- - Sieciowe systemy wykrywania włamań: 5 najlepszych narzędzi NIDS w użyciu

Sieciowe systemy wykrywania włamań: 5 najlepszych narzędzi NIDS w użyciu

Wygląda na to, że wszyscy są zaniepokojeniz bezpieczeństwem. Ma to sens przy rozważaniu znaczenia cyberprzestępczości. Hakerzy próbują ukraść swoje dane lub wyrządzić im inne szkody. Jednym ze sposobów zabezpieczenia środowiska informatycznego przed atakami jest użycie odpowiednich narzędzi i systemów. Często pierwsza linia obrony znajduje się na obwodzie sieci w postaci sieciowych systemów wykrywania włamań lub NIDS. Te systemy analizują ruch przychodzący na twójsieć z Internetu w celu wykrycia podejrzanej aktywności i natychmiastowego ostrzeżenia. NIDS są tak popularne i tak wiele z nich jest dostępnych, więc znalezienie najlepszego dla twoich potrzeb może być trudnym przedsięwzięciem. Pomóc Ci, zebraliśmy tę listę jednych z najlepszych sieciowych systemów wykrywania włamań.


Rozpoczniemy naszą podróż od spojrzenia naróżne rodzaje systemu wykrywania włamań. Zasadniczo istnieją dwa typy: oparte na sieci i oparte na hoście. Wyjaśnimy ich różnice. Systemy wykrywania włamań różnią się także stosowaną metodą wykrywania. Niektóre z nich stosują podejście oparte na sygnaturach, podczas gdy inne polegają na analizie behawioralnej. Najlepsze narzędzia wykorzystują kombinację obu metod wykrywania. Rynek jest nasycony zarówno systemami wykrywania włamań, jak i zapobiegania włamaniom. Zbadamy, jak się różnią i jak są do siebie podobne, ponieważ ważne jest, aby zrozumieć to rozróżnienie. Na koniec dokonamy przeglądu najlepszych sieciowych systemów wykrywania włamań i zaprezentujemy ich najważniejsze funkcje.

Wykrywanie włamań oparte na sieci lub na hoście

Systemy wykrywania włamań są jednym z dwóchtypy. Oba mają ten sam cel - szybkie wykrywanie prób włamań lub podejrzanych działań potencjalnie prowadzących do prób włamań - ale różnią się lokalizacją punktu egzekwowania, który odnosi się do miejsca wykrycia. Każdy rodzaj narzędzia do wykrywania włamań ma zalety i wady. Nie ma prawdziwego konsensusu co do tego, który z nich jest lepszy. Niektórzy przeklinają według jednego rodzaju, a inni ufają tylko drugiemu. Oba prawdopodobnie mają rację. Najlepszym rozwiązaniem - lub najbezpieczniejszym - jest prawdopodobnie połączenie obu typów.

Sieciowe systemy wykrywania włamań (NIDS)

Pierwszym typem systemu wykrywania włamań jestzwany Network Intrusion Detection System lub NIDS. Systemy te działają na granicy sieci w celu wymuszenia wykrywania. Przechwytują i badają ruch sieciowy, szukając podejrzanych działań, które mogą wskazywać na próbę włamania, a także szukają znanych wzorców włamań. Intruzi często próbują wykorzystać znane luki w różnych systemach, na przykład wysyłając zniekształcone pakiety do hostów, powodując, że reagują w określony sposób, co pozwala na ich złamanie. System wykrywania włamań do sieci najprawdopodobniej wykryje tego rodzaju próby włamań.

Niektórzy twierdzą, że wykrywanie włamań do sieciSystemy są lepsze niż ich odpowiedniki oparte na hoście, ponieważ potrafią wykrywać ataki nawet zanim dotrą do twoich systemów. Niektórzy też wolą je, ponieważ nie wymagają instalowania niczego na każdym hoście, aby skutecznie je chronić. Z drugiej strony zapewniają niewielką ochronę przed atakami z wykorzystaniem informacji poufnych, które niestety nie są wcale rzadkie. Aby zostać wykrytym, próba włamania atakującego musi przejść przez NIDS, co rzadko się zdarza, gdy pochodzi z wewnątrz. Każda technologia ma zalety i wady, a jest to szczególny przypadek wykrywania włamań, nic nie stoi na przeszkodzie, aby używać obu rodzajów narzędzi w celu zapewnienia najwyższej ochrony.

