Сигурност је врућа тема и била је приличнодок. Пре много година вируси су били једина брига администратора система. Вируси су били толико уобичајени да је водио на пут за запањујући низ алата за превенцију вируса. У данашње време, једва да би неко помислио да покрене незаштићени рачунар. Међутим, упада у рачунар или неовлашћени приступ вашим подацима од стране злонамерних корисника представља „претњу за путовање“. Мреже су постале мета бројних злонамјерних хакера који ће у великој мјери доћи до ваших података. Ваша најбоља одбрана од ове врсте претњи је систем за откривање или спречавање упада. Данас прегледавамо десет најбољих бесплатних алата за откривање провале.
Пре него што почнемо, прво ћемо разговарати о томеразличите методе детекције упада који се користе. Баш као што постоји више начина на који уљези могу ући у вашу мрежу, постоји исто тако много начина - можда чак и више - начина да их открију. Затим ћемо размотрити две главне категорије система за откривање упада: мрежна детекција упада и детекција упада домаћина. Пре него што наставимо, објаснићемо разлике између откривања провале и спречавања провале. И на крају, дат ћемо вам кратак преглед десет најбољих бесплатних алата за откривање провале који можемо да нађемо.
Методе откривања провале
У основи се користе две различите методеоткрити покушаје упада. Може бити заснована на потпису или аномалији. Да видимо како се разликују. Откривање упада засновано на потпису анализира податке за одређене обрасце који су повезани са покушајима провале. Донекле је попут традиционалних антивирусних система који се ослањају на дефиниције вируса. Ови системи ће упоређивати податке са обрасцима потписа за упад како би идентификовали покушаје. Њихов главни недостатак је што не раде све док се одговарајући потпис не постави на софтвер који се обично дешава након напада одређеног броја машина.
Откривање упада засновано на аномалији обезбеђује абоља заштита од напада без иједног дана, оних који се догађају пре него што је било који софтвер за откривање упада имао прилику добити одговарајућу датотеку потписа. Уместо да покушавају препознати познате узорке упада, они ће уместо тога тражити аномалије. На примјер, открили би да је неко покушао приступити систему с погрешном лозинком неколико пута, што је уобичајени знак напада грубе силе. Као што сте можда и нагађали, свака метода откривања има своје предности. То је разлог зашто ће најбољи алати често користити комбинацију обоје за најбољу заштиту.
Два типа система за откривање провале
Баш као што постоје различите методе детекцијепостоје и две главне врсте система за откривање провале. Они се углавном разликују у локацији на којој се врши откривање провале, било на нивоу хоста, било на нивоу мреже. И овде свако има своје предности, а најбоље решење - или најбезбедније - је вероватно да се користи обе.
Системи за откривање упада домаћина (ХИДС)
Прва врста система за откривање проваледјелује на нивоу домаћина. На пример, може проверити разне датотеке дневника ради било каквих знакова сумњивих активности. Такође може функционисати тако што ће проверити важне конфигурационе датотеке за неовлашћене промене. То је оно што би ХИДС базиран на аномалији. С друге стране, системи засновани на потписима гледали би исте датотеке дневника и конфигурације, али би тражили одређене познате обрасце упада. На пример, може се знати да одређени метод упада делује додавањем одређеног низа у специфичну конфигурациону датотеку коју би детектирао ИДС заснован на потпису.
Као што сте могли замислити, инсталирани су ХИДСдиректно на уређају који ће их заштитити, па ћете их морати инсталирати на све своје рачунаре. међутим, већина система има централизовану конзолу на којој можете контролисати сваку инстанцу апликације.
Мрежни системи за откривање упада (НИДС)
Системи за детекцију упада у мрежу или НИДС,раде на граници ваше мреже да бисте наметнули откривање. Користе сличне методе као и системи за детекцију упада домаћина. Наравно, уместо да прегледају датотеке дневника и конфигурационе датотеке, изгледају мрежни саобраћаји као што су захтеви за повезивање. Познато је да неке методе упада искориштавају рањивости шаљући намерно неправилно обликоване пакете хостовима, натерајући их да реагују на одређени начин. Мрежни системи за откривање упада могу их лако открити.
