- - Top 10 inbraakdetectietools: uw beste gratis opties voor 2019

Top 10 inbraakdetectietools: uw beste gratis opties voor 2019

Beveiliging is een hot topic en dat is al heel lang het gevaleen tijdje. Vele jaren geleden waren virussen de enige zorgen van systeembeheerders. Virussen kwamen zo vaak voor dat het de weg effende voor een verbazingwekkende reeks hulpmiddelen voor viruspreventie. Tegenwoordig zou bijna niemand denken aan een onbeschermde computer. Computerinbraak, of de ongeautoriseerde toegang tot uw gegevens door kwaadwillende gebruikers, is echter de "threat du jour". Netwerken zijn het doelwit geworden van talloze kwaadwillende hackers die zich tot het uiterste inspannen om toegang te krijgen tot uw gegevens. Uw beste verdediging tegen dit soort bedreigingen is een inbraakdetectie- of preventiesysteem. Vandaag evalueren we tien van de beste gratis intrusion detection-tools.

Voordat we beginnen, zullen we eerst de besprekenverschillende indringingsdetectiemethoden die in gebruik zijn. Net zoals er indringers op veel manieren uw netwerk kunnen binnenkomen, zijn er net zo veel manieren - misschien zelfs meer - manieren om ze te detecteren. Vervolgens bespreken we de twee hoofdcategorieën van inbraakdetectiesysteem: netwerkinbraakdetectie en hostinbraakdetectie. Voordat we verder gaan, zullen we vervolgens de verschillen uitleggen tussen inbraakdetectie en inbraakpreventie. En tot slot geven we u een kort overzicht van tien van de beste gratis intrusion detection-tools die we konden vinden.

Inbraakdetectiemethoden

Er zijn in principe twee verschillende methoden die worden gebruiktdetecteer inbraakpogingen. Het kan op handtekeningen zijn gebaseerd of op afwijkingen zijn gebaseerd. Laten we eens kijken hoe ze verschillen. Op handtekeningen gebaseerde inbraakdetectie werkt door gegevens te analyseren voor specifieke patronen die zijn geassocieerd met inbraakpogingen. Het lijkt een beetje op traditionele antivirussystemen die afhankelijk zijn van virusdefinities. Deze systemen vergelijken gegevens met indringingspatronen om pogingen te identificeren. Hun belangrijkste nadeel is dat ze niet werken totdat de juiste handtekening is geüpload naar de software, wat meestal gebeurt nadat een bepaald aantal machines is aangevallen.

Op anomalie gebaseerde inbraakdetectie biedt eenbetere bescherming tegen zero-day-aanvallen, diegene die plaatsvinden voordat enige inbraakdetectiesoftware de kans heeft gekregen om het juiste handtekeningbestand te verkrijgen. In plaats van te proberen bekende indringingspatronen te herkennen, zoeken deze in plaats daarvan naar afwijkingen. Ze zouden bijvoorbeeld detecteren dat iemand verschillende keren toegang probeerde te krijgen tot een systeem met een verkeerd wachtwoord, een veel voorkomend teken van een brute force-aanval. Zoals u misschien al geraden heeft, heeft elke detectiemethode zijn voordelen. Dit is de reden waarom de beste tools vaak een combinatie van beide gebruiken voor de beste bescherming.

Twee soorten inbraakdetectiesystemen

Net zoals er verschillende detectiemethoden zijner zijn ook twee hoofdtypen inbraakdetectiesystemen. Ze verschillen meestal op de locatie waar de inbraakdetectie wordt uitgevoerd, op hostniveau of op netwerkniveau. Ook hier heeft elk zijn voordelen en is de beste oplossing - of de veiligste - mogelijk om beide te gebruiken.

Host Intrusion Detection Systems (HIDS)

Het eerste type inbraakdetectiesysteemwerkt op hostniveau. Het kan bijvoorbeeld verschillende logboekbestanden controleren op tekenen van verdachte activiteit. Het zou ook kunnen werken door belangrijke configuratiebestanden te controleren op ongeautoriseerde wijzigingen. Dit is wat anomalie-gebaseerde HIDS zou doen. Anderzijds kijken systemen op basis van handtekeningen naar dezelfde log- en configuratiebestanden, maar zouden ze op zoek zijn naar specifieke bekende indringingspatronen. Het is bijvoorbeeld bekend dat een bepaalde intrusiemethode werkt door een bepaalde string toe te voegen aan een specifiek configuratiebestand dat de op handtekeningen gebaseerde IDS zou detecteren.

