Securitatea este un subiect fierbinte și a fost pentru destulun timp. În urmă cu mulți ani, virușii erau singurele preocupări ale administratorilor de sistem. Virusurile erau atât de frecvente încât au dus calea către o gamă uluitoare de instrumente de prevenire a virusului. În zilele noastre, aproape oricine s-ar gândi să ruleze un computer neprotejat. Cu toate acestea, intruziunea computerului sau accesul neautorizat la datele dvs. de către utilizatorii rău intenționat reprezintă „amenințarea du zi”. Rețelele au devenit ținta a numeroși hackeri prost intenționați, care vor merge foarte mult pentru a avea acces la datele dvs. Cea mai bună apărare împotriva acestui tip de amenințări este un sistem de detectare a intruziunilor sau de prevenire. Astăzi, analizăm zece dintre cele mai bune instrumente de detectare a intruziunilor gratuite.
Înainte de a începe, vom discuta mai întâi desprediferite metode de detectare a intruziunilor care sunt utilizate. La fel cum există mai multe moduri în care intrusii pot intra în rețeaua dvs., există mai multe moduri - poate chiar mai multe - modalități de detectare a acestora. Apoi, vom discuta despre cele două categorii principale de sistem de detecție a intruziunilor: detectarea intruziunilor în rețea și detectarea intruziunilor gazdă. Înainte de a continua, vom explica apoi diferențele dintre detectarea intruziunilor și prevenirea intruziunilor. Și, în sfârșit, vă vom oferi o scurtă trecere în revistă a zece dintre cele mai bune instrumente de detectare a intruziunilor gratuite pe care le-am putea găsi.
Metode de detectare a intruziunilor
Există practic două metode diferitedetecta încercări de intruziune. Poate fi bazat pe semnătură sau pe anomalie. Să vedem cum diferă. Detectarea pe bază de intruziune bazată pe semnături funcționează prin analizarea datelor pentru tiparele specifice care au fost asociate cu încercările de intruziune. Este oarecum asemenea sistemelor antivirus tradiționale care se bazează pe definițiile virusului. Aceste sisteme vor compara datele cu modelele de semnături de intruziune pentru identificarea încercărilor. Principalul lor dezavantaj este că nu funcționează până când semnătura corespunzătoare nu este încărcată în software care se întâmplă de obicei după ce un anumit număr de mașini au fost atacate.
Detectarea prin intruziune bazată pe anomalii oferă oo mai bună protecție împotriva atacurilor de zi zero, cele care se întâmplă înainte ca orice software de detectare a intruziunilor să fi avut șansa de a achiziționa fișierul de semnătură corespunzător. În loc să încerce să recunoască tiparele de intruziune cunoscute, acestea vor căuta în schimb anomalii. De exemplu, ei ar detecta că cineva a încercat să acceseze un sistem cu o parolă greșită de mai multe ori, un semn comun al unui atac de forță brută. După cum ați putut ghici, fiecare metodă de detectare are avantajele sale. Acesta este motivul pentru care cele mai bune instrumente vor folosi adesea o combinație de ambele pentru cea mai bună protecție.
Două sisteme de detectare a intruziunilor
La fel ca există diferite metode de detectareexistă, de asemenea, două tipuri principale de sisteme de detectare a intruziunilor. Acestea diferă mai ales în locația în care se efectuează detectarea intruziunilor, fie la nivelul gazdei, fie la nivelul rețelei. Și din nou, fiecare are avantajele sale, iar cea mai bună soluție - sau cea mai sigură - este posibil să le folosească pe ambele.
Sisteme de detectare a intruziunilor gazdă (HIDS)
Primul tip de sistem de detectare a intruziuniloroperează la nivelul gazdei. Ar putea, de exemplu, verifica diverse fișiere jurnal pentru orice semn de activitate suspectă. De asemenea, ar putea funcționa verificând fișierele de configurare importante pentru modificări neautorizate. Aceasta ar face HIDS-ul bazat pe anomalii. Pe de altă parte, sistemele bazate pe semnături ar privi aceleași fișiere de jurnal și configurare, dar ar căuta modele de intruziune cunoscute. De exemplu, se poate cunoaște că o anumită metodă de intruziune funcționează adăugând o anumită șir la un fișier de configurare specific, pe care IDS-ul bazat pe semnătură ar detecta.
