Bezpečnosť je horúca téma a bola už dosťchvíľku. Pred mnohými rokmi boli vírusmi jedinými problémami správcov systému. Vírusy boli také časté, že viedli cestu k ohromujúcemu rozsahu nástrojov na prevenciu vírusov. V súčasnosti by sotva niekto myslel na spustenie nechráneného počítača. Vniknutie do počítača alebo neoprávnený prístup k vašim údajom zo strany škodlivých používateľov je však „hrozbou du jour“. Siete sa stali terčom mnohých hackerov s nesprávnym úmyslom, ktorých prístup k vašim údajom sa zvýši. Najlepšou obranou proti týmto typom hrozieb je systém detekcie alebo prevencie narušenia. Dnes posudzujeme desať najlepších nástrojov na zisťovanie neoprávneného vniknutia.
Predtým, ako začneme, najprv diskutujeme orôzne metódy detekcie narušenia, ktoré sa používajú. Rovnako ako existuje veľa spôsobov, ako môžu votrelci vstúpiť do vašej siete, existuje ich toľko spôsobov, možno ešte viac, ich odhaliť. Potom diskutujeme o dvoch hlavných kategóriách systému detekcie narušenia: detekciu narušenia siete a detekciu narušenia hostiteľa. Skôr ako budeme pokračovať, vysvetlíme rozdiely medzi detekciou a prevenciou narušenia. Nakoniec vám poskytneme krátku recenziu desiatich najlepších bezplatných nástrojov na detekciu narušenia, ktoré sme našli.
Metódy detekcie narušenia
V zásade existujú dve rôzne metódydetekovať pokusy o prienik. Môže to byť založené na podpise alebo anomálii. Pozrime sa, ako sa líšia. Detekcia vniknutia na základe podpisu funguje tak, že analyzuje údaje na špecifické vzory, ktoré sú spojené s pokusmi o prienik. Je to trochu ako tradičné antivírusové systémy, ktoré sa spoliehajú na definície vírusov. Tieto systémy porovnajú údaje so vzorkami podpisov prieniku, aby sa identifikovali pokusy. Ich hlavnou nevýhodou je, že nefungujú, kým sa do softvéru nenahrá riadny podpis, ktorý sa zvyčajne vyskytne po útoku na určitý počet počítačov.
Detekcia vniknutia na základe anomálie poskytuje alepšia ochrana proti útokom v nultý deň, proti tým, ktoré sa vyskytnú predtým, ako mal akýkoľvek softvér na detekciu narušenia šancu získať správny podpisový súbor. Namiesto toho, aby sa pokúsili rozoznať známe vzory narušenia, budú namiesto toho hľadať anomálie. Napríklad by zistili, že niekto sa pokúsil niekoľkokrát získať prístup do systému s nesprávnym heslom, čo je bežný znak útoku hrubou silou. Ako ste asi uhádli, každá metóda detekcie má svoje výhody. Preto najlepšie nástroje často používajú kombináciu oboch pre najlepšiu ochranu.
Dva typy systémov detekcie narušenia
Rovnako ako existujú rôzne metódy detekcieexistujú tiež dva hlavné typy systémov detekcie narušenia. Líšia sa väčšinou v mieste, kde sa vykonáva detekcia narušenia, buď na úrovni hostiteľa alebo na úrovni siete. Aj tu má každý svoje výhody a najlepším riešením - alebo najbezpečnejším - je použitie oboch.
Systémy detekcie narušenia hostenia (HIDS)
Prvý typ systému detekcie narušeniapôsobí na úrovni hostiteľa. Mohlo by napríklad skontrolovať rôzne protokolové súbory, či neobsahujú známky podozrivých aktivít. Môže tiež fungovať kontrolou neoprávnených zmien dôležitých konfiguračných súborov. Toto by robili HIDS na báze anomálií. Na druhej strane by systémy založené na podpisoch hľadali rovnaké protokolové a konfiguračné súbory, ale hľadali by konkrétne známe vzory narušenia. Napríklad môže byť známe, že konkrétny spôsob prieniku funguje pridaním určitého reťazca do špecifického konfiguračného súboru, ktorý by IDS založený na podpise detekoval.
