- - 7 beste inbraakpreventiesystemen (IPS) voor 2019

7 Beste inbraakpreventiesystemen (IPS) voor 2019

Iedereen wil indringers uit hun buurt houdenhuis. Evenzo - en om soortgelijke redenen streven netwerkbeheerders ernaar indringers buiten de netwerken te houden die ze beheren. Een van de belangrijkste troeven van veel hedendaagse organisaties zijn hun gegevens. Het is zo belangrijk dat veel kwaadwillende personen veel moeite zullen doen om die gegevens te stelen. Ze doen dat door een breed scala aan technieken te gebruiken om ongeautoriseerde toegang tot netwerken en systemen te krijgen. Het aantal van dergelijke aanvallen lijkt de laatste tijd exponentieel te zijn gegroeid en als reactie worden er systemen opgezet om ze te voorkomen. Die systemen worden Intrusion Prevention Systems of IPS genoemd. Vandaag bekijken we de allerbeste systemen voor inbraakpreventie die we kunnen vinden.

We beginnen met proberen wat beter te definiërenInbraakpreventie is. Dit houdt natuurlijk in dat we ook zullen definiëren wat inbraak is. We zullen dan de verschillende detectiemethoden onderzoeken die doorgaans worden gebruikt en welke herstelacties bij detectie worden ondernomen. Vervolgens zullen we het kort hebben over passieve inbraakpreventie. Het zijn statische maatregelen die kunnen worden ingevoerd die het aantal inbraakpogingen drastisch kunnen verminderen. Het zal je misschien verbazen dat sommigen niets met computers te maken hebben. Alleen dan kunnen we, met ons allemaal op dezelfde pagina, eindelijk een aantal van de beste inbraakpreventiesystemen bekijken die we konden vinden.

Inbraakpreventie - Waar gaat dit allemaal over?

Jaren geleden waren virussen vrijwel de enigezorgen van systeembeheerders. Virussen kwamen op een punt dat ze zo vaak voorkwamen dat de industrie reageerde door hulpmiddelen voor virusbescherming te ontwikkelen. Tegenwoordig zou geen enkele serieuze gebruiker met een goed verstand aan een computer denken te werken zonder virusbescherming. Hoewel we niet veel meer van virussen horen, is inbraak - of ongeautoriseerde toegang tot uw gegevens door kwaadwillende gebruikers - de nieuwe bedreiging. Omdat gegevens vaak het belangrijkste bedrijfsmiddel van een organisatie zijn, zijn bedrijfsnetwerken het doelwit geworden van kwaadwillende hackers die zich tot het uiterste inspannen om toegang te krijgen tot gegevens. Net zoals antivirussoftware het antwoord was op de verspreiding van virussen, is Intrusion Prevention Systems het antwoord op indringeraanvallen.

Intrusion Prevention Systems doen er in wezen tweedingen. Eerst detecteren ze inbraakpogingen en wanneer ze verdachte activiteiten detecteren, gebruiken ze verschillende methoden om deze te stoppen of te blokkeren. Er zijn twee verschillende manieren waarop inbraakpogingen kunnen worden gedetecteerd. Op handtekeningen gebaseerde detectie werkt door netwerkverkeer en gegevens te analyseren en te zoeken naar specifieke patronen die verband houden met inbraakpogingen. Dit is vergelijkbaar met traditionele virusbeschermingssystemen die afhankelijk zijn van virusdefinities. Op handtekeningen gebaseerde inbraakdetectie is afhankelijk van inbraakhandtekeningen of patronen. Het belangrijkste nadeel van deze detectiemethode is dat deze de juiste handtekeningen nodig heeft om in de software te worden geladen. En wanneer een nieuwe aanvalsmethode wordt gebruikt, is er meestal een vertraging voordat aanvalshandtekeningen worden bijgewerkt. Sommige leveranciers zijn erg snel in het aanbieden van bijgewerkte handtekeningen, terwijl anderen veel langzamer zijn. Hoe vaak en hoe snel handtekeningen worden bijgewerkt, is een belangrijke factor bij het kiezen van een leverancier.

Op anomalie gebaseerde detectie biedt betere beschermingtegen zero-day-aanvallen hebben degenen die plaatsvinden vóór detectie-handtekeningen de kans gehad om te worden bijgewerkt. Het proces zoekt naar afwijkingen in plaats van te proberen bekende indringingspatronen te herkennen. Het zou bijvoorbeeld worden geactiveerd als iemand meerdere keren achter elkaar toegang probeert te krijgen tot een systeem met een verkeerd wachtwoord, een veel voorkomend teken van een brute force-aanval. Dit is slechts een voorbeeld en er zijn meestal honderden verschillende verdachte activiteiten die deze systemen kunnen activeren. Beide detectiemethoden hebben hun voor- en nadelen. De beste tools zijn die die een combinatie van handtekening en gedragsanalyse gebruiken voor de beste bescherming.

