- - Netwerkgebaseerde inbraakdetectiesystemen: 5 beste NIDS-tools om te gebruiken

Netwerkgebaseerde inbraakdetectiesystemen: 5 beste NIDS-tools om te gebruiken

Het lijkt erop dat iedereen zich tegenwoordig zorgen maaktmet beveiliging. Het is logisch wanneer we het belang van cybercriminaliteit overwegen. Organisaties worden aangevallen door hackers die proberen hun gegevens te stelen of andere schade toebrengen. Een manier om uw IT-omgeving tegen deze aanvallen te beschermen, is door het gebruik van de juiste tools en systemen. Vaak bevindt de eerste verdedigingslinie zich aan de rand van het netwerk in de vorm van netwerkgebaseerde inbraakdetectiesystemen of NIDS. Deze systemen analyseren het verkeer dat op uw afkomtnetwerk vanaf internet om verdachte activiteiten te detecteren en u onmiddellijk te waarschuwen. NIDS zijn zo populair en er zijn er zoveel beschikbaar dat het vinden van de beste voor jouw behoeften een uitdagende onderneming kan zijn. Om je te helpen, we hebben deze lijst samengesteld van enkele van de beste netwerkgebaseerde inbraakdetectiesystemen.


We beginnen onze reis met een kijkje op deverschillende soorten inbraakdetectiesysteem. In wezen zijn er twee soorten: netwerkgebaseerd en hostgebaseerd. We zullen hun verschillen uitleggen. Inbraakdetectiesystemen verschillen ook van de detectiemethode die ze gebruiken. Sommigen van hen gebruiken een op handtekeningen gebaseerde aanpak, terwijl anderen vertrouwen op gedragsanalyse. De beste tools gebruiken een combinatie van beide detectiemethoden. De markt is verzadigd met zowel inbraakdetectie- als inbraakpreventiesystemen. We zullen onderzoeken hoe ze verschillen en hoe ze op elkaar lijken, omdat het belangrijk is om het onderscheid te begrijpen. Ten slotte zullen we de beste netwerkgebaseerde inbraakdetectiesystemen bekijken en hun belangrijkste functies presenteren.

Op netwerk versus host gebaseerde inbraakdetectie

Inbraakdetectiesystemen zijn één van tweesoorten. Ze hebben allebei een identiek doel - om snel inbraakpogingen of verdachte activiteiten te detecteren die mogelijk tot inbraakpogingen leiden - maar ze verschillen in de locatie van het handhavingspunt dat verwijst naar waar de detectie wordt uitgevoerd. Elk type inbraakdetectietool heeft voor- en nadelen. Er is geen echte consensus over welke de voorkeur verdient. Sommigen zweren bij het ene type, terwijl anderen alleen het andere vertrouwen. Beide hebben waarschijnlijk gelijk. De beste of veiligste oplossing is waarschijnlijk een combinatie van beide typen.

Network Intrusion Detection Systems (NIDS)

Het eerste type inbraakdetectiesysteem isNetwork Intrusion Detection System of NIDS genoemd. Deze systemen werken aan de grens van het netwerk om detectie af te dwingen. Ze onderscheppen en onderzoeken netwerkverkeer, op zoek naar verdachte activiteiten die op een inbraakpoging kunnen wijzen en ook op zoek naar bekende inbraakpatronen. Indringers proberen vaak bekende kwetsbaarheden van verschillende systemen te misbruiken door bijvoorbeeld verkeerd ingedeelde pakketten naar hosts te sturen, waardoor ze op een bepaalde manier reageren waardoor ze kunnen worden overtreden. Een netwerkinbraakdetectiesysteem zal waarschijnlijk dit soort inbraakpoging detecteren.

