Bezpieczeństwo to gorący temat i tak już byłochwila. Wiele lat temu wirusy były jedynymi problemami administratorów systemu. Wirusy były tak powszechne, że doprowadziły do zadziwiającej gamy narzędzi do zapobiegania wirusom. Obecnie prawie nikt nie pomyślałby o uruchomieniu niechronionego komputera. Jednak włamanie do komputera lub nieautoryzowany dostęp do danych przez złośliwych użytkowników jest „zagrożeniem”. Sieci stały się celem wielu nieuczciwych hakerów, którzy dołożą wszelkich starań, aby uzyskać dostęp do twoich danych. Najlepszą obroną przed tego typu zagrożeniami jest system wykrywania włamań lub zapobiegania. Dzisiaj testujemy dziesięć najlepszych bezpłatnych narzędzi do wykrywania włamań.
Zanim zaczniemy, najpierw omówimyróżne stosowane metody wykrywania włamań. Tak jak istnieje wiele sposobów, w jakie intruzi mogą dostać się do Twojej sieci, istnieją równie liczne sposoby - być może nawet więcej - sposobów ich wykrywania. Następnie omówimy dwie główne kategorie systemu wykrywania włamań: wykrywanie włamań do sieci i wykrywanie włamań do hosta. Zanim przejdziemy dalej, wyjaśnimy różnice między wykrywaniem włamań a zapobieganiem włamaniom. Na koniec przedstawimy krótką recenzję dziesięciu najlepszych bezpłatnych narzędzi do wykrywania włamań, jakie mogliśmy znaleźć.
Metody wykrywania włamań
Istnieją w zasadzie dwie różne metodywykryć próby włamań. Może być oparty na sygnaturach lub anomalii. Zobaczmy, jak się różnią. Wykrywanie włamań oparte na sygnaturach polega na analizie danych pod kątem określonych wzorców powiązanych z próbami włamań. To trochę jak tradycyjne systemy antywirusowe, które opierają się na definicjach wirusów. Systemy te porównają dane z wzorcami sygnatur włamań, aby zidentyfikować próby. Ich główną wadą jest to, że nie działają, dopóki odpowiedni podpis nie zostanie przesłany do oprogramowania, co zwykle dzieje się po zaatakowaniu pewnej liczby maszyn.
Wykrywanie wtargnięcia na podstawie anomalii zapewnia:lepsza ochrona przed atakami zero-day, tymi, które zdarzają się, zanim jakiekolwiek oprogramowanie do wykrywania włamań miało szansę uzyskać odpowiedni plik sygnatur. Zamiast próbować rozpoznać znane wzorce włamań, będą one szukać anomalii. Na przykład wykryliby, że ktoś kilkakrotnie próbował uzyskać dostęp do systemu z niewłaściwym hasłem, co jest powszechną oznaką ataku siłowego. Jak można się domyślić, każda metoda wykrywania ma swoje zalety. Właśnie dlatego najlepsze narzędzia często używają kombinacji obu w celu zapewnienia najlepszej ochrony.
Dwa rodzaje systemów wykrywania włamań
Podobnie jak istnieją różne metody wykrywaniaistnieją również dwa główne typy systemów wykrywania włamań. Różnią się one głównie lokalizacją wykrywania wtargnięcia na poziomie hosta lub na poziomie sieci. Tutaj znowu każdy ma swoje zalety, a najlepszym rozwiązaniem - lub najbezpieczniejszym - jest użycie obu.
Systemy wykrywania włamań hosta (HIDS)
Pierwszy typ systemu wykrywania włamańdziała na poziomie hosta. Może na przykład sprawdzać różne pliki dziennika pod kątem wszelkich podejrzanych działań. Może to również działać, sprawdzając ważne pliki konfiguracyjne pod kątem nieautoryzowanych zmian. To właśnie zrobiłby HIDS oparty na anomalii. Z drugiej strony systemy oparte na sygnaturach sprawdzałyby te same pliki dziennika i konfiguracji, ale szukałyby określonych znanych wzorców włamań. Na przykład, znana może być metoda szczególnego włamania, dodająca określony ciąg do określonego pliku konfiguracyjnego, który wykryłby IDS oparty na sygnaturach.
