hostbasierte Open Source-UnternehmenIntrusion Detection System. Das Produkt gehört Trend Micro, einem der führenden IT-Sicherheitsunternehmen und Hersteller einer der besten Virenschutzsuiten. Bei der Installation unter Unix-ähnlichen Betriebssystemen konzentriert sich die Software hauptsächlich auf Protokoll- und Konfigurationsdateien. Es erstellt Prüfsummen wichtiger Dateien und überprüft diese regelmäßig, um Sie zu benachrichtigen, wenn etwas Ungewöhnliches passiert. Es wird auch jeder ungewöhnliche Versuch, Root-Zugriff zu erhalten, überwacht und alarmiert. Auf Windows-Hosts achtet das System auch auf nicht autorisierte Registrierungsänderungen, die ein Hinweis auf böswillige Aktivitäten sein können.

Screenshot des OSSEC-Dashboards

Da es sich um ein hostbasiertes Intrusion Detection-System handelt, OSSEC muss auf jedem Computer installiert werden, den Sie schützen möchten. Eine zentralisierte Konsole konsolidiert jedoch Informationen von jedem geschützten Computer, um die Verwaltung zu vereinfachen. Während OSSEC Konsole läuft nur unter Unix-ähnlichen Betriebssystemen,Zum Schutz von Windows-Hosts steht ein Agent zur Verfügung. Jede Erkennung löst eine Warnung aus, die auf der zentralen Konsole angezeigt wird, während Benachrichtigungen auch per E-Mail gesendet werden.

3. Samhain

Samhain ist eine weitere bekannte freie Host-IntrusionErkennungssystem. Unter IDS-Gesichtspunkten sind die Hauptfunktionen die Prüfung der Dateiintegrität und die Überwachung / Analyse von Protokolldateien. Es macht aber weit mehr als das. Das Produkt erkennt Rootkits, überwacht Ports, erkennt nicht autorisierte SUID-Programme und versteckte Prozesse. Das Tool wurde entwickelt, um mehrere Hosts mit verschiedenen Betriebssystemen zu überwachen und gleichzeitig eine zentrale Protokollierung und Wartung zu ermöglichen. Jedoch, Samhain kann auch als eigenständige Anwendung weiter verwendet werdenein einzelner Computer. Die Software läuft hauptsächlich auf POSIX-Systemen wie Unix, Linux oder OS X. Sie kann auch auf Windows unter Cygwin ausgeführt werden, einem Paket, mit dem POSIX-Anwendungen unter Windows ausgeführt werden können, obwohl nur der Überwachungsagent in dieser Konfiguration getestet wurde.

Samhain IDS Bildschirmfoto

Einer von SamhainDie einzigartigste Funktion ist der Stealth-ModusErmöglicht die Ausführung, ohne von potenziellen Angreifern erkannt zu werden. Es ist bekannt, dass Eindringlinge Erkennungsvorgänge, die sie erkennen, sobald sie ein System betreten, schnell abbrechen, bevor sie erkannt werden, sodass sie unbemerkt bleiben. Samhain verwendet steganographische Techniken, um seine Prozesse vor anderen zu verbergen. Außerdem werden die zentralen Protokolldateien und Konfigurationssicherungen mit einem PGP-Schlüssel geschützt, um Manipulationen zu verhindern.

4. Fail2Ban

Fail2Ban ist eine kostenlose und Open-Source-Host-IntrusionErkennungssystem, das auch einige Einbruchsicherungsfunktionen bietet. Das Software-Tool überwacht Protokolldateien auf verdächtige Aktivitäten und Ereignisse wie fehlgeschlagene Anmeldeversuche, Exploitsuche usw. Die Standardaktion des Tools besteht darin, bei jedem Verdacht die lokalen Firewall-Regeln automatisch zu aktualisieren, um die Quell-IP-Adresse der zu blockieren böswilliges Verhalten. In der Realität handelt es sich hierbei nicht um eine echte Intrusion Prevention, sondern um ein Intrusion Detection-System mit automatischen Korrekturfunktionen. Was wir soeben beschrieben haben, ist die Standardaktion des Tools. Es kann jedoch auch jede andere beliebige Aktion konfiguriert werden, z. B. das Senden von E-Mail-Benachrichtigungen.