Systemy wykrywania włamań hosta (HIDS)

Działają systemy wykrywania włamań hosta (HIDS)na poziomie hosta; mogłeś to odgadnąć po ich imieniu. Będą na przykład monitorować różne pliki dziennika i dzienniki pod kątem oznak podejrzanej aktywności. Innym sposobem wykrycia prób włamania jest sprawdzenie plików konfiguracyjnych systemu pod kątem nieautoryzowanych zmian. Mogą również badać te same pliki pod kątem określonych znanych wzorców włamań. Na przykład, znana może być metoda określonego włamania, która dodaje określony parametr do określonego pliku konfiguracyjnego. Dobry system wykrywania włamań oparty na hoście może to uchwycić.

Chociaż ich nazwa może skłonić cię do takiego myśleniawszystkie HIDS są instalowane bezpośrednio na urządzeniu, które mają chronić, niekoniecznie tak jest. Niektóre będą musiały zostać zainstalowane na wszystkich twoich komputerach, a niektóre będą wymagać jedynie instalacji lokalnego agenta. Niektórzy nawet wykonują całą pracę zdalnie bez pośrednika. Bez względu na to, jak działają, większość HIDS ma scentralizowaną konsolę, w której możesz kontrolować każde wystąpienie aplikacji i przeglądać wszystkie wyniki.

Metody wykrywania włamań

Systemy wykrywania włamań nie różnią się tylkopunkt egzekwowania, różnią się także metodą używaną do wykrywania prób włamań. Niektóre oparte są na sygnaturach, a inne na anomaliach. Pierwsze z nich polegają na analizie danych pod kątem określonych wzorców związanych z próbami włamań. Jest to podobne do tradycyjnych systemów ochrony przed wirusami, które opierają się na definicjach wirusów. Wykrywanie włamań oparte na sygnaturach opiera się na sygnaturach lub wzorcach włamań. Porównują przechwycone dane z sygnaturami włamań, aby zidentyfikować próby włamań. Oczywiście nie będą działać, dopóki odpowiedni podpis nie zostanie przesłany do oprogramowania, co może się czasem zdarzyć dopiero po zaatakowaniu pewnej liczby maszyn i wydawcom sygnatur włamaniowych zdążyło opublikować nowe pakiety aktualizacji. Niektórzy dostawcy są dość szybcy, podczas gdy inni mogą zareagować dopiero kilka dni później. Jest to podstawowa wada tej metody wykrywania.

Wykrywanie włamań na podstawie anomalii zapewnia lepszeochrona przed atakami zero-day, tymi, które zdarzają się, zanim jakiekolwiek oprogramowanie do wykrywania włamań miało szansę uzyskać odpowiedni plik podpisu. Szukają anomalii zamiast próbować rozpoznać znane wzorce włamań. Na przykład ktoś, kto próbuje uzyskać dostęp do systemu z niewłaściwym hasłem kilka razy z rzędu, uruchomi alert, ponieważ jest to powszechny znak ataku brutalnej siły. Systemy te mogą szybko wykryć wszelkie podejrzane działania w sieci. Każda metoda wykrywania ma zalety i wady i podobnie jak w przypadku dwóch rodzajów narzędzi, najlepszymi narzędziami są prawdopodobnie te, które wykorzystują połączenie analizy podpisu i zachowania.

Wykrywanie czy zapobieganie?

Niektórzy ludzie często się myląsystemy wykrywania włamań i zapobiegania włamaniom. Chociaż są ze sobą ściśle powiązane, nie są identyczne, chociaż obie funkcje nakładają się na siebie. Jak sama nazwa wskazuje, systemy wykrywania włamań wykrywają próby włamań i podejrzane działania. Kiedy coś wykryją, zwykle uruchamiają jakąś formę powiadomienia lub powiadomienia. Następnie administratorzy muszą podjąć niezbędne kroki, aby zatrzymać lub zablokować próbę włamania.