Jak można sobie wyobrazić, HIDS są zainstalowanebezpośrednio na urządzeniu, które mają chronić, więc musisz zainstalować je na wszystkich komputerach. jednak większość systemów ma scentralizowaną konsolę, w której można kontrolować każdą instancję aplikacji.
Sieciowe systemy wykrywania włamań (NIDS)
Sieciowe systemy wykrywania włamań lub NIDS,pracować na granicy sieci, aby wymusić wykrywanie. Używają podobnych metod jak systemy wykrywania włamań hosta. Oczywiście zamiast szukać plików dziennika i konfiguracji, wyglądają one na ruch sieciowy, taki jak żądania połączeń. Niektóre metody włamań wykorzystują luki w zabezpieczeniach, wysyłając do hostów specjalnie zniekształcone pakiety, co powoduje, że reagują one w określony sposób. Sieciowe systemy wykrywania włamań mogą łatwo je wykryć.
Niektórzy twierdzą, że NIDS są lepsze niż HIDSgdy wykryją ataki, zanim dotrą do twoich komputerów. Są również lepsze, ponieważ nie wymagają instalowania niczego na każdym komputerze, aby skutecznie je chronić. Z drugiej strony zapewniają niewielką ochronę przed atakami z wykorzystaniem informacji poufnych, które niestety nie są wcale rzadkie. Jest to kolejny przypadek, w którym najlepszą ochronę zapewnia połączenie obu rodzajów narzędzi.
Wykrywanie włamań vs. Zapobieganie
Istnieją dwa różne gatunki narzędzi wświat ochrony przed włamaniami: systemy wykrywania włamań i systemy zapobiegania włamaniom. Chociaż służą one innym celom, często oba typy narzędzi nakładają się na siebie. Jak sama nazwa wskazuje, wykrywanie wtargnięcia wykrywa próby włamań i ogólnie podejrzane działania. Kiedy to nastąpi, zwykle wywoła jakiś alarm lub powiadomienie. Administrator musi następnie podjąć niezbędne kroki, aby zatrzymać lub zablokować tę próbę.
Z drugiej strony systemy zapobiegania włamaniompracować nad powstrzymaniem ingerencji. Większość systemów zapobiegania włamaniom będzie zawierała element wykrywający, który wyzwoli pewne działanie po wykryciu prób włamania. Ale zapobieganie włamaniom może być również pasywne. Termin ten może odnosić się do wszelkich kroków, które zostały wprowadzone, aby zapobiec włamaniom. Możemy na przykład wymyślić takie środki, jak wzmocnienie hasła.
Najlepsze bezpłatne narzędzia do wykrywania włamań
Systemy wykrywania włamań mogą być drogie,bardzo drogi. Na szczęście istnieje wiele darmowych alternatyw. przeszukaliśmy Internet w poszukiwaniu najlepszych narzędzi do wykrywania włamań. Znaleźliśmy sporo i zamierzamy krótko przejrzeć dziesięć najlepszych, jakie mogliśmy znaleźć.
1. OSSEC
OSSEC, który oznacza Open Source Security, tozdecydowanie wiodący system wykrywania włamań hosta typu open source. OSSEC jest własnością Trend Micro, jednej z wiodących marek w dziedzinie bezpieczeństwa IT. Oprogramowanie zainstalowane w systemach operacyjnych typu Unix koncentruje się przede wszystkim na plikach dziennika i konfiguracyjnych. Tworzy sumy kontrolne ważnych plików i okresowo je sprawdza, ostrzegając, jeśli wydarzy się coś dziwnego. Będzie także monitorować i wychwytywać wszelkie dziwne próby uzyskania dostępu do roota. W systemie Windows system monitoruje również nieautoryzowane modyfikacje rejestru.