Неки би тврдили да су НИДС бољи од ХИДС-ајер открију нападе пре него што дођу до рачунара. Такође су бољи и зато што не требају било шта да се инсталира на сваки рачунар да би их ефикасно заштитили. С друге стране, пружају малу заштиту од инсајдерских напада који на жалост нису ретки. Ово је још један случај где најбоља заштита долази од коришћења комбинације обе врсте алата.
Превенција откривања продора против превенције
Постоје два различита жанра алата усвет заштите од упада: системи за откривање провале и системе за спречавање провале. Иако служе другачијој сврси, често се преклапају две врсте алата. Као што му име каже, откривање провале откриће покушаје упада и уопште сумњивих активности. Кад то учини, обично ће покренути неку врсту аларма или обавештења. Тада је администратор дужан предузети потребне кораке да заустави или блокира овај покушај.
С друге стране, системи за спречавање провалераде на спречавању упада да се уопште дешавају. Већина система за спречавање упада укључује компоненту детекције која ће покренути неку радњу сваки пут када се открију покушаји упада. Али спречавање упада такође може бити пасивно. Израз се може користити за позивање на било које кораке који су успостављени ради спречавања упада. На пример, можемо да смислимо мере попут отврдњавања лозинке.
Најбољи бесплатни алати за откривање провале
Системи за откривање провале могу бити скупи,веома скупо. Срећом, постоји прилично мало бесплатних алтернатива. потражили смо на Интернету неке од најбољих софтверских алата за откривање провале. Пронашли смо прилично мало и управо ћемо укратко прегледати најбољих десет које можемо да нађемо.
1. ОССЕЦ
ОССЕЦ, који се залаже за Опен Соурце Сецурити, једалеко водећи систем детекције упада домаћина отвореног кода. ОССЕЦ је у власништву компаније Тренд Мицро, једног од водећих имена у ИТ безбедности. Софтвер, када се инсталира на оперативне системе сличне Уник-у, првенствено се фокусира на датотеке дневника и конфигурације. Ствара контролне суме важних датотека и периодично их потврђује, упозоравајући вас ако се догоди нешто необично. Такође ће надгледати и ухватити све необичне покушаје да се приступи роот-у. У систему Виндовс такође води рачуна о неовлашћеним изменама регистра.
ОССЕЦ, као систем за детекцију упада домаћинатреба да буде инсталиран на сваки рачунар који желите да заштитите. Међутим, објединиће информације са сваког заштићеног рачунара у једној конзоли ради лакшег управљања. Софтвер ради само на Уник-Лике системима, али доступан је агент који штити Виндовс домаћине. Када систем нешто открије, на конзоли се приказује упозорење, а обавештења се шаљу путем е-поште.
2. Снорт
Баш као што је ОССЕЦ био топ ХИД-ов отвореног кода,Снорт је водећи отворени изворни НИДС. Снорт је у ствари више од алата за откривање провале. Такође је снајпер за пакет и логер пакета. Али оно што нас за сада занима, су Снорт-ове функције откривања провале. Слично као фиревалл, Снорт се конфигурише помоћу правила. Основна правила могу се преузети са веб локације Снорт и прилагодити вашим специфичним потребама. Такође се можете претплатити на правила Снорт како бисте осигурали да увек добијете најновије она која се развијају како буду препознате нове претње.
Основна Снорт правила могу открити велику разноликостдогађаја као што су скенирање невидљивих портова, напади препуњеног међуспремника, ЦГИ напади, СМБ сонде и отисци прста на ОС-у. Оно што ваша Снорт инсталација открије зависи искључиво од правила која сте инсталирали. Нека основна правила која се нуде су заснована на потпису, а друга на аномалији. Коришћење Снорт-а може вам пружити најбоље од оба света
3. Сурицата
Сурицата се рекламира као уљезсистем детекције и превенције и као комплетан екосистем праћења сигурности мреже. Једна од најбољих предности ове алатке у односу на Снорт је та што делује све до апликативног слоја. Ово омогућава алату да детектује претње које би могле проћи неопажено у другим алатима ако се поделе на неколико пакета.