Het detecteren van een inbraakpoging is een van de eerste onderdelenom ze te voorkomen. Eenmaal gedetecteerd, werken inbraakpreventiesystemen actief om de gedetecteerde activiteiten te stoppen. Deze systemen kunnen verschillende corrigerende acties ondernemen. Ze kunnen bijvoorbeeld gebruikersaccounts opschorten of op andere wijze deactiveren. Een andere typische actie is het blokkeren van het bron-IP-adres van de aanval of het wijzigen van firewallregels. Als de kwaadaardige activiteit uit een specifiek proces komt, kan het preventiesysteem het proces doden. Het starten van een beveiligingsproces is een andere veel voorkomende reactie en in het ergste geval kunnen hele systemen worden uitgeschakeld om mogelijke schade te beperken. Een andere belangrijke taak van Intrusion Prevention Systems is het waarschuwen van beheerders, het registreren van de gebeurtenis en het melden van verdachte activiteiten.

Passieve inbraakpreventiemaatregelen

Terwijl inbraakpreventiesystemen kunnen beschermentegen verschillende soorten aanvallen, er gaat niets boven goede, ouderwetse passieve maatregelen ter voorkoming van indringers. Het verplicht stellen van sterke wachtwoorden is bijvoorbeeld een uitstekende manier om tegen veel inbraken te beschermen. Een andere gemakkelijke beschermingsmaatregel is het wijzigen van standaardwachtwoorden van apparatuur. Hoewel het minder vaak voorkomt in bedrijfsnetwerken - hoewel het niet ongehoord is - heb ik maar al te vaak internetgateways gezien die nog steeds hun standaard admin-wachtwoord hadden. Wat betreft wachtwoorden is wachtwoordveroudering een andere concrete stap die kan worden genomen om inbraakpogingen te verminderen. Elk wachtwoord, zelfs het beste, kan uiteindelijk worden gekraakt, als er voldoende tijd is. Wachtwoordveroudering zorgt ervoor dat wachtwoorden worden gewijzigd voordat ze worden gekraakt.

Er waren slechts voorbeelden van wat gedaan kon wordenpassief voorkomen van intrusies. We zouden een heel bericht kunnen schrijven over welke passieve maatregelen kunnen worden genomen, maar dit is niet ons doel vandaag. Ons doel is in plaats daarvan enkele van de beste actieve inbraakpreventiesystemen te presenteren.

De beste inbraakpreventiesystemen

Onze lijst bevat een mix van verschillende tools die dat kunnenworden gebruikt om te beschermen tegen inbraakpogingen. De meeste inbegrepen hulpmiddelen zijn echte inbraakpreventiesystemen, maar we omvatten ook hulpmiddelen die, hoewel ze niet als zodanig op de markt worden gebracht, kunnen worden gebruikt om inbraken te voorkomen. Onze eerste inzending is zo'n voorbeeld. Vergeet niet dat uw keuze van het te gebruiken hulpmiddel vooral moet worden bepaald door wat uw specifieke behoeften zijn. Laten we eens kijken wat al onze toptools te bieden hebben.

1. SolarWinds Log & Event Manager (GRATIS PROEF)

SolarWinds is een bekende naam in het netwerktoediening. Het geniet een solide reputatie voor het maken van enkele van de beste netwerk- en systeembeheertools. Het vlaggenschipproduct, de Network Performance Monitor, scoort consistent een van de beste beschikbare tools voor monitoring van de bandbreedte van het netwerk. SolarWinds is ook beroemd om zijn vele gratis tools, die elk een specifieke behoefte van netwerkbeheerders aanpakken. De Kiwi Syslog Server of de SolarWinds TFTP-server zijn twee uitstekende voorbeelden van deze gratis tools.

Laat het niet SolarWinds Log & Event ManagerDe naam houdt je voor de gek. Er is veel meer dan je zou verwachten. Sommige van de geavanceerde functies van dit product kwalificeren het als een inbraakdetectie- en preventiesysteem, terwijl anderen het in het assortiment van Security Information and Event Management (SIEM) plaatsen. De tool biedt bijvoorbeeld real-time gebeurteniscorrelatie en realtime remediëring.