Systemy zapobiegania włamaniom (IPS) idą o krokdalej i może całkowicie powstrzymać ingerencję. Systemy zapobiegania włamaniom zawierają element wykrywający - który jest funkcjonalnie równoważny systemowi wykrywania włamań - który wyzwoli pewne automatyczne działania zaradcze za każdym razem, gdy zostanie wykryta próba włamania. Nie jest wymagana interwencja człowieka, aby zatrzymać próbę wtargnięcia. Zapobieganie włamaniom może również odnosić się do wszystkiego, co zostało zrobione lub wdrożone jako sposób zapobiegania włamaniom. Na przykład utrwalanie haseł lub blokowanie intruzów można uznać za środki zapobiegania włamaniom.

Najlepsze narzędzia do wykrywania włamań do sieci

Szukaliśmy najlepszych na rynkuSieciowe systemy wykrywania włamań. Nasza lista zawiera mieszankę prawdziwych opartych na hoście systemów wykrywania włamań i innego oprogramowania, które mają element wykrywający włamania oparte na sieci lub które można wykorzystać do wykrywania prób włamań. Każde z naszych zalecanych narzędzi może pomóc w wykrywaniu prób włamań do sieci.

1. Monitor zagrożeń SolarWinds - edycja IT Ops (Darmowe demo)

SolarWinds to popularna nazwa w dziedzinienarzędzia do administrowania siecią. Firma istnieje od około 20 lat i dostarczyła nam jedne z najlepszych narzędzi do zarządzania siecią i systemem. Jego flagowy produkt, Network Performance Monitor, konsekwentnie plasuje się w czołówce najlepszych narzędzi do monitorowania przepustowości sieci. SolarWinds tworzy również doskonałe bezpłatne narzędzia, z których każde zaspokaja konkretne potrzeby administratorów sieci. Serwer Kiwi Syslog i zaawansowany kalkulator podsieci to dwa dobre przykłady.

W przypadku sieciowego wykrywania włamań, SolarWinds oferuje Monitor zagrożeń - wydanie IT Ops. W przeciwieństwie do większości innych narzędzi SolarWinds, tojeden to usługa oparta na chmurze, a nie oprogramowanie zainstalowane lokalnie. Po prostu subskrybujesz go, skonfigurujesz, a on zacznie obserwować twoje środowisko pod kątem prób włamań i kilku innych rodzajów zagrożeń. The Monitor zagrożeń - wydanie IT Ops łączy kilka narzędzi. Ma zarówno wykrywanie włamań oparte na sieci, jak i na hoście, a także centralizację i korelację logów oraz zarządzanie informacjami i zdarzeniami bezpieczeństwa (SIEM). Jest to bardzo dokładny pakiet do monitorowania zagrożeń.

Monitor zagrożeń SolarWinds - wydanie IT Ops - pulpit nawigacyjny

  • DARMOWE DEMO: Monitor zagrożeń SolarWinds - edycja IT Ops
  • Oficjalny link do pobrania: https://www.solarwinds.com/threat-monitor/registration

The Monitor zagrożeń - wydanie IT Ops jest zawsze aktualny, stale aktualizowanyinformacje o zagrożeniach z wielu źródeł, w tym z baz danych IP i Domain Reputation. Obserwuje zarówno znane, jak i nieznane zagrożenia. Narzędzie oferuje zautomatyzowane inteligentne reakcje w celu szybkiego naprawienia incydentów bezpieczeństwa, dając mu pewne funkcje podobne do zapobiegania włamaniom.

Funkcje ostrzegawcze produktu są dośćimponujący. Istnieją wielowarunkowe, skorelowane alarmy, które działają w połączeniu z silnikiem Active Response narzędzia i pomagają w identyfikowaniu i podsumowywaniu ważnych zdarzeń. System raportowania jest tak samo dobry jak alarmowanie i można go wykorzystać do wykazania zgodności za pomocą istniejących gotowych szablonów raportów. Alternatywnie możesz tworzyć niestandardowe raporty dokładnie dopasowane do potrzeb Twojej firmy.