OSSEC, będący systemem wykrywania włamań hostamusisz zainstalować na każdym komputerze, który chcesz chronić. Będzie jednak konsolidować informacje z każdego chronionego komputera w jednej konsoli w celu łatwiejszego zarządzania. Oprogramowanie działa tylko w systemach uniksopodobnych, ale dostępny jest agent do ochrony hostów Windows. Gdy system coś wykryje, na konsoli wyświetla się alert, a powiadomienia są wysyłane pocztą e-mail.
2. Snort
Podobnie jak OSSEC był najlepszym HIDS typu open source,Snort jest wiodącym NIDS typu open source. Snort to w rzeczywistości coś więcej niż narzędzie do wykrywania włamań. Jest to także sniffer pakietów i rejestrator pakietów. Ale tym, co nas teraz interesuje, są funkcje wykrywania włamań Snorta. Podobnie jak zapora ogniowa, Snort jest konfigurowany przy użyciu reguł. Podstawowe reguły można pobrać ze strony internetowej Snort i dostosować je do własnych potrzeb. Możesz także zasubskrybować reguły Snort, aby mieć pewność, że zawsze otrzymujesz najnowsze, gdy ewoluują wraz z wykrywaniem nowych zagrożeń.
Podstawowe zasady Snort mogą wykryć wiele różnychzdarzeń, takich jak skryty port ukryty, ataki przepełnienia bufora, ataki CGI, sondy SMB i odciski palców systemu operacyjnego. To, co wykryje Twoja instalacja Snort, zależy wyłącznie od zainstalowanych reguł. Niektóre z podstawowych oferowanych zasad są oparte na sygnaturach, a inne na anomalii. Korzystanie z Snorta daje najlepsze z obu światów
3. Suricata
Suricata reklamuje się jako wtargnięciesystem wykrywania i zapobiegania oraz jako kompletny ekosystem monitorowania bezpieczeństwa sieci. Jedną z najlepszych zalet tego narzędzia w porównaniu z Snort jest to, że działa aż do warstwy aplikacji. Umożliwia to narzędziu wykrywanie zagrożeń, które mogą pozostać niezauważone w innych narzędziach poprzez podział na kilka pakietów.
Ale Suricata nie działa tylko w aplikacjiwarstwa. Będzie także monitorować protokół niższego poziomu, taki jak TLS, ICMP, TCP i UDP. Narzędzie rozumie również protokoły takie jak HTTP, FTP lub SMB i może wykrywać próby włamań ukryte w normalnych żądaniach. Istnieje również możliwość wyodrębnienia plików, aby umożliwić administratorom samodzielne badanie podejrzanych plików.
Pod względem architektury Suricata jest bardzo dobrze wykonana irozłoży obciążenie na kilka rdzeni i wątków procesora, aby uzyskać najlepszą wydajność. Może nawet przenieść część przetwarzania na kartę graficzną. Jest to świetna funkcja na serwerach, ponieważ ich karta graficzna jest w większości bezczynna.
4. Bro Network Security Monitor
Następny na naszej liście jest produkt o nazwie BroNetwork Security Monitor, kolejny darmowy system wykrywania włamań do sieci. Bro działa w dwóch fazach: rejestracja i analiza ruchu. Podobnie jak Suricata, Bro działa w warstwie aplikacji, co pozwala na lepsze wykrywanie prób włamania typu split. Wygląda na to, że wszystko jest w parze z Bro, a jego moduł analizy składa się z dwóch elementów. Pierwszym z nich jest silnik zdarzeń, który śledzi zdarzenia wyzwalające, takie jak połączenia sieciowe TCP lub żądania HTTP. Zdarzenia są następnie analizowane za pomocą skryptów strategicznych, które decydują o tym, czy wywołać alarm i uruchomić akcję, dzięki czemu Bro jest systemem zapobiegania włamaniom oprócz systemu wykrywania.
Bro pozwoli ci śledzić HTTP, DNS i FTPaktywność, a także monitorować ruch SNMP. Jest to dobra rzecz, ponieważ chociaż SNMP jest często używany do monitorowania sieci, nie jest to bezpieczny protokół. Bro pozwala również obserwować zmiany konfiguracji urządzenia i pułapki SNMP. Bro można zainstalować na systemach Unix, Linux i OS X, ale nie jest on dostępny dla systemu Windows, być może jego główna wada.