După cum v-ați putea imagina, HIDS este instalatdirect pe dispozitivul pe care trebuie să îl protejeze, astfel încât va trebui să le instalați pe toate computerele. cu toate acestea, majoritatea sistemelor au o consolă centralizată unde puteți controla fiecare instanță a aplicației.
Sisteme de detectare a intruziunilor de rețea (NIDS)
Sisteme de detectare a intruziunilor din rețea sau NIDS,lucrați la granița rețelei dvs. pentru a impune detectarea. Utilizează metode similare ca sisteme de detectare a intruziunilor gazdă. Desigur, în loc să caute sunt fișiere de jurnal și de configurare, acestea arată traficul de rețea, cum ar fi cererile de conectare. Unele metode de intruziune au fost cunoscute pentru a exploata vulnerabilitățile prin trimiterea de pachete malformate intenționat gazdelor, ceea ce le face să reacționeze într-un mod particular. Sistemele de detectare a intruziunilor din rețea le-ar putea detecta cu ușurință.
Unii ar susține că SIDA sunt mai buni decât SIDAdeoarece detectează atacuri chiar înainte de a ajunge la calculatoarele tale. De asemenea, sunt mai bune pentru că nu necesită nimic instalat pe fiecare computer pentru a le proteja eficient. Pe de altă parte, aceștia oferă puțină protecție împotriva atacurilor privilegiate care, din păcate, nu sunt deloc rareori. Acesta este un alt caz în care cea mai bună protecție vine din utilizarea unei combinații de ambele tipuri de instrumente.
Prevenirea detectării intruziunilor
Există două genuri diferite de instrumente înlumea protecției împotriva intruziunilor: sisteme de detectare a intruziunilor și sisteme de prevenire a intruziunilor. Deși au un scop diferit, deseori există o anumită suprapunere între cele două tipuri de instrumente. După cum îi spune și numele, detectarea intruziunii va detecta în general încercări de intruziune și activități suspecte. Când o face, de obicei va declanșa un fel de alarmă sau notificare. Apoi, revine administratorului măsurile necesare pentru a opri sau bloca această încercare.
Sistemele de prevenire a intruziunilor, pe de altă parte,lucrați la oprirea intruziunilor de la întâmplări cu totul. Majoritatea sistemelor de prevenire a intruziunilor vor include o componentă de detecție care va declanșa unele acțiuni ori de câte ori sunt detectate încercări de intruziune. Dar prevenirea intruziunilor poate fi și pasivă. Termenul poate fi folosit pentru a face referire la orice pași care sunt implementați pentru a preveni intruziunile. Ne putem gândi la măsuri precum întărirea parolelor, de exemplu.
Cele mai bune instrumente de detectare a intruziunilor gratuite
Sistemele de detectare a intruziunilor pot fi costisitoare,foarte scump. Din fericire, există destul de multe alternative gratuite disponibile. am căutat pe Internet pentru unele dintre cele mai bune instrumente software de detectare a intruziunilor. Am găsit destul de multe și suntem pe cale să trecem în revistă pe scurt cele mai bune zece pe care le-am putut găsi.
1. OSSEC
OSSEC, care înseamnă pentru Open Source Security, estede departe principalul sistem de detectare a intruziunilor gazdă open-source. OSSEC este deținută de Trend Micro, unul dintre numele de frunte în securitatea IT. Software-ul, atunci când este instalat pe sisteme de operare similare Unix, se concentrează în principal pe fișierele de jurnal și de configurare. Creează sume de verificare a fișierelor importante și le validă periodic, avertizându-vă dacă se întâmplă ceva ciudat. De asemenea, va monitoriza și surprinde orice încercări ciudate de acces la root. Pe Windows, sistemul urmărește, de asemenea, modificările neautorizate ale registrului.