Zoals u zich had kunnen voorstellen, zijn HIDS geïnstalleerdrechtstreeks op het apparaat dat ze moeten beschermen, dus u moet ze op al uw computers installeren. de meeste systemen hebben echter een gecentraliseerde console waarmee u elk exemplaar van de toepassing kunt besturen.

Network Intrusion Detection Systems (NIDS)

Netwerkinbraakdetectiesystemen of NIDS,werken aan de grens van uw netwerk om detectie af te dwingen. Ze gebruiken vergelijkbare methoden als host intrusion detection-systemen. In plaats van te kijken naar log- en configuratiebestanden, kijken ze natuurlijk naar netwerkverkeer, zoals verbindingsverzoeken. Van sommige indringingsmethoden is bekend dat ze kwetsbaarheden misbruiken door doelbewust verkeerd ingedeelde pakketten naar hosts te sturen, waardoor ze op een bepaalde manier reageren. Netwerkinbraakdetectiesystemen kunnen deze gemakkelijk detecteren.

Sommigen beweren dat NIDS beter zijn dan HIDSomdat ze aanvallen detecteren, nog voordat ze uw computers bereiken. Ze zijn ook beter omdat ze niets op elke computer hoeven te installeren om ze effectief te beschermen. Aan de andere kant bieden ze weinig bescherming tegen aanvallen van binnenuit, wat helaas helemaal niet ongewoon is. Dit is een ander geval waarbij de beste bescherming komt door het gebruik van een combinatie van beide soorten gereedschappen.

Inbraakdetectie versus preventie

Er zijn twee verschillende genres van tools in deinbraakbeschermingswereld: inbraakdetectiesystemen en inbraakpreventiesystemen. Hoewel ze een ander doel dienen, is er vaak enige overlap tussen de twee soorten tools. Zoals de naam al aangeeft, detecteert de inbraakdetectiepogingen en verdachte activiteiten in het algemeen. Als dit het geval is, wordt meestal een soort alarm of melding geactiveerd. Het is dan aan de beheerder om de nodige stappen te ondernemen om deze poging te stoppen of te blokkeren.

Inbraakpreventiesystemen daarentegenwerken om te voorkomen dat intrusies helemaal gebeuren. De meeste inbraakpreventiesystemen zullen een detectiecomponent bevatten die enige actie zal activeren wanneer inbraakpogingen worden gedetecteerd. Maar inbraakpreventie kan ook passief zijn. De term kan worden gebruikt om te verwijzen naar alle stappen die zijn gezet om inbraken te voorkomen. We kunnen bijvoorbeeld maatregelen bedenken zoals wachtwoordverharding.

De beste gratis inbraakdetectietools

Inbraakdetectiesystemen kunnen duur zijn,erg duur. Gelukkig zijn er nogal wat gratis alternatieven beschikbaar. we hebben op internet gezocht naar enkele van de beste softwaretools voor inbraakdetectie. We hebben er nogal wat gevonden en we staan ​​op het punt kort de beste tien te bespreken die we konden vinden.

1. OSSEC

OSSEC, wat staat voor Open Source Security, isveruit het toonaangevende open-source host inbraakdetectiesysteem. OSSEC is eigendom van Trend Micro, een van de toonaangevende namen op het gebied van IT-beveiliging. De software, wanneer geïnstalleerd op Unix-achtige besturingssystemen, richt zich voornamelijk op log- en configuratiebestanden. Het maakt controlesommen van belangrijke bestanden en valideert deze periodiek en waarschuwt u als er iets vreemds gebeurt. Het zal ook vreemde pogingen volgen om root-toegang te krijgen. Op Windows houdt het systeem ook oog voor onbevoegde registerwijzigingen.

Schermafbeelding van OSSEC-dashboard

OSSEC, zijnde een host inbraakdetectiesysteemmoeten worden geïnstalleerd op elke computer die u wilt beschermen. Het zal echter informatie van elke beveiligde computer in één console consolideren voor eenvoudiger beheer. De software werkt alleen op Unix-achtige systemen, maar er is een agent beschikbaar om Windows-hosts te beschermen. Wanneer het systeem iets detecteert, wordt een waarschuwing op de console weergegeven en worden meldingen per e-mail verzonden.