Schermafbeelding Logboek en gebeurtenisbeheer van SolarWinds

  • GRATIS PROEF: SolarWinds Log & Event Manager
  • Officiële downloadlink: https://www.solarwinds.com/log-event-manager-software/registration

De SolarWinds Log & Event Manager biedt onmiddellijke detectie van verdachteactiviteit (een inbraakdetectiefunctie) en geautomatiseerde responsen (een inbraakpreventiefunctionaliteit). Deze tool kan ook worden gebruikt om beveiligingsgebeurtenissen en forensisch onderzoek uit te voeren. Het kan worden gebruikt voor mitigatie- en nalevingsdoeleinden. De tool bevat audit-bewezen rapportage die ook kan worden gebruikt om aan te tonen dat wordt voldaan aan verschillende regelgevingskaders zoals HIPAA, PCI-DSS en SOX. De tool heeft ook bestandsintegriteitsbewaking en USB-apparaatbewaking. Alle geavanceerde functies van de software maken het meer een geïntegreerd beveiligingsplatform dan alleen het log- en eventbeheersysteem waarvan de naam u doet geloven.

De intrusion Prevention-functies van de SolarWinds Log & Event Manager werkt door acties te implementeren die Actief worden genoemdAntwoorden wanneer bedreigingen worden gedetecteerd. Verschillende antwoorden kunnen aan specifieke waarschuwingen worden gekoppeld. Het systeem kan bijvoorbeeld schrijven naar firewalltabellen om de netwerktoegang te blokkeren van een bron-IP-adres waarvan is vastgesteld dat het verdachte activiteiten uitvoert. De tool kan ook gebruikersaccounts onderbreken, processen stoppen of starten en systemen afsluiten. U zult zich herinneren hoe dit precies de herstelacties zijn die we eerder hebben geïdentificeerd.

Prijzen voor de SolarWinds Log & Event Manager varieert op basis van het aantal bewaakte knooppunten. Prijzen beginnen bij $ 4.585 voor maximaal 30 gecontroleerde knooppunten en licenties voor maximaal 2500 knooppunten kunnen worden gekocht, waardoor het product zeer schaalbaar is. Als u het product wilt uitproberen en zelf wilt kijken of het geschikt is voor u, is er een gratis proefversie van 30 dagen beschikbaar.

2. Splunk

Splunk is waarschijnlijk een van de meest populaire inbraakpreventiesystemen. Het is beschikbaar in verschillende edities met verschillende functiesets. Splunk Enterprise Security-of Splunk ES, zoals het vaak wordt genoemd, is wat je nodig hebt voor echte inbraakpreventie. De software bewaakt de gegevens van uw systeem in realtime, op zoek naar kwetsbaarheden en tekenen van abnormale activiteit.

Splunk ES-risicoanalyse

Beveiligingsreactie is een van de sterke punten van het productkleuren en wat maakt het een Intrusion Prevention System. Het maakt gebruik van wat de leverancier het Adaptive Response Framework (ARF) noemt. Het integreert met apparatuur van meer dan 55 beveiligingsleveranciers en kan geautomatiseerde respons uitvoeren, waardoor handmatige taken worden versneld. Deze combinatie als geautomatiseerde sanering en handmatige interventie kan u de beste kansen geven om snel de overhand te krijgen. De tool heeft een eenvoudige en overzichtelijke gebruikersinterface, wat zorgt voor een winnende oplossing. Andere interessante beveiligingsfuncties zijn de functie "Notables" die door de gebruiker aanpasbare waarschuwingen toont en de "Asset Investigator" voor het markeren van kwaadaardige activiteiten en het voorkomen van verdere problemen.

Splunk Enterprise SecurityDe prijsinformatie is niet direct beschikbaar. U moet contact opnemen met de verkoop van Splunk voor een gedetailleerde offerte. Dit is een geweldig product waarvoor een gratis proefperiode beschikbaar is.

3. Sagan

Sagan is eigenlijk een gratis inbraakdetectiesysteem. De tool met scriptuitvoermogelijkheden die hem in de categorie Intrusion Prevention Systems kan plaatsen. Sagan detecteert inbraakpogingen door logbestanden te controleren. Je kunt ook combineren Sagan met Snort die zijn output kan voeden Sagan waardoor de tool enkele netwerkgebaseerde inbraakdetectiemogelijkheden krijgt. In feite, Sagan kan input ontvangen van vele andere tools zoals Bro of Suricata, waarbij de mogelijkheden van verschillende tools worden gecombineerd voor de best mogelijke bescherming.