OSSEC, fiind un sistem de detectare a intruziunilor gazdătrebuie să fie instalat pe fiecare computer pe care doriți să îl protejați. Cu toate acestea, va consolida informațiile de la fiecare computer protejat într-o singură consolă pentru o gestionare mai ușoară. Software-ul rulează numai pe sisteme Unix, dar un agent este disponibil pentru a proteja gazdele Windows. Când sistemul detectează ceva, este afișată o alertă pe consolă și notificările sunt trimise prin e-mail.
2. sforăit
La fel ca OSSEC a fost HIDS de top open source,Snortul este NIDS-ul open source. Snortul este de fapt mai mult decât un instrument de detectare a intruziunilor. De asemenea, este un sniffer de pachete și un jurnal de pachete. Însă ceea ce ne interesează deocamdată este caracteristicile de detectare a intruziunilor lui Snort. Oarecum ca un firewall, Snort este configurat folosind reguli. Regulile de bază pot fi descărcate de pe site-ul Snort și personalizate în funcție de nevoile dvs. specifice. De asemenea, vă puteți abona la regulile Snort pentru a vă asigura că le veți obține mereu pe cele mai recente, pe măsură ce evoluează pe măsură ce sunt identificate noi amenințări.
Regulile de bază ale snortului pot detecta o mare varietatede evenimente precum scanări de porturi furt, atacuri de reîncărcare tampon, atacuri CGI, sonde SMB și amprentare sistem de operare. Ceea ce detectează instalația dvs. Snort depinde numai de regulile pe care le-ați instalat. Unele dintre regulile de bază oferite sunt pe bază de semnătură, în timp ce altele sunt bazate pe anomalii. Utilizarea Snort vă poate oferi tot ce este mai bun din ambele lumi
3. Suricata
Suricata se face reclamă ca o intruziunesistem de detectare și prevenire și ca ecosistem complet de monitorizare a securității rețelei. Unul dintre cele mai bune avantaje ale acestui instrument față de Snort este că funcționează până la nivelul aplicației. Acest lucru permite instrumentului să detecteze amenințări care ar putea trece neobservate în alte instrumente prin împărțirea pe mai multe pachete.
Dar Suricata nu funcționează doar la aplicațiestrat. De asemenea, va monitoriza protocolul de nivel inferior, cum ar fi TLS, ICMP, TCP și UDP. Instrumentul înțelege, de asemenea, protocoale precum HTTP, FTP sau SMB și poate detecta încercări de intruziune ascunse în cererile altfel normale. Există, de asemenea, o capacitate de extragere a fișierelor pentru a permite administratorilor să examineze singuri fișierele suspecte.
Arhitectură, Suricata este foarte bine făcută șiacesta își va distribui volumul de lucru pe mai multe nuclee și fire de procesare pentru cele mai bune performanțe. Poate chiar descărca o parte din procesarea sa pe placa grafică. Aceasta este o caracteristică excelentă pe servere, deoarece placa lor grafică este cea mai mare parte inactivă.
4. Bro Network Security Security Monitor
Următorul pe lista noastră este un produs numit BroNetwork Security Monitor, un alt sistem gratuit de detectare a intruziunilor în rețea. Bro operează în două faze: înregistrarea și analiza traficului. Ca și Suricata, Bro operează în stratul de aplicație, permițând detectarea mai bună a încercărilor de intruziune divizată. Se pare că totul vine în pereche cu Bro, iar modulul său de analiză este format din două elemente. Primul este motorul de evenimente care urmărește declanșarea evenimentelor, cum ar fi conexiunile net TCP sau cererile HTTP. Evenimentele sunt apoi analizate în continuare prin scripturi de politici care decid dacă declanșează sau nu o alertă și lansează o acțiune, făcând din Bro o prevenire a intruziunilor pe lângă un sistem de detectare.
