Sikkerhet er et hett tema, og det har vært for ganskeen stund. For mange år siden var virus den eneste bekymringen fra systemadministratorer. Virus var så vanlig at det ledet an for et forbløffende utvalg av virusforebyggende verktøy. Nå for tiden vil knapt noen tenke på å kjøre en ubeskyttet datamaskin. Imidlertid er datamaskininntrenging, eller uautorisert tilgang til dataene dine fra ondsinnede brukere, "trusselen du jour". Nettverk har blitt målet for mange hackere som ikke har til hensikt, som vil gå langt for å få tilgang til dataene dine. Det beste forsvaret ditt mot denne typen trusler er et system for inntrenging-eller -forebygging. I dag vurderer vi ti av de beste verktøyene for gratis deteksjon av inntrenging.
Før vi begynner, skal vi først diskutereforskjellige inntrengingsdeteksjonsmetoder som er i bruk. Akkurat som det er mange måter inntrengere kan komme inn i nettverket ditt, er det like mange måter - kanskje enda flere - måter å oppdage dem på. Deretter diskuterer vi de to hovedkategoriene for inntrengingsdeteksjonssystem: nettverksinntrengingsdeteksjon og vertsinntrengingsdeteksjon. Før vi fortsetter, skal vi deretter forklare forskjellene mellom inntrengingsdeteksjon og forebygging av inntrenging. Og til slutt vil vi gi deg en kort gjennomgang av ti av de beste gratis inntrengingsdeteksjonsverktøyene vi kunne finne.
Metoder for påvisning av inntrenging
Det er i utgangspunktet to forskjellige metoder som brukes tiloppdage innbruddsforsøk. Det kan være signaturbasert eller anomali-basert. La oss se hvordan de er forskjellige. Signaturbasert intrusjonsdeteksjon fungerer ved å analysere data for spesifikke mønstre som har blitt assosiert med inntrengingsforsøk. Det er litt som tradisjonelle antivirussystemer som er avhengige av virusdefinisjoner. Disse systemene vil sammenligne data med inntrengelsessignaturmønstre for å identifisere forsøk. Deres viktigste ulempe er at de ikke fungerer før riktig signatur er lastet opp til programvaren, som vanligvis skjer etter at et visst antall maskiner er blitt angrepet.
Anomali-basert intrusjonsdeteksjon gir enbedre beskyttelse mot angrep på null dager, de som skjer før noen programvare for inntrengingsdeteksjon har hatt en sjanse til å skaffe riktig signaturfil. I stedet for å prøve å gjenkjenne kjente inntrengningsmønstre, vil disse i stedet se etter avvik. For eksempel vil de oppdage at noen prøvde å få tilgang til et system med et galt passord flere ganger, et vanlig tegn på et brute force-angrep. Som du kanskje har gjettet, har hver deteksjonsmetode sine fordeler. Dette er grunnen til at de beste verktøyene ofte bruker en kombinasjon av begge deler for best mulig beskyttelse.
To typer inntrengingsdeteksjonssystemer
Akkurat som det er forskjellige deteksjonsmetoderdet er også to hovedtyper av inntrengingsdeteksjonssystemer. De skiller seg for det meste på stedet der inntrengingsdeteksjonen utføres, enten på vertsnivå eller på nettverksnivå. Her igjen har hver sine fordeler, og den beste løsningen - eller den sikreste - er muligens å bruke begge deler.
Host Intrusion Detection Systems (HIDS)
Den første typen inntrengingsdeteksjonssystemopererer på vertsnivå. Det kan for eksempel sjekke forskjellige loggfiler for tegn på mistenkelig aktivitet. Det kan også fungere ved å sjekke viktige konfigurasjonsfiler for uautoriserte endringer. Dette er hva anomali-baserte HIDS ville gjort. På den annen side ville signaturbaserte systemer se på de samme logg- og konfigurasjonsfilene, men ville lete etter spesifikke kjente inntrengningsmønstre. For eksempel kan det være kjent at en bestemt inntrengningsmetode fungerer ved å legge til en bestemt streng til en spesifikk konfigurasjonsfil som den signaturbaserte IDS vil oppdage.
Som du kunne forestilt deg, er HIDS installertdirekte på enheten de er ment å beskytte, så du må installere dem på alle datamaskiner. De fleste systemer har imidlertid en sentralisert konsoll der du kan kontrollere hver forekomst av applikasjonen.
