A segurança é um tópico importante e tem sido há bastanteUm tempo. Muitos anos atrás, os vírus eram as únicas preocupações dos administradores de sistema. Os vírus eram tão comuns que abriram caminho para uma gama impressionante de ferramentas de prevenção de vírus. Atualmente, quase ninguém pensaria em rodar um computador desprotegido. No entanto, a invasão do computador ou o acesso não autorizado a seus dados por usuários mal-intencionados é a "ameaça do dia". As redes se tornaram alvo de inúmeros hackers mal intencionados, que se esforçam ao máximo para obter acesso aos seus dados. Sua melhor defesa contra esses tipos de ameaças é um sistema de detecção ou prevenção de intrusões. Hoje, estamos analisando dez das melhores ferramentas gratuitas de detecção de intrusões.
Antes de começarmos, discutiremos primeiro odiferentes métodos de detecção de intrusão em uso. Assim como existem muitas maneiras pelas quais os invasores podem entrar na sua rede, existem muitas maneiras - talvez até mais - de detectá-las. Em seguida, discutiremos as duas principais categorias de sistema de detecção de intrusão: detecção de intrusão na rede e detecção de intrusão no host. Antes de continuarmos, explicaremos as diferenças entre a detecção e a prevenção de invasões. E, finalmente, forneceremos uma breve revisão de dez das melhores ferramentas gratuitas de detecção de intrusões que pudemos encontrar.
Métodos de detecção de intrusão
Existem basicamente dois métodos diferentes usados paradetectar tentativas de invasão. Pode ser baseado em assinatura ou em anomalia. Vamos ver como eles diferem. A detecção de intrusões com base em assinaturas funciona analisando dados para padrões específicos que foram associados a tentativas de invasão. É como os sistemas antivírus tradicionais que dependem das definições de vírus. Esses sistemas irão comparar dados com padrões de assinatura de intrusão para identificar tentativas. A principal desvantagem é que eles não funcionam até que a assinatura adequada seja carregada no software, o que normalmente acontece após um certo número de máquinas ter sido atacado.
A detecção de intrusão baseada em anomalias fornece umamelhor proteção contra ataques de dia zero, aqueles que acontecem antes de qualquer software de detecção de intrusão ter a chance de adquirir o arquivo de assinatura adequado. Em vez de tentar reconhecer padrões de intrusão conhecidos, eles procurarão anomalias. Por exemplo, eles detectariam que alguém tentou acessar um sistema com uma senha errada várias vezes, um sinal comum de um ataque de força bruta. Como você deve ter adivinhado, cada método de detecção tem suas vantagens. É por isso que as melhores ferramentas costumam usar uma combinação de ambas para a melhor proteção.
Dois tipos de sistemas de detecção de intrusão
Assim como existem diferentes métodos de detecçãotambém existem dois tipos principais de sistemas de detecção de intrusão. Eles diferem principalmente no local em que a detecção de intrusão é realizada, no nível do host ou no nível da rede. Aqui, novamente, cada um tem suas vantagens e a melhor solução - ou a mais segura - é possivelmente usar os dois.
Sistemas de detecção de intrusão de host (HIDS)
O primeiro tipo de sistema de detecção de intrusõesopera no nível do host. Por exemplo, poderia verificar vários arquivos de log em busca de qualquer sinal de atividade suspeita. Também poderia funcionar verificando arquivos de configuração importantes para alterações não autorizadas. Isto é o que o HIDS baseado em anomalia faria. Por outro lado, os sistemas baseados em assinaturas analisariam os mesmos arquivos de log e configuração, mas procurariam padrões de intrusão conhecidos específicos. Por exemplo, um método de intrusão específico pode funcionar, adicionando uma certa string a um arquivo de configuração específico que o IDS baseado em assinatura detectaria.
Como você poderia imaginar, o HIDS está instaladodiretamente no dispositivo que eles devem proteger, assim você precisará instalá-los em todos os seus computadores. no entanto, a maioria dos sistemas possui um console centralizado no qual você pode controlar cada instância do aplicativo.
Sistemas de detecção de intrusão de rede (NIDS)
Sistemas de detecção de intrusão de rede, ou NIDS,trabalhe na fronteira da sua rede para impor a detecção. Eles usam métodos semelhantes aos sistemas de detecção de intrusão de host. Obviamente, em vez de procurar arquivos de log e configuração, eles parecem um tráfego de rede, como solicitações de conexão. Sabe-se que alguns métodos de intrusão exploram vulnerabilidades enviando pacotes malformados propositadamente aos hosts, fazendo-os reagir de uma maneira específica. Os sistemas de detecção de intrusão de rede podem detectá-los facilmente.