Sommigen beweren dat Network Intrusion DetectionSystemen zijn beter dan hun host-gebaseerde tegenhanger omdat ze aanvallen kunnen detecteren, zelfs voordat ze uw systemen bereiken. Sommigen geven ook de voorkeur aan hen omdat ze niets op elke host hoeven te installeren om ze effectief te beschermen. Aan de andere kant bieden ze weinig bescherming tegen aanvallen van binnenuit, wat helaas helemaal niet ongewoon is. Om te worden gedetecteerd, moet de inbraakpoging van een aanvaller door de NIDS gaan, wat zelden gebeurt wanneer deze van binnenuit komt. Elke technologie heeft voor- en nadelen en het specifieke geval van inbraakdetectie, niets weerhoudt u ervan beide soorten tools te gebruiken voor de ultieme bescherming.

Host Intrusion Detection Systems (HIDS)

Host Intrusion Detections Systems (HIDS) werkenop het hostniveau; je hebt het misschien geraden uit hun naam. Ze zullen bijvoorbeeld verschillende logbestanden en dagboeken controleren op tekenen van verdachte activiteit. Een andere manier waarop ze inbraakpogingen kunnen detecteren, is door systeemconfiguratiebestanden te controleren op ongeautoriseerde wijzigingen. Ze kunnen ook dezelfde bestanden onderzoeken op specifieke bekende indringingspatronen. Het is bijvoorbeeld bekend dat een bepaalde intrusiemethode werkt door een bepaalde parameter toe te voegen aan een specifiek configuratiebestand. Een goed host-gebaseerd inbraakdetectiesysteem zou dat opvangen.

Hoewel hun naam je ertoe zou kunnen brengen om dat te denkenalle HIDS worden rechtstreeks op het apparaat geïnstalleerd dat ze moeten beschermen, dit is niet noodzakelijk het geval. Sommige moeten op al uw computers worden geïnstalleerd, terwijl andere alleen een lokale agent hoeven te installeren. Sommigen doen zelfs al hun werk op afstand zonder agent. Ongeacht hoe ze werken, de meeste HIDS hebben een gecentraliseerde console waar u elk exemplaar van de applicatie kunt besturen en alle resultaten kunt bekijken.

Inbraakdetectiemethoden

Inbraakdetectiesystemen verschillen niet alleen perhet handhavingspunt, verschillen ze ook door de methode die ze gebruiken om inbraakpogingen te detecteren. Sommige zijn gebaseerd op handtekeningen, terwijl andere gebaseerd zijn op afwijkingen. De eerste werken door gegevens te analyseren voor specifieke patronen die zijn geassocieerd met inbraakpogingen. Dit is vergelijkbaar met traditionele virusbeschermingssystemen die afhankelijk zijn van virusdefinities. Op handtekeningen gebaseerde inbraakdetectie is afhankelijk van inbraakhandtekeningen of patronen. Ze vergelijken vastgelegde gegevens met indringingshandtekeningen om indringingspogingen te identificeren. Natuurlijk werken ze niet totdat de juiste handtekening is geüpload naar de software, wat soms alleen kan gebeuren nadat een bepaald aantal machines is aangevallen en uitgevers van inbraakhandtekeningen de tijd hebben gehad om nieuwe updatepakketten te publiceren. Sommige leveranciers zijn vrij snel, terwijl anderen pas dagen later kunnen reageren. Dit is het belangrijkste nadeel van deze detectiemethode.

Op anomalie gebaseerde inbraakdetectie biedt beterbescherming tegen zero-day-aanvallen, aanvallen die plaatsvinden voordat inbraakdetectiesoftware de kans heeft gekregen om het juiste handtekeningbestand te verkrijgen. Ze zoeken naar afwijkingen in plaats van bekende indringingspatronen te herkennen. Iemand die bijvoorbeeld meerdere keren achter elkaar toegang probeert te krijgen tot een systeem met een verkeerd wachtwoord, zou een waarschuwing activeren omdat dit een veel voorkomend teken is van een brute force-aanval. Deze systemen kunnen snel verdachte activiteiten in het netwerk detecteren. Elke detectiemethode heeft voor- en nadelen en net als bij de twee soorten tools zijn de beste tools waarschijnlijk die met een combinatie van handtekening- en gedragsanalyse.

Detectie of preventie?