Али Сурицата не ради само на апликацијислој. Такође ће надгледати протокол нижег нивоа, као што су ТЛС, ИЦМП, ТЦП и УДП. Алат такође разуме протоколе попут ХТТП, ФТП или СМБ и може открити покушаје провале скривене у иначе нормалним захтевима. Постоји и могућност издвајања датотека која омогућава администраторима да сами прегледају сумњиве датотеке.
Архитектонски гледано, Сурицата је врло добро направљен идистрибуираће своје радно оптерећење на неколико процесорских језгара и нити за најбоље перформансе. Чак може пребацити део своје обраде на графичку картицу. Ово је сјајна карактеристика на серверима јер њихова графичка картица углавном ради у празном ходу.
4. Бро Нетворк Монитор Монитор
Следећи на нашој листи је производ БроМонитор сигурности мреже, још један бесплатни мрежни систем за откривање упада. Бро послује у две фазе: евидентирање саобраћаја и анализа. Као и Сурицата, Бро дјелује на апликацијском слоју, омогућавајући бољу детекцију покушаја раздвајања подјеле. Чини се као да све долази у пару с Броом и његов модул за анализу састоји се од два елемента. Први је покретачки механизам који прати покретање догађаја као што су нето ТЦП везе или ХТТП захтеви. Догађаји се затим даље анализирају скриптама политика које одлучују да ли да активирају упозорење и покрену акцију, чинећи Бро да спречи упад поред система детекције.
Бро ће вам дозволити да пратите ХТТП, ДНС и ФТПактивности као и надгледање СНМП саобраћаја. Ово је добра ствар, јер иако се СНМП често користи за надгледање мреже, то није сигуран протокол. Бро вам такође омогућава гледање промјена у конфигурацији уређаја и СНМП замки. Бро се може инсталирати на Уник, Линук и ОС Кс, али није доступан за Виндовс, можда је његов главни недостатак.
5. Отворите ВИПС НГ
Отворени ВИПС НГ нашао се на нашој листи углавном због тогаона је једина која посебно циља бежичне мреже. Отворени ВИПС НГ - где ВИПС значи бежични систем за спречавање провале - је алат отвореног кода који се састоји од три главне компоненте. Прво, ту је сензор који је глупи уређај који само хвата бежични саобраћај и шаље га серверу на анализу. Следи сервер. Овај обједињује податке са свих сензора, анализира прикупљене податке и реагује на нападе. То је срце система. На крају, али не најмање битно, компонента интерфејса је ГУИ који користите за управљање сервером и приказивање информација о претњама на вашој бежичној мрежи.
Нису сви воле Опен ВИПС НГ. Производ је од истог развојног програмера као што је Аирцрацк НГ, бежични пакет за снижавање пакета и лозинка за заштиту лозинке који је део сваког пакета алата за ВиФи хакер. С друге стране, с обзиром на његову позадину, можемо претпоставити да програмер зна доста о Ви-Фи безбедности.
6. Самхаин
Самхаин је бесплатни систем за откривање упада домаћинакоја омогућава провјеру интегритета датотеке и надзор / анализу датотека записа. Поред тога, производ такође врши детекцију рооткита, надгледање портова, откривање рогуе СУИД извршних датотека и скривене процесе. Овај алат је дизајниран за надгледање више система са различитим оперативним системима са централизованом сечом и одржавањем. Међутим, Самхаин се такође може користити као самостална апликација на једном рачунару. Самхаин се може покретати на ПОСИКС системима као што су Уник Линук или ОС Кс. Такође се може покретати у Виндовс-у под Цигвин-ом иако је у тој конфигурацији тестиран само агент за надгледање, а не сервер.
Једна од најосновнијих карактеристика Самхаина је његоваприкривени режим који му омогућава да се покрене без откривања нападача. Пречесто уљези убијају процесе откривања које препознају, омогућавајући им да прођу незапажено. Самхаин користи стеганографију да сакрије своје процесе од других. Такође штити своје централне датотеке дневника и сигурносне копије са ПГП кључем како би се спречило неовлаштено дирање.