Alguns argumentam que o NIDS é melhor que o HIDSpois eles detectam ataques antes mesmo de chegarem aos seus computadores. Eles também são melhores porque não exigem que nada seja instalado em cada computador para protegê-los efetivamente. Por outro lado, eles fornecem pouca proteção contra ataques internos, que infelizmente não são de todo incomuns. Esse é outro caso em que a melhor proteção vem do uso de uma combinação dos dois tipos de ferramentas.
Detecção de intrusão versus prevenção
Existem dois gêneros diferentes de ferramentas nomundo de proteção contra intrusões: sistemas de detecção de intrusão e sistemas de prevenção de intrusão. Embora eles sirvam a um propósito diferente, geralmente há sobreposição entre os dois tipos de ferramentas. Como o próprio nome indica, a detecção de intrusão detectará tentativas de invasão e atividades suspeitas em geral. Quando isso ocorre, normalmente dispara algum tipo de alarme ou notificação. Cabe ao administrador tomar as medidas necessárias para interromper ou bloquear esta tentativa.
Sistemas de prevenção de intrusões, por outro lado,trabalhar para impedir que intrusões aconteçam completamente. A maioria dos sistemas de prevenção de intrusões incluirá um componente de detecção que acionará alguma ação sempre que forem detectadas tentativas de invasão. Mas a prevenção de intrusões também pode ser passiva. O termo pode ser usado para se referir a todas as etapas implementadas para evitar invasões. Podemos pensar em medidas como proteção de senha, por exemplo.
As melhores ferramentas gratuitas de detecção de intrusões
Os sistemas de detecção de intrusão podem ser caros,muito caro. Felizmente, existem algumas alternativas gratuitas disponíveis. pesquisamos na Internet algumas das melhores ferramentas de software de detecção de intrusões. Encontramos algumas e estamos prestes a revisar brevemente as dez melhores que pudemos encontrar.
1. OSSEC
OSSEC, que significa Open Source Security, éde longe o principal sistema de detecção de intrusão de host de código aberto. A OSSEC pertence à Trend Micro, um dos principais nomes em segurança de TI. O software, quando instalado em sistemas operacionais semelhantes ao Unix, concentra-se principalmente em arquivos de log e configuração. Ele cria somas de verificação de arquivos importantes e as valida periodicamente, alertando-o se algo estranho acontecer. Ele também monitora e captura quaisquer tentativas estranhas de obter acesso root. No Windows, o sistema também fica de olho nas modificações não autorizadas no registro.
OSSEC, sendo um sistema de detecção de intrusão de hostprecisa ser instalado em cada computador que você deseja proteger. No entanto, consolidará as informações de cada computador protegido em um único console para facilitar o gerenciamento. O software é executado apenas em sistemas Unix-Like, mas um agente está disponível para proteger os hosts do Windows. Quando o sistema detecta algo, um alerta é exibido no console e as notificações são enviadas por email.
2. Bufar
Assim como o OSSEC foi o principal HIDS de código aberto,Snort é o principal NIDS de código aberto. O Snort é na verdade mais do que uma ferramenta de detecção de invasões. É também um farejador de pacotes e um registrador de pacotes. Mas o que nos interessa no momento são os recursos de detecção de intrusão do Snort. Um pouco como um firewall, o Snort é configurado usando regras. As regras básicas podem ser baixadas no site do Snort e personalizadas de acordo com suas necessidades específicas. Você também pode se inscrever nas regras do Snort para garantir que você sempre obtenha as mais recentes à medida que evoluem à medida que novas ameaças são identificadas.
As regras básicas do Snort podem detectar uma grande variedadede eventos como varreduras de portas furtivas, ataques de estouro de buffer, ataques de CGI, análises de SMB e impressões digitais do SO. O que a sua instalação do Snort detecta depende apenas das regras que você instalou. Algumas das regras básicas oferecidas são baseadas em assinaturas, enquanto outras são baseadas em anomalias. Usar o Snort pode oferecer o melhor dos dois mundos
3. Suricata
Suricata anuncia-se como uma intrusãosistema de detecção e prevenção e como um ecossistema completo de monitoramento de segurança de rede. Uma das melhores vantagens dessa ferramenta sobre o Snort é que ela funciona até a camada do aplicativo. Isso permite que a ferramenta detecte ameaças que poderiam passar despercebidas em outras ferramentas, sendo divididas em vários pacotes.