Ako ste si mohli predstaviť, HIDS sú nainštalovanépriamo na zariadení, ktoré majú chrániť, takže ich budete musieť nainštalovať do všetkých svojich počítačov. Väčšina systémov však má centralizovanú konzolu, kde môžete ovládať každú inštanciu aplikácie.
Systémy detekcie narušenia siete (NIDS)
Systémy detekcie narušenia siete alebo NIDS,pracujte na hranici svojej siete a vynútite detekciu. Používajú podobné metódy ako systémy detekcie narušenia hostiteľa. Samozrejme, namiesto toho, aby hľadali protokolové a konfiguračné súbory, vyzerajú ako sieťový prenos, napríklad požiadavky na pripojenie. Je známe, že niektoré metódy prieniku zneužívajú zraniteľné miesta tým, že posielajú hostiteľom zámerne chybné pakety, vďaka čomu reagujú určitým spôsobom. Systémy detekcie narušenia siete ich môžu ľahko zistiť.
Niektorí tvrdia, že NIDS sú lepšie ako HIDSkeď detekujú útoky ešte predtým, ako sa dostanú k vašim počítačom. Sú tiež lepšie, pretože na ich účinnú ochranu nevyžadujú, aby boli do každého počítača nainštalované žiadne položky. Na druhej strane poskytujú malú ochranu pred útokmi zasvätených osôb, ktoré, žiaľ, nie sú vôbec neobvyklé. Toto je ďalší prípad, keď najlepšia ochrana pochádza z kombinácie oboch typov nástrojov.
Prevencia Vs detekcie narušenia
V EÚ existujú dva rôzne žánre nástrojovsvet ochrany pred narušením: systémy na detekciu narušenia a systémy predchádzania narušeniu. Aj keď slúžia na iný účel, medzi týmito dvoma typmi nástrojov sa často prekrývajú. Ako už názov napovedá, detekcia narušenia odhalí pokusy o narušenie a podozrivé aktivity vo všeobecnosti. Ak tak urobí, zvyčajne spustí nejaký druh poplachu alebo oznámenia. Je potom na správcovi, aby podnikol potrebné kroky na zastavenie alebo zablokovanie tohto pokusu.
Na druhej strane systémy na zabránenie vniknutiapracovať na zastavení prenikania všetkého. Väčšina systémov prevencie vniknutia bude obsahovať detekčnú zložku, ktorá pri každom zistení pokusov o prienik spustí určitú akciu. Prevencia vniknutia však môže byť tiež pasívna. Tento výraz sa môže použiť na označenie všetkých krokov, ktoré sú zavedené na zabránenie vniknutiu. Môžeme myslieť na opatrenia, ako je napríklad tvrdenie hesla.
Najlepšie bezplatné nástroje na detekciu narušenia
Systémy detekcie narušenia môžu byť drahé,veľmi drahý. Našťastie existuje celkom veľa alternatív zdarma. prehľadali sme na internete niektoré z najlepších softvérových nástrojov na detekciu narušenia. Našli sme pomerne málo a chystáme sa krátko skontrolovať tých najlepších desať, ktoré sme našli.
1. OSSEC
OSSEC, čo znamená Open Source Security, jezďaleka popredný systém detekcie narušenia hostiteľa. OSSEC vlastní spoločnosť Trend Micro, jedno z vedúcich mien v oblasti IT bezpečnosti. Softvér sa pri inštalácii na operačné systémy podobné Unixu zameriava predovšetkým na protokolové a konfiguračné súbory. Vytvára kontrolné súčty dôležitých súborov a pravidelne ich potvrdzuje, upozorní vás, ak sa stane niečo čudné. Bude tiež sledovať a zachytávať všetky nepárne pokusy o získanie prístupu root. V systéme Windows systém sleduje aj neoprávnené úpravy registra.