Sagan Screenshot

Daar zit een addertje onder het gras SaganDe mogelijkheden voor scriptuitvoering. U moet de herstelscripts schrijven. Hoewel deze tool misschien niet het beste kan worden gebruikt als uw enige verdediging tegen inbraak, kan het een belangrijk onderdeel zijn van een systeem dat verschillende tools bevat door gebeurtenissen uit verschillende bronnen te correleren, waardoor u het beste van veel producten krijgt.

Terwijl Sagan kan alleen worden geïnstalleerd op Linux, Unix en Mac OS,het kan verbinding maken met Windows-systemen om hun evenementen te krijgen. Andere interessante functies van Sagan zijn onder meer het volgen van IP-adreslocaties en gedistribueerde verwerking.

4. OSSEC

Open source-beveiligingof OSSEC, is een van de toonaangevende open-source host-gebaseerdeInbraakdetectiesysteem. We nemen het om twee redenen op in onze lijst. De populariteit is zodanig dat we het moesten opnemen, vooral gezien het feit dat u met het hulpprogramma acties kunt opgeven die automatisch worden uitgevoerd wanneer specifieke waarschuwingen worden geactiveerd, waardoor het een aantal inbraakpreventiemogelijkheden biedt. OSSEC is eigendom van Trend Micro, een van de toonaangevende namen op het gebied van IT-beveiliging en maker van een van de beste suites voor virusbescherming.

Schermafbeelding van OSSEC-dashboard

Wanneer geïnstalleerd op Unix-achtige besturingssystemen,de detectie-engine van de software richt zich voornamelijk op log- en configuratiebestanden. Het maakt controlesommen van belangrijke bestanden en verifieert deze periodiek, waarschuwt u of activeert een corrigerende actie wanneer er iets vreemds gebeurt. Het zal ook elke abnormale poging om root-toegang te krijgen controleren en waarschuwen. Op Windows houdt het systeem ook oog voor onbevoegde registerwijzigingen, omdat deze het teken kunnen zijn van kwaadwillende activiteit. Elke detectie activeert een waarschuwing die op de gecentraliseerde console wordt weergegeven, terwijl meldingen ook per e-mail worden verzonden.

OSSEC is een host-gebaseerd inbraakbeveiligingssysteem. Als zodanig moet het worden geïnstalleerd op elke computer die u wilt beschermen. Een gecentraliseerde console consolideert echter wel informatie van elke beveiligde computer voor eenvoudiger beheer. De OSSEC console werkt alleen op Unix-achtige besturingssystemen, maar er is een agent beschikbaar om Windows-hosts te beschermen. Als alternatief kunnen andere tools zoals Kibana of Graylog worden gebruikt als front-end van de tool.

5. Open WIPS-NG

We wisten niet zo goed of we het moesten opnemen Open WIPS NG op onze lijst. Meer hierover in een oogwenk. Het heeft het vooral gemaakt omdat het een van de weinige producten is die zich specifiek richt op draadloze netwerken. Open WIPS NG–Waar WIPS staat voor Wireless IntrusionPreventiesysteem - is een open source tool die bestaat uit drie hoofdcomponenten. Ten eerste is er de sensor. Dit is een dom proces dat eenvoudig draadloos verkeer vangt en naar de server stuurt voor analyse. Zoals je waarschijnlijk al geraden hebt, is het volgende onderdeel de server. Het verzamelt gegevens van alle sensoren, analyseert de verzamelde gegevens en reageert op aanvallen. Deze component is het hart van het systeem. Last but not least is de interfacecomponent de GUI die u gebruikt om de server te beheren en informatie weer te geven over bedreigingen op uw draadloze netwerk.

De belangrijkste reden waarom we eerder hebben geaarzeld Open WIPS NG op onze lijst staat dat, hoe goed het ook is, nietiedereen houdt van de ontwikkelaar van het product. Het is van dezelfde ontwikkelaar als Aircrack NG, een draadloze packet sniffer en wachtwoordcracker die deel uitmaakt van de toolkit van elke wifi-hacker. Dit opent het debat over de ethiek van de ontwikkelaar en maakt sommige gebruikers op hun hoede. Aan de andere kant kan de achtergrond van de ontwikkelaar worden gezien als een bewijs van zijn diepgaande kennis van wifi-beveiliging.