Bro vă va permite să urmăriți HTTP, DNS și FTPactivitate, precum și monitorizarea traficului SNMP. Acesta este un lucru bun deoarece, deși SNMP este adesea utilizat pentru monitorizarea rețelei, acesta nu este un protocol sigur. De asemenea, Bro vă permite să urmăriți modificările de configurare a dispozitivului și capcana SNMP. Bro poate fi instalat pe Unix, Linux și OS X, dar nu este disponibil pentru Windows, probabil dezavantajul său principal.
5. Deschideți WIPS NG
Open WIPS NG a fost inclus pe lista noastră în principal pentru căeste singurul care vizează în mod specific rețelele wireless. Open WIPS NG - unde WIPS reprezintă sistemul de prevenire a intruziunilor fără fir - este un instrument open source care cuprinde trei componente principale. În primul rând, există senzorul care este un dispozitiv mut care captează doar traficul wireless și îl trimite serverului pentru analiză. Următorul este serverul. Acesta agregă date de la toți senzorii, analizează datele adunate și răspunde la atacuri. Este inima sistemului. Nu în ultimul rând, este componenta de interfață care este GUI pe care o utilizați pentru a gestiona serverul și pentru a afișa informații despre amenințări în rețeaua wireless.
Cu toate acestea, nu toată lumea îi place Open WIPS NG. Produsul este de la același dezvoltator ca Aircrack NG, un cracker de pachete wireless și cracker de parolă care face parte din setul de instrumente al fiecărui hacker WiFi. Pe de altă parte, având în vedere fondul său, putem presupune că dezvoltatorul știe destul de multe despre securitatea Wi-Fi.
6. Samhain
Samhain este un sistem gratuit de detectare a intruziunilor de gazdăcare asigură verificarea integrității fișierelor și monitorizarea / analiza fișierelor de jurnal. În plus, produsul efectuează, de asemenea, detectarea rootkit, monitorizarea porturilor, detectarea executărilor SUID necinstite și procese ascunse. Acest instrument a fost proiectat pentru a monitoriza mai multe sisteme cu diferite sisteme de operare cu logare și întreținere centralizate. Cu toate acestea, Samhain poate fi utilizat și ca aplicație de sine stătătoare pe un singur computer. Samhain poate rula pe sisteme POSIX precum Unix Linux sau OS X. Se poate rula și pe Windows sub Cygwin, deși a fost testat doar agentul de monitorizare și nu serverul în configurația respectivă.
Una dintre cele mai unice caracteristici ale lui Samhain este aceeamodul stealth care îi permite să ruleze fără a fi detectat de eventualii atacatori. Prea des intruși ucid procesele de detectare pe care le recunosc, permițându-le să treacă neobservate. Samhain folosește steganografia pentru a-și ascunde procesele de alții. De asemenea, protejează fișierele de jurnal centrale și copiile de rezervă de configurare cu o cheie PGP pentru a preveni modificarea.
7. Fail2Ban
Fail2Ban este o interesantă intruziune gazdă gratuităsistem de detectare care are și unele caracteristici de prevenire. Acest instrument funcționează prin monitorizarea fișierelor de jurnal pentru evenimente suspecte, cum ar fi încercări de conectare eșuate, exploatează căutări etc. Când detectează ceva suspect, acesta actualizează automat regulile locale de firewall pentru a bloca adresa IP sursă a comportamentului rău intenționat. Aceasta este acțiunea implicită a instrumentului, dar orice altă acțiune arbitrară - cum ar fi trimiterea notificărilor prin e-mail - poate fi configurată.
Sistemul are diverse filtre pre-construitepentru unele dintre cele mai comune servicii, cum ar fi Apache, Courrier, SSH, FTP, Postfix și multe altele. Prevenirea se realizează prin modificarea tabelelor de firewall ale gazdei. Instrumentul poate funcționa cu Netfilter, tabele IP sau tabela hosts.deny din TCP Wrapper. Fiecare filtru poate fi asociat cu una sau mai multe acțiuni. Împreună, filtrele și acțiunile sunt denumite închisoare.