OSSEC ako systém detekcie narušenia hostiteľamusí byť nainštalovaný na každom počítači, ktorý chcete chrániť. Pre ľahšiu správu však zlúči informácie z každého chráneného počítača do jedinej konzoly. Softvér beží iba v systémoch Unix-Like, ale agent je k dispozícii na ochranu hostiteľov Windows. Keď systém niečo zistí, na konzole sa zobrazí upozornenie a oznámenia sa odosielajú e-mailom.
2. Snort
Rovnako ako OSSEC bol najlepší open-source HIDS,Snort je popredný open-source NIDS. Snort je v skutočnosti viac ako nástroj na detekciu narušenia. Je to tiež identifikátor paketov a záznamník paketov. Čo nás však teraz zaujíma, sú funkcie Snortovej detekcie narušenia. Trochu ako firewall je Snort nakonfigurovaný podľa pravidiel. Základné pravidlá si môžete stiahnuť z webovej stránky Snort a prispôsobiť ich konkrétnym potrebám. Môžete sa tiež prihlásiť na odber pravidiel Snort, aby ste sa ubezpečili, že pri vývoji nových hrozieb budete vždy informovaní o najnovších.
Základné pravidlá Snort môžu odhaliť širokú škáluo udalostiach, ako sú kontroly skrytých portov, útoky s pretečením vyrovnávacej pamäte, útoky CGI, sondy SMB a snímanie odtlačkov prstov v OS. To, čo vaša Snort inštalácia zistí, závisí výlučne od toho, aké pravidlá máte nainštalované. Niektoré zo základných ponúkaných pravidiel sú založené na podpise, zatiaľ čo iné sú založené na anomálii. Použitie Snort vám dá to najlepšie z oboch svetov
3. Suricata
Suricata sa inzeruje ako prienikdetekčný a preventívny systém a ako kompletný ekosystém monitorovania sieťovej bezpečnosti. Jednou z najlepších výhod tohto nástroja v porovnaní so Snortom je to, že funguje až po aplikačnú vrstvu. To umožňuje nástroju rozoznať hrozby, ktoré by mohli zostať nepovšimnuté v iných nástrojoch, rozdelením na niekoľko paketov.
Suricata však nepracuje iba pri aplikáciivrstvu. Bude tiež monitorovať protokol nižšej úrovne, ako sú TLS, ICMP, TCP a UDP. Nástroj tiež rozumie protokolom ako HTTP, FTP alebo SMB a dokáže zistiť pokusy o prienik skryté v inak normálnych požiadavkách. Existuje tiež možnosť extrahovania súborov, ktorá správcom umožňuje preskúmať podozrivé súbory sami.
Architektúra je Suricata veľmi dobre vyrobená abude distribuovať svoje pracovné zaťaženie do niekoľkých jadier a vlákien procesu, aby sa dosiahol čo najlepší výkon. Môže dokonca vyťažiť časť svojho spracovania na grafickú kartu. To je skvelá vlastnosť na serveroch, pretože ich grafická karta je väčšinou voľnobežná.
4. Bro Network Security Monitor
Ďalej na našom zozname je produkt s názvom BroNetwork Security Monitor, ďalší bezplatný systém detekcie narušenia siete. Bro pracuje v dvoch fázach: záznam a analýza prevádzky. Rovnako ako Suricata, aj Bro pracuje na aplikačnej vrstve, čo umožňuje lepšiu detekciu pokusov o rozdelené prieniky. Vyzerá to, že všetko je v dvojiciach s Bro a jeho analytický modul sa skladá z dvoch prvkov. Prvým je mechanizmus udalostí, ktorý sleduje spúšťacie udalosti, ako sú čisté pripojenia TCP alebo požiadavky HTTP. Udalosti sú potom ďalej analyzované pomocou politických skriptov, ktoré rozhodujú o tom, či spustiť varovanie a spustiť akciu, čím sa Bro stáva okrem detekčného systému aj prevenciou vniknutia.
Bro vám umožní sledovať HTTP, DNS a FTPaktivitu a monitoruje prenos SNMP. Je to dobrá vec, pretože hoci sa SNMP často používa na monitorovanie siete, nejde o bezpečný protokol. Bro tiež umožňuje sledovať zmeny konfigurácie zariadenia a SNMP pasce. Bro môže byť nainštalovaný na Unix, Linux a OS X, ale nie je k dispozícii pre Windows, možno jeho hlavnou nevýhodou.