Fail2Ban Screenshot

Fail2Ban wird mit verschiedenen vorgefertigten Filtern für angebotenEinige der gebräuchlichsten Dienste wie Apache, SSH, FTP, Postfix und viele mehr. Wie bereits erläutert, erfolgt die Prävention durch Ändern der Firewall-Tabellen des Hosts. Das Tool kann mit Netfilter, IPtables oder der hosts.deny-Tabelle von TCP Wrapper arbeiten. Jeder Filter kann einer oder mehreren Aktionen zugeordnet werden.

5. BERATER

Das Erweiterte Intrusion Detection-Umgebung, oder BERATERist ein weiteres kostenloses Host-Intrusion-Detection-SystemDieser konzentriert sich hauptsächlich auf die Erkennung von Rootkits und den Vergleich von Dateisignaturen. Bei der Erstinstallation erstellt das Tool eine Art Datenbank mit Verwaltungsdaten aus den Konfigurationsdateien des Systems. Diese Datenbank kann dann als Basis verwendet werden, anhand derer jede Änderung verglichen und bei Bedarf zurückgesetzt werden kann.

AIDE Screenshot

BERATER nutzt sowohl signaturbasierte als auchanomaliebasierte Erkennungsschemata. Dies ist ein Tool, das bei Bedarf ausgeführt wird und nicht geplant oder kontinuierlich ausgeführt wird. Dies ist der Hauptnachteil des Produkts. Da es sich jedoch nicht um ein GUI-basiertes Befehlszeilentool handelt, kann ein Cron-Job erstellt werden, der in regelmäßigen Abständen ausgeführt wird. Wenn Sie das Tool häufig ausführen (z. B. einmal pro Minute), erhalten Sie fast Echtzeitdaten und haben Zeit, um zu reagieren, bevor ein Eindringversuch zu weit gegangen ist und viel Schaden angerichtet hat.

Im Kern, BERATER ist nur ein Datenvergleichstool, aber mit der HilfeVon einigen externen geplanten Skripten kann es in ein echtes HIDS umgewandelt werden. Beachten Sie jedoch, dass dies im Wesentlichen ein lokales Tool ist. Es hat keine zentrale Verwaltung und keine ausgefallene GUI.

6. Sagan

Das letzte auf unserer Liste ist Sagan, was eigentlich eher ein Log-Analysesystem istals eine echte IDS. Es hat jedoch einige IDS-ähnliche Merkmale, weshalb es einen Platz auf unserer Liste verdient. Das Tool überwacht lokal die Protokolldateien des Systems, auf dem es installiert ist, kann jedoch auch mit anderen Tools interagieren. Es könnte zum Beispiel die Protokolle von Snort analysieren und die NIDS-Funktionalität von Snort effektiv zu den HIDS-Funktionen hinzufügen. Es wird nicht nur mit Snort interagieren. Sagan kann auch mit Suricata interagieren und ist mit verschiedenen Tools zur Regelerstellung wie Oinkmaster oder Pulled Pork kompatibel.

Sagan Screenshot

Sagan hat auch Skriptausführungsfähigkeiten, die könnenMachen Sie es zu einem groben Intrusion Prevention-System, vorausgesetzt, Sie entwickeln einige Korrektur-Skripte. Obwohl dieses Tool wahrscheinlich nicht als einziger Schutz gegen das Eindringen von Personen verwendet wird, kann es eine hervorragende Komponente eines Systems sein, das durch Korrelation von Ereignissen aus verschiedenen Quellen viele Tools enthalten kann.

Bemerkungen