8. Ajutor
AIDE este un acronim pentru Advanced IntrusionMediu de detectare. Sistemul gratuit de detectare a intruziunilor de gazdă se concentrează în principal pe detectarea rootkit și comparațiile semnăturilor de fișiere. Când instalați inițial AIDE, va compila o bază de date cu date de administrare din fișierele de configurare ale sistemului. Aceasta este apoi utilizată ca bază de referință împotriva căreia orice schimbare poate fi comparată și eventual redusă înapoi, dacă este nevoie.
AIDE folosește atât pe bază de semnături, cât și pe bază de anomalieanaliză care este executată la cerere și care nu este programată sau continuă, acesta este dezavantajul principal al acestui produs. Cu toate acestea, AIDE este un instrument de linie de comandă și se poate crea o lucrare CRON pentru a o rula la intervale regulate. Și dacă o rulați foarte frecvent - cum ar fi în fiecare minut sau mai mult, veți obține date cvasi-reale. La baza sa, AIDE nu este decât un instrument de comparare a datelor. Scripturile externe trebuie create pentru a fi un HIDS adevărat.
9. Ceapa de securitate
Ceapa de securitate este o fiară interesantă care poateeconomisește-ți mult timp. Acesta nu este doar un sistem de detecție sau prevenire a intruziunilor. Security Onion este o distribuție Linux completă cu accent pe detectarea intruziunilor, monitorizarea securității întreprinderii și gestionarea jurnalului. Acesta include multe instrumente, dintre care doar am revizuit. De exemplu, Security Onion are Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner și multe altele. Toate acestea sunt incluse cu un asistent de configurare ușor de utilizat, care vă permite să vă protejați organizația în câteva minute. Vă puteți gândi la Security Onion ca la cuțitul armatei elvețiene a securității IT a întreprinderii.
Cel mai interesant lucru despre acest instrument estecă obțineți totul într-o simplă instalare. Și obțineți instrumente de detectare a intruziunilor atât în rețea cât și în gazdă. Există instrumente care utilizează o abordare bazată pe semnătura și unele care sunt bazate pe anomalii. Distribuția oferă, de asemenea, o combinație de instrumente bazate pe text și GUI. Există într-adevăr un amestec excelent de tot. Dezavantajul, desigur, este că obțineți atât de mult încât configurarea tuturor poate dura ceva. Dar nu trebuie să folosiți toate instrumentele. Puteți alege doar cele pe care le preferați.
10. Sagan
Sagan este de fapt mai mult un sistem de analiză a jurnaluluidecât un IDS adevărat, dar are unele caracteristici asemănătoare cu IDS, despre care am considerat că justifică includerea sa în lista noastră. Acest instrument poate urmări jurnalele locale ale sistemului în care este instalat, dar poate interacționa cu alte instrumente. Acesta ar putea, de exemplu, analiza jurnalele lui Snort, adăugând în mod eficient unele funcționalități NIDS la ceea ce este în esență un HIDS. Și nu va interacționa doar cu Snort. De asemenea, poate interacționa cu Suricata și este compatibil cu mai multe instrumente de construire a regulilor precum Oinkmaster sau Pulled Pork.
De asemenea, Sagan are funcții de execuție a scriptuluifăcând din acesta un sistem de prevenire a intruziunilor brute. Este posibil ca acest instrument să nu fie utilizat ca singură apărare împotriva intruziunii, dar va fi o componentă excelentă a unui sistem care poate încorpora multe instrumente corelând evenimente din diferite surse.
Concluzie
Sistemele de detectare a intruziunilor sunt doar unul dintremulte instrumente disponibile pentru a ajuta administratorii de rețele și de sistem în asigurarea funcționării optime a mediului lor. Oricare dintre instrumentele discutate aici sunt excelente, dar fiecare are un scop ușor diferit. Cel pe care îl veți alege va depinde în mare măsură de preferințele personale și de nevoile specifice.
Comentarii