5. Otvorte WIPS NG
Open WIPS NG sa dostal na náš zoznam hlavne preto, žeje to jediný, ktorý sa špecificky zameriava na bezdrôtové siete. Open WIPS NG - kde WIPS je skratka pre Wireless Intrusion Prevention System - je nástroj s otvoreným zdrojovým kódom, ktorý obsahuje tri hlavné komponenty. Po prvé, je tu snímač, ktorý je nemý prístroj, ktorý zachytáva iba bezdrôtový prenos a odošle ho na analýzu na server. Ďalší je server. Ten agreguje údaje zo všetkých senzorov, analyzuje zhromaždené údaje a reaguje na útoky. Je to srdce systému. V neposlednom rade je to komponent rozhrania, ktorým je GUI, ktoré používate na správu servera a zobrazovanie informácií o hrozbách vo vašej bezdrôtovej sieti.
Nie každému sa však Open WIPS NG páči. Produkt, ktorý od toho istého vývojára ako Aircrack NG je bezdrôtový identifikátor paketov a cracker hesiel, ktorý je súčasťou každej sady nástrojov hackerov siete WiFi. Na druhej strane, vzhľadom na jeho pozadie, môžeme predpokladať, že vývojár vie dosť o zabezpečení Wi-Fi.
6. Samhain
Samhain je bezplatný systém detekcie narušenia hostiteľaktorý poskytuje kontrolu integrity súborov a monitorovanie / analýzu protokolových súborov. Produkt okrem toho vykonáva aj detekciu rootkitov, monitorovanie portov, detekciu nečestných spustiteľných súborov SUID a skrytých procesov. Tento nástroj bol navrhnutý na monitorovanie viacerých systémov s rôznymi operačnými systémami s centralizovaným protokolovaním a údržbou. Samhain sa však dá použiť aj ako samostatná aplikácia na jednom počítači. Samhain môže bežať na systémoch POSIX ako Unix Linux alebo OS X. Môže tiež bežať na Windows pod Cygwinom, hoci v tejto konfigurácii bol testovaný iba monitorovací agent a nie server.
Jednou z najunikátnejších funkcií Samhainu je jehotajný režim, ktorý mu umožňuje bežať bez toho, aby bol odhalený prípadnými útočníkmi. Príliš často votrelci zabíjajú detekčné procesy, ktoré rozpoznávajú, čo im umožňuje zostať nepovšimnuté. Samhain používa steganografiu, aby skryl svoje procesy pred ostatnými. Chráni tiež svoje centrálne protokolové súbory a zálohy konfigurácie pomocou kľúča PGP, aby sa zabránilo neoprávnenému zásahu.
7. Fail2Ban
Fail2Ban je zaujímavý bezplatný prienik hostiteľadetekčný systém, ktorý má aj niektoré preventívne funkcie. Tento nástroj funguje tak, že monitoruje súbory denníka pre podozrivé udalosti, ako sú pokusy o prihlásenie, neúspešné vyhľadávanie atď. Keď zistí niečo podozrivé, automaticky aktualizuje pravidlá miestnej brány firewall a blokuje zdrojovú adresu IP škodlivého správania. Toto je predvolená akcia nástroja, ale je možné nakonfigurovať ľubovoľnú akciu - napríklad odosielanie e-mailových upozornení.
Systém je dodávaný s rôznymi vopred zabudovanými filtramipre niektoré z najbežnejších služieb, ako sú Apache, Courrier, SSH, FTP, Postfix a mnoho ďalších. Prevencia sa vykonáva úpravou tabuliek brány firewall hostiteľa. Tento nástroj môže pracovať s programami Netfilter, IPtables alebo tabuľkou hosts.deny TCP Wrapper. Každý filter môže byť spojený s jednou alebo viacerými akciami. Filtre a akcie sa spolu označujú ako väzenie.