Sommige mensen raken vaak verward tusseninbraakdetectie en inbraakpreventiesystemen. Hoewel ze nauw verwant zijn, zijn ze niet identiek, hoewel er enige functionaliteit overlapping tussen de twee is. Zoals de naam al doet vermoeden, detecteren inbraakdetectiesystemen inbraakpogingen en verdachte activiteiten. Wanneer ze iets detecteren, activeren ze meestal een vorm van waarschuwing of melding. Het is dan aan de beheerders om de nodige stappen te nemen om de inbraakpoging te stoppen of te blokkeren.

Intrusion Prevention Systems (IPS) gaan één stapverder en kan indringers helemaal voorkomen. Systemen voor inbraakpreventie bevatten een detectiecomponent - die functioneel equivalent is aan een inbraakdetectiesysteem - die een automatische herstelactie zal activeren wanneer een inbraakpoging wordt gedetecteerd. Er is geen menselijke tussenkomst vereist om de inbraakpoging te stoppen. Inbraakpreventie kan ook verwijzen naar alles dat wordt gedaan of ingevoerd als een manier om inbraak te voorkomen. Wachtwoordverharding of indringervergrendeling kan bijvoorbeeld worden beschouwd als inbraakpreventiemaatregelen.

De beste tools voor netwerkinbraakdetectie

We hebben de markt het beste doorzochtNetwerkgebaseerde inbraakdetectiesystemen. Onze lijst bevat een mix van echte host-gebaseerde inbraakdetectiesystemen en andere software die een netwerkgebaseerde inbraakdetectiecomponent hebben of die kunnen worden gebruikt om inbraakpogingen te detecteren. Elk van onze aanbevolen tools kan inbraakpogingen op uw netwerk helpen detecteren.

1. SolarWinds Threat Monitor - IT Ops-editie (GRATIS demo)

SolarWinds is een veel voorkomende naam op het gebied vanhulpmiddelen voor netwerkbeheer. Het bedrijf bestaat al zo'n 20 jaar en heeft ons enkele van de beste netwerk- en systeembeheertools opgeleverd. Het vlaggenschipproduct, de Network Performance Monitor, behoort consequent tot de beste tools voor monitoring van de bandbreedte van het netwerk. SolarWinds maakt ook uitstekende gratis tools, die elk een specifieke behoefte van netwerkbeheerders aanpakken. De Kiwi Syslog Server en de Advanced Subnet Calculator zijn twee goede voorbeelden hiervan.

Voor netwerk-gebaseerde inbraakdetectie biedt SolarWinds de Threat Monitor - IT Ops-editie. In tegenstelling tot de meeste andere SolarWinds-tools is dit ditéén is een cloudgebaseerde service in plaats van lokaal geïnstalleerde software. U abonneert zich eenvoudig, configureert het en het begint uw omgeving in de gaten te houden voor inbraakpogingen en nog een paar soorten bedreigingen. De Threat Monitor - IT Ops-editie combineert verschillende tools. Het heeft zowel netwerk- als host-gebaseerde inbraakdetectie en log centralisatie en correlatie, en beveiligingsinformatie en gebeurtenisbeheer (SIEM). Het is een zeer grondige suite voor monitoring van bedreigingen.

SolarWinds Threat Monitor - IT Ops-editie - Dashboard

  • GRATIS DEMO: SolarWinds Threat Monitor - IT Ops-editie
  • Officiële downloadlink: https://www.solarwinds.com/threat-monitor/registration

De Threat Monitor - IT Ops-editie is altijd up-to-date en wordt voortdurend bijgewerktbedreigingsinformatie van meerdere bronnen, waaronder IP- en domeinreputatiedatabases. Het let op zowel bekende als onbekende bedreigingen. De tool beschikt over geautomatiseerde intelligente antwoorden om beveiligingsincidenten snel te verhelpen en biedt een aantal inbraakpreventie-achtige functies.

De waarschuwingsfuncties van het product zijn behoorlijkindrukwekkend. Er zijn multi-voorwaardelijke, onderling gecorreleerde alarmen die werken in combinatie met de Active Response-engine van het hulpprogramma en helpen bij het identificeren en samenvatten van belangrijke gebeurtenissen. Het rapportagesysteem is net zo goed als het alarmsysteem en kan worden gebruikt om naleving aan te tonen met behulp van bestaande vooraf gebouwde rapportsjablonen. U kunt ook aangepaste rapporten maken die precies aansluiten op uw bedrijfsbehoeften.