Network Intrusion Detection Systems (NIDS)
Nettverksinntrengingsdeteksjonssystemer, eller NIDS,arbeide ved nettverkets grense for å håndheve gjenkjenning. De bruker lignende metoder som vertsinntrengingsdeteksjonssystemer. I stedet for å se på er logg og konfigurasjonsfiler, ser de selvfølgelig ut i nettverkstrafikk, for eksempel tilkoblingsforespørsler. Noen inntrengningsmetoder har vært kjent for å utnytte sårbarheter ved å sende målrettet misdannede pakker til verter, slik at de reagerer på en bestemt måte. Systemer for inntrenging av nettverksinntrenging kan lett oppdage disse.
Noen vil hevde at NIDS er bedre enn HIDSmens de oppdager angrep selv før de kommer til datamaskinene dine. De er også bedre fordi de ikke trenger å installere noe på hver datamaskin for å beskytte dem effektivt. På den annen side gir de liten beskyttelse mot innfallsangrep som dessverre slett ikke er uvanlige. Dette er et annet tilfelle der den beste beskyttelsen kommer fra å bruke en kombinasjon av begge typer verktøy.
Inntrengingsdeteksjon mot forebygging
Det er to forskjellige sjangre av verktøy iinnbruddsbeskyttelsesverden: inntrengingsdeteksjonssystemer og inntrengningsforebyggende systemer. Selv om de tjener et annet formål, er det ofte en viss overlapping mellom de to verktøytypene. Som navnet tilsier, vil inntrengingsdeteksjonen oppdage innbruddsforsøk og mistenkelige aktiviteter generelt. Når det gjør det, vil det vanligvis utløse en slags alarm eller varsling. Det er da opp til administratoren å ta de nødvendige skritt for å stoppe eller blokkere dette forsøket.
Systemer for forebygging av inntrenging derimot,arbeide for å hindre at inntrenging skjer helt. De fleste inntrengningsforebyggende systemer vil inneholde en deteksjonskomponent som vil utløse noe handling hver gang inntrengningsforsøk oppdages. Men inntrengningsforebygging kan også være passiv. Begrepet kan brukes til å referere til alle trinn som er iverksatt for å forhindre inntrenging. Vi kan tenke på tiltak som f.eks. Herding av passord.
De beste verktøyene for deteksjon av gratis inntrenging
Inntrengingsdeteksjonssystemer kan være dyre,veldig dyrt. Heldigvis er det ganske mange gratis alternativer der ute. vi har søkt på Internett etter noen av de beste programvareverktøyene for inntrengingsdeteksjon. Vi fant ganske mange, og vi skal kort gjennomgå de beste ti vi kunne finne.
1. OSSEC
OSSEC, som står for Open Source Security, erdet desidert ledende open source-systemet for intrusjonsdeteksjonssystem. OSSEC eies av Trend Micro, et av de ledende navnene innen IT-sikkerhet. Programvaren, når den er installert på Unix-lignende operativsystemer, fokuserer først og fremst på logg- og konfigurasjonsfiler. Den lager sjekkesummer av viktige filer og validerer dem med jevne mellomrom, og varsler deg om noe rart skjer. Den vil også overvåke og fange eventuelle rare forsøk på å få root-tilgang. På Windows holder systemet også øye med uautoriserte registerendringer.
OSSEC, som er et vertsinntrengingsdeteksjonssystemmå installeres på hver datamaskin du vil beskytte. Det vil imidlertid konsolidere informasjon fra hver beskyttet datamaskin i en enkelt konsoll for enklere administrasjon. Programvaren kjører bare på Unix-lignende systemer, men en agent er tilgjengelig for å beskytte Windows-verter. Når systemet oppdager noe, vises et varsel på konsollen, og varsler sendes via e-post.
2. Snort
Akkurat som OSSEC var HIDS med åpen kildekode,Snort er den ledende open source NIDS. Snort er faktisk mer enn et inntrengingsdeteksjonsverktøy. Det er også en pakkesniffer og en pakkelogger. Men det vi er interessert i for nå er Snorts funksjoner for inntrengingsdeteksjon. Noe som en brannmur, er Snort konfigurert ved hjelp av regler. Grunnregler kan lastes ned fra Snort-nettstedet og tilpasses dine spesifikke behov. Du kan også abonnere på Snort-regler for å sikre at du alltid får de nyeste når de utvikler seg når nye trusler blir identifisert.
De grunnleggende snortreglene kan oppdage et bredt utvalgav hendelser som stealth port scan, bufferoverløp angrep, CGI angrep, SMB sonder og OS fingeravtrykk. Hva Snort-installasjonen din oppdager avhenger bare av hvilke regler du har installert. Noen av de grunnleggende reglene som tilbys er signaturbaserte, mens andre er anomali-baserte. Å bruke Snort kan gi deg det beste fra begge verdener
3. Suricata
Suricata reklamerer for seg selv som en inntrengingdeteksjons- og forebyggingssystem og som et komplett økosystem for overvåkning av nettverkssikkerhet. En av dette verktøyets beste fordeler fremfor Snort er at det fungerer helt opp til applikasjonslaget. Dette lar verktøyet for å oppdage trusler som kan gå upåaktet hen i andre verktøy ved å bli delt over flere pakker.