2. Snuiven

Net zoals OSSEC de beste open-source HIDS was,Snort is de toonaangevende open-source NIDS. Snort is eigenlijk meer dan een inbraakdetectietool. Het is ook een packet sniffer en een packger logger. Maar waar we voorlopig in geïnteresseerd zijn, zijn de intrusion detection-functies van Snort. Net als een firewall wordt Snort geconfigureerd met regels. Basisregels kunnen worden gedownload van de Snort-website en worden aangepast aan uw specifieke behoeften. U kunt zich ook abonneren op Snort-regels om ervoor te zorgen dat u altijd de nieuwste krijgt wanneer deze zich ontwikkelen naarmate nieuwe bedreigingen worden geïdentificeerd.

Snort IDS-console op Windows

De basisregels voor snort kunnen een grote verscheidenheid detecterenvan gebeurtenissen zoals stealth-poortscans, bufferoverloopaanvallen, CGI-aanvallen, SMB-sondes en OS-vingerafdrukken. Wat uw Snort-installatie detecteert, hangt uitsluitend af van de regels die u hebt geïnstalleerd. Sommige van de aangeboden basisregels zijn gebaseerd op handtekeningen, terwijl andere gebaseerd zijn op afwijkingen. Het gebruik van Snort kan je het beste van twee werelden geven

3. Suricata

Suricata adverteert zichzelf als een inbreukdetectie- en preventiesysteem en als een compleet ecosysteem voor monitoring van de netwerkbeveiliging. Een van de grootste voordelen van deze tool ten opzichte van Snort is dat het tot de applicatielaag werkt. Hiermee kan de tool bedreigingen detecteren die onopgemerkt kunnen blijven in andere tools door deze over meerdere pakketten te splitsen.

Suricata Screenshot

Maar Suricata werkt niet alleen bij de applicatielaag. Het zal ook het protocol op een lager niveau bewaken, zoals TLS, ICMP, TCP en UDP. De tool begrijpt ook protocollen zoals HTTP, FTP of SMB en kan inbraakpogingen detecteren die verborgen zijn in anders normale verzoeken. Er is ook een bestandsextractie waarmee beheerders verdachte bestanden zelf kunnen onderzoeken.

Qua architectuur is Suricata zeer goed gemaakt enhet verdeelt zijn werklast over verschillende processorcores en threads voor de beste prestaties. Het kan zelfs een deel van zijn verwerking naar de grafische kaart verplaatsen. Dit is een geweldige functie op servers omdat hun grafische kaart meestal inactief is.

4. Bro-netwerkbeveiligingsmonitor

Het volgende op onze lijst is een product genaamd de BroNetwork Security Monitor, een ander gratis netwerkinbraakdetectiesysteem. Bro werkt in twee fasen: verkeersregistratie en analyse. Net als Suricata werkt Bro op de applicatielaag, waardoor gesplitste inbraakpogingen beter kunnen worden gedetecteerd. Het lijkt erop dat alles in paren komt met Bro en de analysemodule bestaat uit twee elementen. De eerste is de event-engine die triggerende gebeurtenissen zoals netto TCP-verbindingen of HTTP-aanvragen bijhoudt. De gebeurtenissen worden vervolgens verder geanalyseerd door beleidsscripts die beslissen of een waarschuwing wordt geactiveerd en een actie wordt gestart, waardoor Bro een inbraakpreventie vormt naast een detectiesysteem.

Met Bro kun je HTTP, DNS en FTP volgenactiviteit en bewaken SNMP-verkeer. Dit is een goede zaak omdat, hoewel SNMP vaak wordt gebruikt voor netwerkbewaking, het geen veilig protocol is. Met Bro kunt u ook apparaatconfiguratiewijzigingen en SNMP-vallen bekijken. Bro kan worden geïnstalleerd op Unix, Linux en OS X, maar het is niet beschikbaar voor Windows, misschien het belangrijkste nadeel.