Prijzen voor de SolarWinds Threat Monitor - IT Ops-editie begin bij $ 4 500 voor maximaal 25 knooppunten met 10 dagenvan de index. U kunt contact opnemen met SolarWinds voor een gedetailleerde offerte aangepast aan uw specifieke behoeften. En als u het product liever in actie ziet, kunt u een gratis demo aanvragen bij SolarWinds.

2. snuiven

snuiven is zeker de bekendste open-source NIDS. Maar snuiven is eigenlijk meer dan een inbraakdetectietool. Het is ook een packet-sniffer en een packger-logger en het bevat ook een paar andere functies. Voor nu zullen we ons concentreren op de intrusiedetectiefuncties van het hulpprogramma, want dit is het onderwerp van dit bericht. Het configureren van het product doet denken aan het configureren van een firewall. Het wordt geconfigureerd met behulp van regels. U kunt basisregels downloaden van de snuiven website en gebruik ze zoals ze zijn of pas ze aan uw specifieke behoeften aan. U kunt zich ook abonneren op snuiven regels om automatisch de nieuwste regels te krijgen wanneer deze zich ontwikkelen of wanneer nieuwe bedreigingen worden ontdekt.

Snort IDS-console op Windows

Soort is zeer grondig en zelfs de basisregels kunnen dateen breed scala aan gebeurtenissen detecteren, zoals stealth-poortscans, bufferoverloopaanvallen, CGI-aanvallen, SMB-sondes en vingerafdrukken van besturingssystemen. Er is vrijwel geen limiet aan wat u kunt detecteren met deze tool en wat het detecteert is uitsluitend afhankelijk van de regelset die u installeert. Wat betreft detectiemethoden, sommige van de basisregels voor Snort zijn gebaseerd op handtekeningen, terwijl andere gebaseerd zijn op afwijkingen. Snort kan u daarom het beste van twee werelden bieden.

3. Suricata

Suricata is niet alleen een inbraakdetectiesysteem. Het heeft ook enkele intrusion Prevention-functies. Het wordt zelfs geadverteerd als een compleet ecosysteem voor monitoring van de netwerkbeveiliging. Een van de beste troeven van de tool is hoe het werkt tot aan de applicatielaag. Dit maakt het een hybride netwerk- en hostgebaseerd systeem waarmee de tool bedreigingen kan detecteren die waarschijnlijk door andere tools niet worden opgemerkt.

Suricata Screenshot

Suricata is een echte netwerkgebaseerde inbraakdetectieSysteem en het werkt niet alleen op de applicatielaag. Het zal netwerkprotocollen van een lager niveau zoals TLS, ICMP, TCP en UDP bewaken. De tool begrijpt en decodeert ook hogere protocollen zoals HTTP, FTP of SMB en kan inbraakpogingen detecteren die verborgen zijn in anders normale verzoeken. De tool biedt ook mogelijkheden voor bestandsextractie waarmee beheerders elk verdacht bestand kunnen onderzoeken.

SuricataDe applicatie-architectuur is behoorlijk innovatief. De tool verdeelt zijn werklast over verschillende processorcores en threads voor de beste prestaties. Indien nodig kan het zelfs een deel van zijn verwerking naar de grafische kaart verplaatsen. Dit is een geweldige functie bij het gebruik van het hulpprogramma op servers, omdat hun grafische kaart meestal te weinig wordt gebruikt.

4. Bro Netwerkbeveiligingsmonitor

De Bro Netwerkbeveiligingsmonitor, een ander gratis netwerkintrusiedetectiesysteem De tool werkt in twee fasen: verkeersregistratie en verkeersanalyse. Net als Suricata, Bro Netwerkbeveiligingsmonitor werkt op meerdere lagen in de applicatielaag. Dit zorgt voor een betere detectie van gesplitste inbraakpogingen. De Bro NetwerkbeveiligingsmonitorDe analysemodule bestaat uit twee elementen. Het eerste element wordt de event-engine genoemd en het volgt triggerende gebeurtenissen zoals netto TCP-verbindingen of HTTP-aanvragen. De gebeurtenissen worden vervolgens geanalyseerd door beleidsscripts, het tweede element, die beslissen of een alarm wordt geactiveerd en / of een actie wordt gestart. De mogelijkheid om een ​​actie te starten geeft de Bro Netwerkbeveiligingsmonitor sommige IPS-achtige functionaliteit.