Men Suricata fungerer ikke bare i applikasjonenlag. Den vil også overvåke protokoll på lavere nivå som TLS, ICMP, TCP og UDP. Verktøyet forstår også protokoller som HTTP, FTP eller SMB og kan oppdage innbruddsforsøk skjult i ellers normale forespørsler. Det er også en filuttrekkingsfunksjon som lar administratorer undersøke mistenkelige filer selv.
Arkitekturmessig er Suricata veldig godt laget ogden vil fordele arbeidsmengden over flere prosessorkjerner og tråder for best mulig ytelse. Det kan til og med laste ned noe av behandlingen til grafikkortet. Dette er en flott funksjon på servere, ettersom grafikkortet deres for det meste går på tomgang.
4. Bro Network Security Monitor
Neste på vår liste er et produkt som heter BroNetwork Security Monitor, et annet gratis deteksjonssystem for nettverksinntrenging. Bro opererer i to faser: trafikklogging og analyse. I likhet med Suricata opererer Bro på applikasjonslaget, noe som muliggjør bedre påvisning av delte innbruddsforsøk. Det virker som om alt kommer i par med Bro og analysemodulen består av to elementer. Den første er hendelsesmotoren som sporer utløsende hendelser som netto TCP-tilkoblinger eller HTTP-forespørsler. Hendelsene blir deretter videre analysert av policy-manus som bestemmer om de skal utløse et varsel eller starte en handling, noe som gjør Bro til en forebygging av inntrenging i tillegg til et deteksjonssystem.
Bro vil la deg spore HTTP, DNS og FTPaktivitet samt overvåke SNMP-trafikk. Dette er en god ting fordi selv om SNMP ofte brukes til nettverksovervåking, er det ikke en sikker protokoll. Bro lar deg også se på enhetskonfigurasjonsendringer og SNMP-feller. Bro kan installeres på Unix, Linux og OS X, men den er ikke tilgjengelig for Windows, kanskje den viktigste ulempen.
5. Åpne WIPS NG
Åpne WIPS NG kom på listen vår hovedsakelig fordidet er den eneste som spesifikt retter seg mot trådløse nettverk. Open WIPS NG - der WIPS står for Wireless Intrusion Prevention System - er et åpen kildekodeverktøy som består av tre hovedkomponenter. For det første er det sensoren som er en stum enhet som bare fanger trådløs trafikk og sender den til serveren for analyse. Neste er serveren. Denne samlet data fra alle sensorer, analyserer de innsamlede dataene og reagerer på angrep. Det er hjertet i systemet. Sist men ikke minst er grensesnittkomponenten som er brukergrensesnittet du bruker for å administrere serveren og vise informasjon om trusler på det trådløse nettverket.
Ikke alle liker Open WIPS NG. Produktet er fra den samme utvikleren som Aircrack NG en trådløs pakker sniffer og passord cracker som er en del av hver WiFi-hacker sin verktøysett. På den annen side, gitt sin bakgrunn, kan vi anta at utvikleren vet ganske mye om Wi-Fi-sikkerhet.
6. Samhain
Samhain er et gratis vertsinntrengingsdeteksjonssystemsom gir filintegritetskontroll og overvåking / analyse av loggfiler. I tillegg utfører produktet også rootkit-deteksjon, portovervåking, deteksjon av useriøse SUID-kjørbare filer og skjulte prosesser. Dette verktøyet er designet for å overvåke flere systemer med forskjellige operativsystemer med sentralisert logging og vedlikehold. Samhain kan imidlertid også brukes som et frittstående program på en enkelt datamaskin. Samhain kan kjøre på POSIX-systemer som Unix Linux eller OS X. Den kan også kjøres på Windows under Cygwin, selv om bare overvåkingsagenten og ikke serveren har blitt testet i den konfigurasjonen.
En av Samhains mest unike funksjoner er denstealth-modus som lar den løpe uten å bli oppdaget av eventuelle angripere. Altfor ofte inntrengere dreper deteksjonsprosesser de kjenner igjen, slik at de kan gå upåaktet hen. Samhain bruker steganography for å skjule prosessene sine for andre. Den beskytter også de sentrale loggfilene og konfigurasjonssikkerhetskopiene med en PGP-nøkkel for å forhindre manipulering.