5. Otwórz WIPS NG
Open WIPS NG znalazł się na naszej liście głównie dlatego, żejest to jedyny adresowany specjalnie do sieci bezprzewodowych. Open WIPS NG - w którym WIPS oznacza Wireless Intrusion Prevention System - to narzędzie typu open source, które składa się z trzech głównych komponentów. Po pierwsze jest czujnik, który jest głupim urządzeniem, które przechwytuje tylko ruch bezprzewodowy i wysyła go do serwera w celu analizy. Dalej jest serwer. Ten agreguje dane ze wszystkich czujników, analizuje zebrane dane i reaguje na ataki. Jest sercem systemu. Ostatni, ale nie mniej ważny element interfejsu to GUI, którego używasz do zarządzania serwerem i wyświetlania informacji o zagrożeniach w sieci bezprzewodowej.
Jednak nie wszyscy lubią Open WIPS NG. Produkt pochodzi od tego samego dewelopera, co Aircrack NG, bezprzewodowego sniffera pakietów i crackera haseł, który jest częścią zestawu narzędzi każdego hakera WiFi. Z drugiej strony, biorąc pod uwagę jego pochodzenie, możemy założyć, że programista wie sporo o bezpieczeństwie Wi-Fi.
6. Samhain
Samhain to darmowy system wykrywania włamań do hostaktóry zapewnia sprawdzanie integralności plików oraz monitorowanie / analizę plików dziennika. Ponadto produkt wykonuje również wykrywanie rootkitów, monitorowanie portów, wykrywanie nieuczciwych plików wykonywalnych SUID i ukrytych procesów. To narzędzie zostało zaprojektowane do monitorowania wielu systemów z różnymi systemami operacyjnymi ze scentralizowanym rejestrowaniem i konserwacją. Jednak Samhain może być również używany jako samodzielna aplikacja na jednym komputerze. Samhain może działać w systemach POSIX, takich jak Unix Linux lub OS X. Może także działać w systemie Windows pod Cygwin, chociaż w tej konfiguracji przetestowano tylko agenta monitorowania, a nie serwer.
Jedną z najbardziej unikalnych cech Samhain jest jegotryb ukrycia, który pozwala mu działać bez wykrycia przez ewentualnych atakujących. Zbyt często intruz zabija rozpoznane procesy wykrywania, co pozwala im pozostać niezauważonymi. Samhain używa steganografii, aby ukryć swoje procesy przed innymi. Chroni także swoje centralne pliki dziennika i kopie zapasowe konfiguracji za pomocą klucza PGP, aby zapobiec manipulacjom.
7. Fail2Ban
Fail2Ban to interesująca darmowa wtargnięcie hostasystem wykrywania, który ma również pewne funkcje zapobiegania. To narzędzie działa, monitorując pliki dziennika pod kątem podejrzanych zdarzeń, takich jak nieudane próby logowania, wykorzystuje poszukiwania itp. Gdy wykryje coś podejrzanego, automatycznie aktualizuje lokalne reguły zapory sieciowej w celu zablokowania źródłowego adresu IP złośliwego zachowania. Jest to domyślna czynność narzędzia, ale można skonfigurować dowolne inne dowolne działanie, takie jak wysyłanie powiadomień e-mail.
System jest wyposażony w różne fabrycznie wbudowane filtryw przypadku niektórych z najbardziej popularnych usług, takich jak Apache, Courrier, SSH, FTP, Postfix i wiele innych. Zapobieganie odbywa się poprzez modyfikację tabel zapory hosta. Narzędzie może współpracować z Netfilter, IPtables lub tabelą hosts.deny programu TCP Wrapper. Każdy filtr może być powiązany z jedną lub wieloma czynnościami. Razem filtry i działania nazywane są więzieniem.