Mas Suricata não funciona apenas no aplicativocamada. Ele também monitorará o protocolo de nível inferior, como TLS, ICMP, TCP e UDP. A ferramenta também entende protocolos como HTTP, FTP ou SMB e pode detectar tentativas de invasão ocultas em solicitações normais. Há também um recurso de extração de arquivo para permitir que os administradores examinem os arquivos suspeitos.
Em termos de arquitetura, Suricata é muito bem feita edistribuirá sua carga de trabalho por vários núcleos e threads de processador para obter o melhor desempenho. Ele pode até descarregar parte de seu processamento na placa de vídeo. Esse é um ótimo recurso nos servidores, pois sua placa de vídeo fica ociosa.
4. Monitor de Segurança de Rede Bro
O próximo da nossa lista é um produto chamado BroNetwork Security Monitor, outro sistema gratuito de detecção de intrusões de rede. Bro opera em duas fases: registro e análise de tráfego. Como Suricata, Bro opera na camada de aplicação, permitindo uma melhor detecção de tentativas de invasão divididas. Parece que tudo vem em pares com Bro e seu módulo de análise é composto de dois elementos. O primeiro é o mecanismo de eventos que rastreia eventos de acionamento, como conexões TCP líquidas ou solicitações HTTP. Os eventos são analisados posteriormente por scripts de política que decidem se um alerta deve ser acionado ou não e iniciar uma ação, tornando o Bro uma prevenção contra intrusões, além de um sistema de detecção.
Bro permitirá que você rastreie HTTP, DNS e FTPatividade, bem como monitorar o tráfego SNMP. Isso é bom porque, embora o SNMP seja frequentemente usado para monitoramento de rede, não é um protocolo seguro. Bro também permite que você assista alterações na configuração do dispositivo e armadilhas SNMP. O Bro pode ser instalado no Unix, Linux e OS X, mas não está disponível para Windows, talvez sua principal desvantagem.
5. Abra o WIPS NG
O WIPS NG aberto consta da nossa lista principalmente porqueé o único que segmenta especificamente redes sem fio. O WIPS aberto NG - onde WIPS significa Sistema de prevenção de intrusões sem fio - é uma ferramenta de código aberto que compreende três componentes principais. Primeiro, existe o sensor, que é um dispositivo idiota que captura apenas o tráfego sem fio e o envia ao servidor para análise. O próximo é o servidor. Este agrega dados de todos os sensores, analisa os dados coletados e responde a ataques. É o coração do sistema. Por último, mas não menos importante, é o componente da interface, que é a GUI que você usa para gerenciar o servidor e exibir informações sobre ameaças na sua rede sem fio.
Mas nem todo mundo gosta do Open WIPS NG. O produto é do mesmo desenvolvedor que o Aircrack NG, um farejador de pacotes sem fio e quebra de senha que faz parte do kit de ferramentas de todos os hackers de WiFi. Por outro lado, considerando seu histórico, podemos assumir que o desenvolvedor conhece bastante a segurança Wi-Fi.
6. Samhain
Samhain é um sistema de detecção de intrusão de host gratuitoque fornece verificação de integridade de arquivos e monitoramento / análise de arquivos de log. Além disso, o produto também executa detecção de rootkit, monitoramento de porta, detecção de executáveis desonestos SUID e processos ocultos. Essa ferramenta foi projetada para monitorar vários sistemas com vários sistemas operacionais, com registro e manutenção centralizados. No entanto, o Samhain também pode ser usado como um aplicativo independente em um único computador. O Samhain pode ser executado em sistemas POSIX como Unix Linux ou OS X. Ele também pode ser executado no Windows no Cygwin, embora apenas o agente de monitoramento e não o servidor tenham sido testados nessa configuração.
Uma das características mais únicas do Samhain é a suamodo furtivo que permite que ele funcione sem ser detectado por eventuais atacantes. Os invasores frequentemente matam os processos de detecção que reconhecem, permitindo que eles passem despercebidos. Samhain usa a esteganografia para esconder seus processos dos outros. Ele também protege seus arquivos de log centrais e backups de configuração com uma chave PGP para evitar violações.