7. Fail2Ban
Fail2Ban er en interessant gratis vertinntrengingdeteksjonssystem som også har noen forebyggende funksjoner. Dette verktøyet fungerer ved å overvåke loggfiler for mistenkelige hendelser som mislykkede påloggingsforsøk, utnytter søk osv. Når det oppdager noe mistenkelig, oppdaterer det automatisk de lokale brannmurreglene for å blokkere IP-adressen til kilden til ondsinnet oppførsel. Dette er verktøyets standardhandling, men alle andre vilkårlige handlinger - for eksempel sende e-postvarsler - kan konfigureres.
Systemet leveres med forskjellige forhåndsbygde filtrefor noen av de vanligste tjenestene som Apache, Courrier, SSH, FTP, Postfix og mange flere. Forebygging utføres ved å endre vertens brannmurstabeller. Verktøyet kan fungere med Netfilter, IPtables eller hosts.deny-tabellen til TCP Wrapper. Hvert filter kan knyttes til en eller mange handlinger. Sammen blir filtre og handlinger referert til som et fengsel.
8. AIDE
AIDE er et forkortelse for Advanced IntrusionOppdagelsesmiljø. Det gratis vertsinntrengingsdeteksjonssystemet fokuserer hovedsakelig på rootkit-deteksjon og sammenligning av filsignaturer. Når du først installerer AIDE, vil den sammenstille en database med administratordata fra systemets konfigurasjonsfiler. Dette blir deretter brukt som en grunnlinje som enhver endring kan sammenlignes mot og etter hvert rulles tilbake om nødvendig.
AIDE bruker både signaturbasert og anomali-basertanalyse som kjøres på forespørsel og som ikke er planlagt eller kontinuerlig kjører. Dette er faktisk dette produktets viktigste ulempe. AIDE er imidlertid et kommandolinjeverktøy og en CRON-jobb kan opprettes for å kjøre det med jevne mellomrom. Og hvis du kjører det veldig ofte - for eksempel hvert minutt eller så - får du kvasi-sanntidsdata. I kjernen er AIDE ingenting annet enn et datapriserverktøy. Eksterne skript må lages for å gjøre det til et sant HIDS.
9. Sikkerhetsløk
Security Onion er et interessant beist som kansparer deg for mye tid. Dette er ikke bare et inntrengingsdeteksjons- eller forebyggingssystem. Security Onion er en komplett Linux-distribusjon med fokus på intrusjonsdeteksjon, bedriftssikkerhetsovervåking og loggstyring. Den inneholder mange verktøy, hvorav noen nettopp har gjennomgått. For eksempel har Security Onion Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner og mer. Alt dette er samlet med en brukervennlig installasjonsveiviser, slik at du kan beskytte organisasjonen din i løpet av få minutter. Du kan tenke på Security Onion som den sveitsiske hærens kniv av enterprise IT-sikkerhet.
Det mest interessante med dette verktøyet erat du får alt i en enkel installasjon. Og du får både nettverks- og vertsinntrengingsdeteksjonsverktøy. Det er verktøy som bruker en signaturbasert tilnærming og noen som er anomalibaserte. Distribusjonen har også en kombinasjon av tekstbaserte og GUI-verktøy. Det er virkelig en utmerket blanding av alt. Ulempen er selvfølgelig at du får så mye at det kan ta en stund å konfigurere det hele. Men du trenger ikke å bruke alle verktøyene. Du kan bare velge de du foretrekker.
10. Sagan
Sagan er faktisk mer et logganalysesystemenn en ekte IDS, men den har noen IDS-lignende funksjoner som vi trodde berettiget at den ble tatt med på listen vår. Dette verktøyet kan se de lokale loggene for systemet der det er installert, men det kan også samhandle med andre verktøy. Det kan for eksempel analysere Snorts logger og effektivt legge til noen NIDS-funksjonalitet til det som egentlig er et HIDS. Og det vil ikke bare samhandle med Snort. Det kan samhandle med Suricata også, og det er kompatibelt med flere regelbyggingsverktøy som Oinkmaster eller Pulled Pork.
Sagan har også utførelsesmuligheter for skriptnoe som gjør det til et grovt innbruddsforebyggende system. Dette verktøyet kan sannsynligvis ikke brukes som ditt eneste forsvar mot inntrenging, men det vil være en flott komponent i et system som kan innlemme mange verktøy ved å korrelere hendelser fra forskjellige kilder.
Konklusjon
Inntrengingsdeteksjonssystemer er bare ett avmange tilgjengelige verktøy for å hjelpe nettverks- og systemadministratorer med å sikre optimal drift av miljøet. Noen av verktøyene som er omtalt her er utmerket, men hvert har et litt annet formål. Den du velger vil i stor grad avhenge av personlig preferanse og spesifikke behov.
kommentarer