8. AIDE
AIDE to skrót od Advanced IntrusionŚrodowisko wykrywania. Darmowy system wykrywania włamań hosta koncentruje się głównie na wykrywaniu rootkitów i porównywaniu sygnatur plików. Kiedy początkowo zainstalujesz AIDE, skompiluje on bazę danych danych administracyjnych z plików konfiguracyjnych systemu. Jest to następnie wykorzystywane jako punkt odniesienia, z którym można porównać każdą zmianę i ewentualnie wycofać w razie potrzeby.
AIDE korzysta zarówno z sygnatur, jak i anomaliianaliza, która jest uruchamiana na żądanie i nie jest planowana ani stale uruchomiona. Jest to w rzeczywistości główna wada tego produktu. Jednak AIDE jest narzędziem wiersza polecenia i można utworzyć zadanie CRON, aby uruchamiało je w regularnych odstępach czasu. A jeśli uruchamiasz go bardzo często - na przykład co minutę - otrzymasz dane quasi-w czasie rzeczywistym. U podstaw AIDE jest jedynie narzędzie do porównywania danych. Zewnętrzne skrypty muszą zostać utworzone, aby były prawdziwym HIDS.
9. Cebula bezpieczeństwa
Security Onion to interesująca bestia, która potrafizaoszczędzić ci dużo czasu. To nie jest tylko system wykrywania lub zapobiegania włamaniom. Security Onion to kompletna dystrybucja Linuksa z naciskiem na wykrywanie włamań, monitorowanie bezpieczeństwa przedsiębiorstwa i zarządzanie logami. Zawiera wiele narzędzi, z których niektóre właśnie sprawdziliśmy. Na przykład Security Onion ma Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner i wiele innych. Wszystko to jest dołączone do łatwego w obsłudze kreatora konfiguracji, który pozwala chronić Twoją organizację w ciągu kilku minut. Możesz myśleć o Security Onion jako szwajcarskim scyzoryku do bezpieczeństwa IT w przedsiębiorstwie.
Najbardziej interesującą rzeczą w tym narzędziu jestże otrzymujesz wszystko w jednej prostej instalacji. Dostajesz zarówno narzędzia do wykrywania włamań do sieci, jak i do hosta. Istnieją narzędzia wykorzystujące podejście oparte na sygnaturach, a niektóre oparte na anomalii. Dystrybucja zawiera również kombinację narzędzi tekstowych i GUI. Jest naprawdę doskonała mieszanka wszystkiego. Wadą jest oczywiście to, że dostajesz tyle, że skonfigurowanie tego wszystkiego może chwilę potrwać. Ale nie musisz używać wszystkich narzędzi. Możesz wybrać tylko te, które wolisz.
10. Sagan
Sagan jest w rzeczywistości bardziej systemem analizy logówniż prawdziwy IDS, ale ma pewne cechy podobne do IDS, które naszym zdaniem uzasadniają umieszczenie go na naszej liście. To narzędzie może wyświetlać lokalne dzienniki systemu, w którym jest zainstalowane, ale może także współpracować z innymi narzędziami. Może na przykład analizować dzienniki Snorta, skutecznie dodając funkcjonalność NIDS do tego, co zasadniczo jest HIDS. I to nie będzie tylko interakcja ze Snortem. Może także wchodzić w interakcje z Suricatą i jest kompatybilny z kilkoma narzędziami do budowania reguł, takimi jak Oinkmaster lub Pulled Pork.
Sagan ma również możliwości wykonywania skryptówco czyni go prostym systemem zapobiegania włamaniom. To narzędzie prawdopodobnie nie będzie używane jako jedyna obrona przed włamaniami, ale będzie doskonałym składnikiem systemu, który może zawierać wiele narzędzi poprzez korelowanie zdarzeń z różnych źródeł.
Wniosek
Systemy wykrywania włamań są tylko jednym zdostępnych jest wiele narzędzi pomagających administratorom sieci i systemów w zapewnieniu optymalnego działania ich środowiska. Każde z omawianych tutaj narzędzi jest doskonałe, ale każde z nich ma nieco inny cel. Ten, który wybierzesz, będzie w dużej mierze zależeć od osobistych preferencji i konkretnych potrzeb.
Komentarze