5. Open WIPS NG

Open WIPS NG haalde het voornamelijk op onze lijsthet is de enige die zich specifiek richt op draadloze netwerken. Open WIPS NG - waarbij WIPS staat voor Wireless Intrusion Prevention System - is een open source tool die uit drie hoofdcomponenten bestaat. Ten eerste is er de sensor, een dom apparaat dat alleen draadloos verkeer vangt en naar de server stuurt voor analyse. Het volgende is de server. Deze verzamelt gegevens van alle sensoren, analyseert de verzamelde gegevens en reageert op aanvallen. Het is het hart van het systeem. Last but not least is de interfacecomponent de GUI die u gebruikt om de server te beheren en informatie weer te geven over bedreigingen op uw draadloze netwerk.

Niet iedereen houdt echter van Open WIPS NG. Het product is van dezelfde ontwikkelaar als Aircrack NG een draadloze packet sniffer en wachtwoordcracker die deel uitmaakt van de toolkit van elke wifi-hacker. Aan de andere kant kunnen we, gezien zijn achtergrond, aannemen dat de ontwikkelaar nogal wat weet over wifi-beveiliging.

6. Samhain

Samhain is een gratis host-inbraakdetectiesysteemdie zorgt voor controle van de integriteit van de bestanden en monitoring / analyse van logbestanden. Daarnaast voert het product ook rootkitdetectie, poortbewaking, detectie van frauduleuze SUID-uitvoerbare bestanden en verborgen processen uit. Deze tool is ontworpen om meerdere systemen met verschillende besturingssystemen te bewaken met gecentraliseerde registratie en onderhoud. Samhain kan echter ook worden gebruikt als een zelfstandige toepassing op een enkele computer. Samhain kan worden uitgevoerd op POSIX-systemen zoals Unix Linux of OS X. Het kan ook worden uitgevoerd op Windows onder Cygwin, hoewel alleen de monitoring agent en niet de server in die configuratie is getest.

Samhain IDS-schermafbeelding

Een van de meest unieke eigenschap van Samhain is zijnstealth-modus waarmee het kan worden uitgevoerd zonder te worden gedetecteerd door eventuele aanvallers. Te vaak doden indringers detectieprocessen die ze herkennen, waardoor ze onopgemerkt blijven. Samhain gebruikt steganografie om zijn processen voor anderen te verbergen. Het beschermt ook zijn centrale logboekbestanden en configuratieback-ups met een PGP-sleutel om geknoei te voorkomen.

7. Fail2Ban

Fail2Ban is een interessante gratis host-inbraakdetectiesysteem dat ook enkele preventiefuncties heeft. Deze tool controleert logbestanden op verdachte gebeurtenissen, zoals mislukte inlogpogingen, misbruik van zoekopdrachten, enz. Wanneer het iets verdachts detecteert, werkt het automatisch de lokale firewallregels bij om het bron-IP-adres van het schadelijke gedrag te blokkeren. Dit is de standaardactie van het hulpprogramma, maar andere willekeurige acties, zoals het verzenden van e-mailmeldingen, kunnen worden geconfigureerd.

Het systeem wordt geleverd met verschillende vooraf gebouwde filtersvoor enkele van de meest voorkomende services zoals Apache, Courrier, SSH, FTP, Postfix en nog veel meer. Preventie wordt uitgevoerd door de firewalltabellen van de host te wijzigen. De tool kan werken met Netfilter, IPtables of de hosts.deny-tabel van TCP Wrapper. Elk filter kan aan een of meerdere acties worden gekoppeld. Filters en acties worden samen een gevangenis genoemd.

8. AIDE

AIDE is een acroniem voor Advanced IntrusionDetectieomgeving. Het gratis host-inbraakdetectiesysteem is vooral gericht op rootkit-detectie en vergelijking van bestandskenmerken. Wanneer u AIDE voor het eerst installeert, wordt een database met beheerdersgegevens samengesteld uit de configuratiebestanden van het systeem. Dit wordt vervolgens gebruikt als een basislijn waarmee elke wijziging kan worden vergeleken en eventueel indien nodig teruggedraaid.

AIDE gebruikt zowel op handtekeningen gebaseerde als op afwijkingen gebaseerdanalyse die op aanvraag wordt uitgevoerd en niet gepland of continu wordt uitgevoerd. Dit is eigenlijk het belangrijkste nadeel van dit product. AIDE is echter een opdrachtregelprogramma en er kan een CRON-taak worden gemaakt om deze met regelmatige tussenpozen uit te voeren. En als u het heel vaak uitvoert - zoals elke minuut of zo - krijgt u quasi-realtime gegevens. In de kern is AIDE niets anders dan een tool voor het vergelijken van gegevens. Er moeten externe scripts worden gemaakt om er een echte HIDS van te maken.