6. fail2ban

fail2ban is een relatief populaire gratis host-inbraakdetectiesysteem met inbraakpreventiefuncties. De software werkt door logboekbestanden van het systeem te controleren op verdachte gebeurtenissen zoals mislukte inlogpogingen of misbruik van zoekopdrachten. Wanneer het systeem iets verdachts detecteert, reageert het door de lokale firewallregels automatisch bij te werken om het bron-IP-adres van het schadelijke gedrag te blokkeren. Dit betekent natuurlijk dat een firewallproces op de lokale machine wordt uitgevoerd. Dit is het belangrijkste nadeel van de tool. Elke andere willekeurige actie, zoals het uitvoeren van een herstelscript of het verzenden van e-mailmeldingen, kan echter worden geconfigureerd.

Fail2Ban Screenshot

fail2ban wordt geleverd met verschillende vooraf gebouwde detectietriggers genaamd filters, die enkele van de meest voorkomende services omvatten, zoals Apache, Courrier, SSH, FTP, Postfix en nog veel meer. Zoals we al zeiden, worden herstelacties uitgevoerd door de firewalltabellen van de host te wijzigen. fail2ban ondersteunt Netfilter, IPtables of de tabel hosts.deny van TCP Wrapper. Elk filter kan aan een of meerdere acties worden gekoppeld. Filters en acties worden samen een gevangenis genoemd.

7. Bro Netwerkbeveiligingsmonitor

De Bro Netwerkbeveiligingsmonitor is een andere gratis netwerkinbraakdetectiesysteem met IPS-achtige functionaliteit. Het werkt in twee fasen, het registreert eerst verkeer en analyseert het vervolgens. Deze tool werkt op meerdere lagen tot de applicatielaag, wat zorgt voor een betere detectie van gesplitste inbraakpogingen. De analysemodule van het product bestaat uit twee elementen. Het eerste element wordt de Event Engine genoemd en heeft als doel het triggeren van triggerende gebeurtenissen zoals TCP-verbindingen of HTTP-aanvragen. De gebeurtenissen worden vervolgens geanalyseerd door beleidsscripts, het tweede element. De taak van de beleidsscripts is om te beslissen of een alarm wordt geactiveerd, een actie wordt gestart of de gebeurtenis wordt genegeerd. Het is de mogelijkheid om een ​​actie te starten die de Bro Netwerkbeveiligingsmonitor zijn IPS-functionaliteit.

Bro Network Security Monitor - Schermafbeelding

De Bro Netwerkbeveiligingsmonitor heeft enkele beperkingen. Het zal alleen HTTP-, DNS- en FTP-activiteit volgen en het zal ook SNMP-verkeer volgen. Dit is echter een goede zaak, omdat SNMP vaak wordt gebruikt voor netwerkbewaking, ondanks de ernstige beveiligingsfouten. SNMP heeft nauwelijks ingebouwde beveiliging en maakt gebruik van niet-gecodeerd verkeer. En omdat het protocol kan worden gebruikt om configuraties te wijzigen, kan het gemakkelijk worden misbruikt door kwaadwillende gebruikers. Het product houdt ook wijzigingen in de apparaatconfiguratie en SNMP-traps in de gaten. Het kan worden geïnstalleerd op Unix, Linux en OS X, maar het is niet beschikbaar voor Windows, wat misschien het belangrijkste nadeel is. Anders is dit een zeer interessant hulpmiddel dat het proberen waard is.

Lees ook

Hoe te repareren "Deze pc kan niet worden opgewaardeerd naar Windows 10" fout op Windows 10 mei 2019 upgrade
15 beste nieuwe functies in de 19H1-update van Windows 10 april 2019
Wat is preventie van gegevensuitvoering (DEP) en hoe dit uit te schakelen in Windows 7 / Vista
6 beste hulpmiddelen voor logbeheer voor Linux in 2019
SolarWinds Log & Event Manager vs Splunk - Een vergelijkende review
Remote Access Trojans (RAT's) - Wat zijn ze en hoe te beschermen tegen hen?
6 Beste host-gebaseerde inbraakdetectiesystemen (HIDS) in 2019
Netwerkgebaseerde inbraakdetectiesystemen: 5 beste NIDS-tools om te gebruiken
6 beste beveiligingsinformatie en Event Management (SIEM) tools die het bekijken waard zijn in 2019
14 beste netwerkbeveiligingstools voor veiligere omgevingen in 2019
Top 10 inbraakdetectietools: uw beste gratis opties voor 2019
De ultieme gids voor netwerkbeveiliging - inclusief essentiële hulpmiddelen

Comments