8. AIDE
AIDE je skratka pre Advanced IntrusionDetekčné prostredie. Bezplatný systém detekcie narušenia hostiteľa sa zameriava hlavne na detekciu rootkitov a porovnávanie podpisov súborov. Keď pôvodne inštalujete AIDE, zostaví databázu admin údajov z konfiguračných súborov systému. Toto sa potom používa ako základná línia, s ktorou je možné porovnávať každú zmenu a prípadne ju vrátiť späť.
AIDE používa podpis aj anomáliuanalýza, ktorá je spustená na požiadanie a nie je naplánovaná alebo nepretržite beží. Toto je vlastne hlavná nevýhoda tohto produktu. AIDE je však nástrojom príkazového riadku a je možné vytvoriť úlohu CRON, aby sa spustila v pravidelných intervaloch. A ak ho spúšťate veľmi často - napríklad každú minútu - získate údaje takmer v reálnom čase. Jadrom AIDE nie je nič iné ako nástroj na porovnávanie údajov. Aby sa z neho stal skutočný HIDS, musia sa vytvoriť externé skripty.
9. Bezpečnostná cibuľa
Bezpečnostná cibuľa je zaujímavé zviera, ktoré dokážeušetrím veľa času. Nejde iba o systém detekcie alebo prevencie narušenia. Security Onion je kompletná distribúcia systému Linux so zameraním na detekciu narušenia, monitorovanie podnikovej bezpečnosti a správu protokolov. Obsahuje veľa nástrojov, z ktorých niektoré sme práve skontrolovali. Napríklad Security Onion má Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner a ďalšie. To všetko je dodávané s ľahko použiteľným sprievodcom nastavením, ktorý vám umožní chrániť vašu organizáciu v priebehu niekoľkých minút. Môžete myslieť na bezpečnostnú cibuľu ako nôž švajčiarskej armády pre bezpečnosť IT.
Najzaujímavejšou vecou tohto nástroja ježe všetko dostanete jednoduchou inštaláciou. Získate aj nástroje na detekciu narušenia siete aj hostiteľa. Existujú nástroje, ktoré používajú prístup založený na podpise, a niektoré, ktoré sú založené na anomálii. Distribúcia obsahuje aj kombináciu textových a GUI nástrojov. Existuje naozaj vynikajúca zmes všetkého. Nevýhodou je samozrejme to, že získate toľko, že konfigurácia toho všetkého môže chvíľu trvať. Nemusíte však používať všetky nástroje. Môžete si vybrať iba tie, ktoré uprednostňujete.
10. Sagan
Sagan je vlastne skôr systém na analýzu protokolovako skutočné IDS, má však niektoré funkcie podobné IDS, o ktorých sme si mysleli, že ich zaradenie do nášho zoznamu je opodstatnené. Tento nástroj môže sledovať miestne denníky systému, v ktorom je nainštalovaný, ale môže tiež interagovať s inými nástrojmi. Mohlo by to napríklad analyzovať Snortove denníky a účinne pridať niektoré funkcie NIDS k tomu, čo je v podstate HIDS. A nebude to iba komunikovať so Snortom. Môže tiež komunikovať so Suricata a je kompatibilný s niekoľkými nástrojmi na tvorbu pravidiel, ako sú Oinkmaster alebo Pulled Pork.
Sagan má tiež schopnosti na vykonávanie skriptovčo z neho robí hrubý systém prevencie prienikov. Tento nástroj sa pravdepodobne nebude používať ako vaša jediná obrana proti vniknutiu, bude to však veľká súčasť systému, ktorý dokáže začleniť veľa nástrojov porovnávaním udalostí z rôznych zdrojov.
záver
Systémy na detekciu vniknutia sú iba jedným z prvkovmnoho nástrojov, ktoré sú k dispozícii na pomoc správcom sietí a systémov pri zabezpečovaní optimálnej prevádzky ich prostredia. Každý z tu diskutovaných nástrojov je vynikajúci, ale každý z nich má trochu iný účel. Výber, ktorý si vyberiete, bude vo veľkej miere závisieť od osobných preferencií a konkrétnych potrieb.
Komentáre