9. Beveiligingsui

Security Onion is een interessant beest dat kanbespaart u veel tijd. Dit is niet alleen een inbraakdetectie- of preventiesysteem. Security Onion is een complete Linux-distributie met een focus op inbraakdetectie, enterprise security monitoring en log management. Het bevat veel tools, waarvan we zojuist hebben beoordeeld. Security Onion heeft bijvoorbeeld Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner en meer. Dit alles wordt gebundeld met een eenvoudig te gebruiken installatiewizard, waarmee u uw organisatie binnen enkele minuten kunt beschermen. U kunt Security Onion beschouwen als het Zwitserse zakmes voor IT-beveiliging van ondernemingen.

Wizard Beveiliging ui instellen

Het meest interessante aan deze tool isdat je alles in één simpele installatie krijgt. En u krijgt zowel netwerk- als host-inbraakdetectietools. Er zijn tools die gebruik maken van een op handtekeningen gebaseerde aanpak en sommige zijn gebaseerd op afwijkingen. De distributie bevat ook een combinatie van op tekst gebaseerde en GUI-tools. Er is echt een uitstekende mix van alles. Het nadeel is natuurlijk dat je zoveel krijgt dat het configureren van het allemaal even kan duren. Maar u hoeft niet alle tools te gebruiken. U kunt alleen die kiezen die u verkiest.

10. Sagan

Sagan is eigenlijk meer een loganalysesysteemdan een echte IDS, maar het heeft een aantal IDS-achtige functies waarvan we dachten dat deze op onze lijst moesten worden opgenomen. Deze tool kan de lokale logboeken van het systeem bekijken waarop deze is geïnstalleerd, maar kan ook samenwerken met andere tools. Het zou bijvoorbeeld de logs van Snort kunnen analyseren, waardoor sommige NIDS-functionaliteit effectief wordt toegevoegd aan wat in wezen een HIDS is. En het zal niet alleen communiceren met Snort. Het kan ook communiceren met Suricata en het is compatibel met verschillende tools voor het bouwen van regels, zoals Oinkmaster of Pulled Pork.

Sagan Screenshot

Sagan heeft ook mogelijkheden voor scriptuitvoeringwaardoor het een ruw inbraakpreventiesysteem is. Deze tool wordt waarschijnlijk niet gebruikt als uw enige verdediging tegen inbraak, maar het zal een geweldig onderdeel zijn van een systeem dat veel tools kan bevatten door gebeurtenissen uit verschillende bronnen te correleren.

Gevolgtrekking

Inbraakdetectiesystemen zijn slechts een van deveel tools beschikbaar om netwerk- en systeembeheerders te helpen bij het garanderen van de optimale werking van hun omgeving. Alle hulpmiddelen die hier worden besproken, zijn uitstekend, maar hebben elk een iets ander doel. Degene die u kiest, hangt grotendeels af van persoonlijke voorkeur en specifieke behoeften.

Lees ook

Gezichtsherkenning en -herkenning in foto's uitschakelen in Windows 10
Bewegingsmonitor - Verander webcam in bewegingsdetectie Beveiligingscamera
SolarWinds Threat Monitor - REVIEW 2019 (geavanceerde bedreigingsdetectie en monitoring)
SolarWinds Log & Event Manager vs Splunk - Een vergelijkende review
Remote Access Trojans (RAT's) - Wat zijn ze en hoe te beschermen tegen hen?
6 Beste host-gebaseerde inbraakdetectiesystemen (HIDS) in 2019
7 Beste inbraakpreventiesystemen (IPS) voor 2019
Netwerkgebaseerde inbraakdetectiesystemen: 5 beste NIDS-tools om te gebruiken
6 beste beveiligingsinformatie en Event Management (SIEM) tools die het bekijken waard zijn in 2019
14 beste netwerkbeveiligingstools voor veiligere omgevingen in 2019
Gebruik On-Body Detection Smart Lock om uw telefoon ontgrendeld in uw zak te houden
Ok Google-detectie toevoegen aan alle schermen op uw apparaat [Geen root]

Comments