Ceny za Monitor zagrożeń SolarWinds - edycja IT Ops zacznij od 4 500 USD za maksymalnie 25 węzłów z 10 dniamiindeksu. Możesz skontaktować się z SolarWinds, aby uzyskać szczegółową wycenę dostosowaną do twoich konkretnych potrzeb. A jeśli wolisz oglądać produkt w akcji, możesz poprosić o bezpłatną wersję demonstracyjną od SolarWinds.

2. Parsknięcie

Parsknięcie jest z pewnością najbardziej znanym NIDS typu open source. Ale Parsknięcie jest w rzeczywistości czymś więcej niż narzędziem do wykrywania włamań. Jest to także sniffer pakietów i rejestrator pakietów, a także zawiera kilka innych funkcji. Na razie skoncentrujemy się na funkcjach wykrywania wtargnięcia narzędzia, ponieważ jest to temat tego postu. Konfiguracja produktu przypomina konfigurację zapory ogniowej. Konfiguruje się go za pomocą reguł. Możesz pobrać podstawowe zasady z Parsknięcie i używaj ich w obecnej postaci lub dostosuj je do swoich konkretnych potrzeb. Możesz także subskrybować Parsknięcie reguły, aby automatycznie otrzymywać wszystkie najnowsze reguły w miarę ich ewolucji lub wykrycia nowych zagrożeń.

Snort IDS Console w systemie Windows

Sortować jest bardzo dokładny i nawet jego podstawowe zasady mogąwykrywa wiele różnych zdarzeń, takich jak skrypty portów ukrytych, ataki przepełnienia bufora, ataki CGI, sondy SMB i odciski palców systemu operacyjnego. To narzędzie nie ma praktycznie żadnych ograniczeń, a to, co wykrywa, zależy wyłącznie od zainstalowanego zestawu reguł. Jeśli chodzi o metody wykrywania, niektóre podstawowe reguły Snort są oparte na sygnaturach, a inne na anomalii. Snort może zatem dać ci to, co najlepsze z obu światów.

3. Suricata

Suricata to nie tylko system wykrywania włamań. Posiada również niektóre funkcje zapobiegania włamaniom. W rzeczywistości jest reklamowany jako kompletny ekosystem monitorowania bezpieczeństwa sieci. Jednym z najlepszych atutów tego narzędzia jest sposób jego działania aż do warstwy aplikacji. Dzięki temu jest to hybrydowy system oparty na sieci i hoście, który pozwala narzędziu wykrywać zagrożenia, które prawdopodobnie pozostaną niezauważone przez inne narzędzia.

Zrzut ekranu Suricata

Suricata to prawdziwie sieciowe wykrywanie włamańSystem i nie działa tylko w warstwie aplikacji. Będzie monitorował protokoły sieciowe niższego poziomu, takie jak TLS, ICMP, TCP i UDP. Narzędzie to również rozumie i dekoduje protokoły wyższego poziomu, takie jak HTTP, FTP lub SMB, i może wykrywać próby włamań ukryte w normalnych żądaniach. Narzędzie oferuje również funkcje wyodrębniania plików, pozwalając administratorom na sprawdzenie każdego podejrzanego pliku.

SuricataArchitektura aplikacji jest dość innowacyjna. Narzędzie rozłoży obciążenie na kilka rdzeni i wątków procesora w celu uzyskania najlepszej wydajności. W razie potrzeby może nawet przenieść część przetwarzania na kartę graficzną. Jest to świetna funkcja, gdy narzędzie jest używane na serwerach, ponieważ ich karta graficzna jest zwykle niedostatecznie używana.

4. brachu Monitor bezpieczeństwa sieci

The Bro Network Security Monitor, kolejny darmowy system wykrywania włamań do sieci. Narzędzie działa w dwóch fazach: rejestracja i analiza ruchu. Podobnie jak Suricata, Bro Network Security Monitor działa na wielu warstwach w górę warstwy aplikacji. Pozwala to na lepsze wykrywanie prób włamania typu split. The Bro Network Security MonitorModuł analityczny składa się z dwóch elementów. Pierwszy element nazywa się mechanizmem zdarzeń i śledzi zdarzenia wyzwalające, takie jak połączenia sieciowe TCP lub żądania HTTP. Zdarzenia są następnie analizowane przez skrypty polityki, drugi element, który decyduje, czy uruchomić alarm i / lub uruchomić akcję. Możliwość uruchomienia akcji daje Bro Network Security Monitor niektóre funkcje podobne do IPS.