7. Фаил2Бан
Фаил2Бан је занимљив бесплатан упад домаћинасистем детекције који такође има неке превентивне функције. Овај алат ради надгледањем датотека дневника ради сумњивих догађаја као што су неуспјели покушаји пријаве, искориштавања тражења итд. Када открије нешто сумњиво, аутоматски ажурира локална правила фиревалл-а да блокира изворну ИП адресу злонамјерног понашања. Ово је подразумевана радња овог алата, али било која друга произвољна радња - попут слања обавештења путем е-поште - може се конфигурирати.
Систем долази са разним унапред уграђеним филтеримаза неке од најчешћих сервиса као што су Апацхе, Цоурриер, ССХ, ФТП, Постфик и многи други. Превенција се врши модификовањем табела фиревалл-а домаћина. Алат може радити са Нетфилтер-ом, ИПтабле-овима или хост.дени таблом ТЦП Враппер-а. Сваки филтар може бити повезан са једном или више радњи. Заједно, филтери и акције се називају затвором.
8. ПОМОЋ
АИДЕ је акроним за Адванцед ИнтрусионДетецтион Енвиронмент. Систем за откривање упада бесплатног домаћина углавном се фокусира на откривање рооткита и упоређивање потписа датотека. Када прво инсталирате АИДЕ, он ће саставити базу података административних података из конфигурационих датотека система. Ово се затим користи као основна линија са којом се било какве промене могу упоредити и на крају вратити ако је потребно.
АИДЕ користи и потписе и аномалијеанализа која се ради на захтјев, а не планира се или непрекидно траје, ово је заправо главни недостатак овог производа. Међутим, АИДЕ је алат наредбеног ретка и може се креирати ЦРОН посао који ће га покретати у редовним интервалима. А ако је покрећете врло често - попут сваке минуте или слично - добићете квази реалне податке. У основи, АИДЕ није ништа друго него алат за упоређивање података. Спољне скрипте морају бити створене да би постале прави ХИДС.
9. Безбедносни лук
Сигурни лук је занимљива звер која можештеди вам пуно времена. Ово није само систем за откривање или спречавање провале. Сецурити Онион је комплетна дистрибуција Линука са фокусом на детекцију упада, надзор безбедности предузећа и управљање дневником. То укључује многе алате, од којих смо неке управо прегледали. На пример, Сецурити Онион има Еластицсеарцх, Логстасх, Кибана, Снорт, Сурицата, Бро, ОССЕЦ, Сгуил, Скуерт, НетворкМинер и још много тога. Све је то у пакету са чаробњаком за једноставно постављање који вам омогућава да заштитите своју организацију у року од неколико минута. Сигурност Лук можете сматрати ножем швајцарске војске ИТ предузећа.
Најинтересантнија ствар овог алата једа све добијате у једној једноставној инсталацији. А добијате и мрежне и домаће алате за откривање упада. Постоје алати који користе приступ заснован на потпису и неки који се заснивају на аномалији. Дистрибуција такође садржи комбинацију текстуалних и ГУИ алата. Стварно је одлична комбинација свега. Недостатак је, наравно, што добијате толико да то конфигурисање може потрајати. Али не морате користити све алате. Можете одабрати само оне које више волите.
10. Саган
Саган је заправо више систем анализе записанего прави ИДС, али има неке карактеристике сличне ИДС-у за које смо мислили да гарантују његово уврштавање на нашу листу. Овај алат може да гледа локалне евиденције система на којима је инсталиран, али може и да комуницира са другим алаткама. На пример, могао би да анализира Снортове записе, ефикасно додајући неку НИДС функционалност ономе што је у ствари ХИДС. И неће само комуницирати са Снортом. Такође може комуницирати са Сурицата-ом и компатибилан је с неколико алата за прављење правила попут Оинкмастера или Пуленог свињског меса.
Саган такође има могућности извршења скриптишто га чини грубим системом за спречавање упада. Овај алат се вероватно неће користити као ваша једина одбрана од провале, али биће одлична компонента система који може да укључи много алата корелирањем догађаја из различитих извора.
Закључак
Системи за откривање провале су само један одна располагању су многи алати за помоћ мрежним и системским администраторима у обезбеђивању оптималног рада њиховог окружења. Сви овде описани алати су одлични, али сваки има мало другачију сврху. Она коју одаберете зависиће у великој мери од личних склоности и специфичних потреба.
Коментари