7. Fail2Ban
Fail2Ban é uma intrusão de host gratuito interessantesistema de detecção que também possui alguns recursos de prevenção. Essa ferramenta opera monitorando os arquivos de log em busca de eventos suspeitos, como falhas de tentativas de login, explorações de buscas etc. Quando detecta algo suspeito, atualiza automaticamente as regras do firewall local para bloquear o endereço IP de origem do comportamento malicioso. Essa é a ação padrão da ferramenta, mas qualquer outra ação arbitrária, como o envio de notificações por email, pode ser configurada.
O sistema vem com vários filtros pré-construídospara alguns dos serviços mais comuns, como Apache, Courrier, SSH, FTP, Postfix e muitos mais. A prevenção é realizada modificando as tabelas de firewall do host. A ferramenta pode trabalhar com o Netfilter, IPtables ou a tabela hosts.deny do TCP Wrapper. Cada filtro pode ser associado a uma ou várias ações. Juntos, filtros e ações são chamados de prisão.
8. AIDE
AIDE é um acrônimo para Intrusão avançadaAmbiente de detecção. O sistema gratuito de detecção de intrusões de host concentra-se principalmente na detecção de rootkits e comparações de assinaturas de arquivos. Quando você instala o AIDE, ele compila um banco de dados de dados de administrador a partir dos arquivos de configuração do sistema. Isso é usado como uma linha de base contra a qual qualquer alteração pode ser comparada e, eventualmente, revertida, se necessário.
O AIDE usa tanto assinaturas quanto anomaliasanálise executada sob demanda e não programada ou em execução contínua. Essa é, na verdade, a principal desvantagem deste produto. No entanto, o AIDE é uma ferramenta de linha de comando e um trabalho CRON pode ser criado para executá-lo em intervalos regulares. E se você executá-lo com muita frequência, como a cada minuto, você obterá dados em tempo quase real. Na sua essência, o AIDE não é senão uma ferramenta de comparação de dados. Scripts externos devem ser criados para torná-lo um verdadeiro HIDS.
9. Cebola de Segurança
Cebola de Segurança é uma fera interessante que podeeconomize muito tempo. Este não é apenas um sistema de detecção ou prevenção de intrusões. O Security Onion é uma distribuição completa do Linux, com foco na detecção de intrusões, monitoramento de segurança corporativa e gerenciamento de logs. Inclui muitas ferramentas, algumas das quais acabamos de revisar. Por exemplo, o Security Onion possui Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, Squert, NetworkMiner e muito mais. Tudo isso é fornecido com um assistente de configuração fácil de usar, permitindo proteger sua organização em questão de minutos. Você pode pensar em Security Onion como o canivete suíço da segurança corporativa de TI.
A coisa mais interessante sobre essa ferramenta éque você obtenha tudo em uma instalação simples. E você obtém ferramentas de detecção de intrusão na rede e no host. Existem ferramentas que usam uma abordagem baseada em assinaturas e outras baseadas em anomalias. A distribuição também apresenta uma combinação de ferramentas baseadas em texto e GUI. Existe realmente uma excelente mistura de tudo. A desvantagem, é claro, é que você recebe tanto que a configuração de tudo isso pode demorar um pouco. Mas você não precisa usar todas as ferramentas. Você pode escolher apenas aqueles que preferir.
10. Sagan
Sagan é na verdade mais um sistema de análise de logsdo que um IDS verdadeiro, mas possui alguns recursos semelhantes ao IDS que julgávamos justificáveis à sua inclusão em nossa lista. Essa ferramenta pode observar os logs locais do sistema em que está instalado, mas também pode interagir com outras ferramentas. Poderia, por exemplo, analisar os logs do Snort, adicionando efetivamente algumas funcionalidades do NIDS ao que é essencialmente um HIDS. E não apenas interage com o Snort. Ele também pode interagir com a Suricata e é compatível com várias ferramentas de criação de regras, como Oinkmaster ou Pulled Pork.
Sagan também possui recursos de execução de scripttornando-o um sistema bruto de prevenção de intrusões. É provável que essa ferramenta não seja usada como sua única defesa contra invasões, mas será um ótimo componente de um sistema que pode incorporar muitas ferramentas correlacionando eventos de diferentes fontes.
Conclusão
Os sistemas de detecção de intrusão são apenas um dosmuitas ferramentas disponíveis para ajudar os administradores de rede e sistema a garantir a operação ideal de seu ambiente. Qualquer uma das ferramentas discutidas aqui é excelente, mas cada uma tem uma finalidade ligeiramente diferente. O que você escolher dependerá em grande parte da preferência pessoal e das necessidades específicas.
Comentários