Bro Network Secirity Monitor - IDS-schermafbeelding

De Bro Netwerkbeveiligingsmonitor laat je HTTP-, DNS- en FTP-activiteit volgenen het zal ook SNMP-verkeer volgen. Dit is een goede zaak omdat SNMP vaak wordt gebruikt voor netwerkbewaking, maar het is geen veilig protocol. En omdat het ook kan worden gebruikt om configuraties te wijzigen, kan het worden misbruikt door kwaadwillende gebruikers. Met de tool kunt u ook wijzigingen in de apparaatconfiguratie en SNMP-vallen bekijken. Het kan worden geïnstalleerd op Unix, Linux en OS X, maar het is niet beschikbaar voor Windows, wat misschien het belangrijkste nadeel is.

5. Beveiliging Ui

Het is moeilijk om te definiëren wat de Beveiliging Ui is. Het is niet alleen een inbraakdetectie- of preventiesysteem. Het is in werkelijkheid een complete Linux-distributie met een focus op intrusion detection, enterprise security monitoring en log management. Als zodanig kan het beheerders veel tijd besparen. Het bevat veel tools, waarvan we zojuist hebben beoordeeld. Beveiligingsui omvat Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner en meer. Om het instellen eenvoudiger te maken, wordt de distributie gebundeld met een eenvoudig te gebruiken installatiewizard, waarmee u uw organisatie binnen enkele minuten kunt beveiligen. Als we het moesten beschrijven Beveiliging Ui in één zin zouden we zeggen dat het het Zwitserse zakmes van IT-beveiliging voor bedrijven is.

Security Onion - tabblad Events

Een van de meest interessante dingen hieroverhulpmiddel is dat u alles in één eenvoudige installatie krijgt. Voor inbraakdetectie biedt de tool u zowel netwerk- als hostgebaseerde inbraakdetectietools. Het pakket combineert ook tools die een op handtekeningen gebaseerde aanpak gebruiken en tools die op anomalie zijn gebaseerd. Bovendien vindt u een combinatie van op tekst gebaseerde en GUI-tools. Er is echt een uitstekende mix van beveiligingshulpmiddelen. Er is een belangrijk nadeel van de beveiligingsui. Met zoveel inbegrepen tools kan het configureren van ze allemaal een behoorlijke taak zijn. U hoeft echter niet alle tools te gebruiken en te configureren. U bent vrij om alleen die te kiezen die u wilt gebruiken. Zelfs als u slechts een paar van de meegeleverde tools gebruikt, zou het waarschijnlijk een snellere optie zijn dan ze afzonderlijk te installeren.

Lees ook

Wat is een netwerk-sniffer en waarvoor wordt het gebruikt?
ContaCam: maak een surveillancesysteem met webcams, WDM en DV
Bewegingsmonitor - Verander webcam in bewegingsdetectie Beveiligingscamera
SolarWinds Log & Event Manager vs Splunk - Een vergelijkende review
Remote Access Trojans (RAT's) - Wat zijn ze en hoe te beschermen tegen hen?
6 Beste host-gebaseerde inbraakdetectiesystemen (HIDS) in 2019
7 Beste inbraakpreventiesystemen (IPS) voor 2019
6 beste beveiligingsinformatie en Event Management (SIEM) tools die het bekijken waard zijn in 2019
14 beste netwerkbeveiligingstools voor veiligere omgevingen in 2019
Top 10 inbraakdetectietools: uw beste gratis opties voor 2019
De ultieme gids voor netwerkbeveiliging - inclusief essentiële hulpmiddelen
Ok Google-detectie toevoegen aan alle schermen op uw apparaat [Geen root]

Comments