Bro Network Secirity Monitor - zrzut ekranu IDS

The Bro Network Security Monitor pozwoli ci śledzić aktywność HTTP, DNS i FTPi będzie również monitorować ruch SNMP. To dobrze, ponieważ SNMP jest często używany do monitorowania sieci, ale nie jest to bezpieczny protokół. A ponieważ może być również używany do modyfikowania konfiguracji, może być wykorzystywany przez złośliwych użytkowników. Narzędzie pozwala także obserwować zmiany konfiguracji urządzenia i pułapki SNMP. Można go zainstalować w systemach Unix, Linux i OS X, ale nie jest on dostępny w systemie Windows, co jest być może jego główną wadą.

5. Security Onion

Trudno zdefiniować, co Security Onion jest. To nie jest tylko system wykrywania lub zapobiegania włamaniom. W rzeczywistości jest to pełna dystrybucja Linuksa z naciskiem na wykrywanie włamań, monitorowanie bezpieczeństwa przedsiębiorstwa i zarządzanie logami. Dzięki temu może zaoszczędzić administratorom dużo czasu. Zawiera wiele narzędzi, z których niektóre właśnie sprawdziliśmy. Security Onion obejmuje Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner i inne. Aby ułatwić konfigurację, dystrybucja jest dostarczana w pakiecie z łatwym w użyciu kreatorem konfiguracji, który umożliwia ochronę organizacji w ciągu kilku minut. Gdybyśmy musieli opisać Security Onion w jednym zdaniu powiedzielibyśmy, że to szwajcarski scyzoryk z zakresu bezpieczeństwa IT w przedsiębiorstwie.

Security Onion - zakładka Zdarzenia

Jedna z najciekawszych rzeczy na ten tematnarzędziem jest to, że dostajesz wszystko w jednej prostej instalacji. W przypadku wykrywania włamań narzędzie zapewnia zarówno narzędzia do wykrywania włamań oparte na sieci, jak i na hoście. Pakiet łączy również narzędzia oparte na sygnaturze i narzędzia oparte na anomalii. Ponadto znajdziesz kombinację narzędzi tekstowych i GUI. Istnieje naprawdę doskonała kombinacja narzędzi bezpieczeństwa. Jest jedna podstawowa wada Security Cebula. Przy tak wielu dołączonych narzędziach ich konfiguracja może okazać się sporym zadaniem. Nie musisz jednak używać i konfigurować wszystkich narzędzi. Możesz wybrać tylko te, których chcesz użyć. Nawet jeśli użyjesz tylko kilku dołączonych narzędzi, prawdopodobnie będzie to szybsza opcja niż instalowanie ich osobno.

Przeczytaj także

Co to jest sniffer sieciowy i do czego służy?
ContaCam: Stwórz system nadzoru za pomocą kamer internetowych, WDM i DV
Monitor ruchu - włącz kamerę internetową w kamerę bezpieczeństwa z wykrywaniem ruchu
SolarWinds Log & Event Manager vs Splunk - przegląd porównawczy
Trojany zdalnego dostępu (RAT) - jakie są i jak się przed nimi chronić?
6 najlepszych systemów wykrywania włamań opartych na hoście (HIDS) w 2019 r
7 najlepszych systemów zapobiegania włamaniom (IPS) na rok 2019
6 najlepszych narzędzi do zarządzania informacjami i zdarzeniami (SIEM), które warto sprawdzić w 2019 r
14 najlepszych narzędzi bezpieczeństwa sieci dla bezpieczniejszych środowisk w 2019 r
10 najlepszych narzędzi do wykrywania włamań: najlepsze najlepsze opcje na rok 2019
Najlepszy przewodnik po bezpieczeństwie sieci - w tym niezbędne narzędzia
Dodaj Ok Wykrywanie Google do wszystkich ekranów na swoim urządzeniu [Bez rootowania]

Komentarze