- - Topp 10 verktyg för intrångsdetektering: Dina bästa gratisalternativ för 2019

Topp 10 verktyg för intrångsdetektering: Dina bästa gratisalternativ för 2019

Säkerhet är ett hett ämne och det har varit för ganskaett tag. För många år sedan var virus de enda problem som systemadministratörer hade. Virus var så vanligt att det ledde vägen för ett fantastiskt utbud av verktyg för virusförebyggande. Nuförtiden skulle knappt någon tänka på att köra en oskyddad dator. Datorintrång eller obehörig åtkomst till dina data av skadliga användare är emellertid "hot du jour". Nätverk har blivit målet för många dåligt avsedda hackare som kommer att göra mycket för att få tillgång till dina data. Ditt bästa försvar mot dessa typer av hot är ett intrångsdetekterings- eller förebyggande-system. Idag granskar vi tio av de bästa verktygen för gratis upptäckt av intrång.

Innan vi börjar diskuterar vi förstolika intrångsdetekteringsmetoder som används. Precis som det finns många sätt som inkräktare kan komma in i ditt nätverk, finns det lika många sätt - kanske ännu fler - sätt att upptäcka dem. Sedan diskuterar vi de två huvudkategorierna för intrångsdetekteringssystem: nätintrångsdetektering och värdintrångsdetektering. Innan vi fortsätter kommer vi sedan att förklara skillnaderna mellan intrångsdetektering och förebyggande av intrång. Och slutligen kommer vi att ge dig en kort genomgång av tio av de bästa verktygen för gratis detektering av intrång som vi kunde hitta.

Metoder för detektion av intrång

Det finns i grund och botten två olika metoderupptäcka intrångsförsök. Det kan vara signaturbaserat eller anomali-baserat. Låt oss se hur de skiljer sig åt. Signaturbaserad intrångsdetektering fungerar genom att analysera data för specifika mönster som har associerats med intrångsförsök. Det är ungefär som traditionella antivirussystem som bygger på virusdefinitioner. Dessa system kommer att jämföra data med intrångssignaturmönster för att identifiera försök. Deras största nackdel är att de inte fungerar förrän rätt signatur laddas upp till programvaran, vilket vanligtvis händer efter att ett visst antal maskiner har attackerats.

Anomali-baserad intrångsdetektering ger enbättre skydd mot nolldagarsattacker, de som händer innan någon program för intrångsdetektering har haft en chans att skaffa rätt signaturfil. Istället för att försöka känna igen kända intrångsmönster kommer dessa istället att leta efter avvikelser. Till exempel skulle de upptäcka att någon försökte komma åt ett system med fel lösenord flera gånger, ett vanligt tecken på en brute Force Attack. Som du kanske gissat har varje detekteringsmetod sina fördelar. Det är därför de bästa verktygen ofta använder en kombination av båda för bästa skydd.

Två typer av intrångsdetekteringssystem

Precis som det finns olika detekteringsmetoderdet finns också två huvudtyper av system för detektering av intrång. De skiljer sig mest på platsen där intrångsdetekteringen utförs, antingen på värdnivå eller på nätverksnivå. Här igen har alla sina fördelar och den bästa lösningen - eller den säkraste - är möjligen att använda båda.

Host Intrusion Detection Systems (HIDS)

Den första typen av intrångsdetekteringssystemfungerar på värdnivå. Det kan till exempel kontrollera olika loggfiler för tecken på misstänkt aktivitet. Det kan också fungera genom att kontrollera viktiga konfigurationsfiler för obehöriga ändringar. Detta är vad anomali-baserade HIDS skulle göra. Å andra sidan skulle signaturbaserade system titta på samma logg- och konfigurationsfiler men letade efter specifika kända intrångsmönster. Exempelvis kan en viss intrångsmetod vara känd för att fungera genom att lägga till en viss sträng till en specifik konfigurationsfil som den signaturbaserade IDS skulle detektera.

Som du kunde ha föreställt dig installeras HIDSdirekt på den enhet de är tänkt att skydda så att du måste installera dem på alla dina datorer. de flesta system har dock en centraliserad konsol där du kan styra varje instans av applikationen.

Nätverk för intrångsdetekteringssystem (NIDS)

Nätverk för intrångsdetekteringssystem, eller NIDS,arbeta vid nätverkets gräns för att verkställa upptäckten. De använder liknande metoder som värdintrångsdetekteringssystem. I stället för att titta på är logg- och konfigurationsfiler ser de naturligtvis ut i nätverkstrafik som anslutningsförfrågningar. Vissa intrångsmetoder har varit kända för att utnyttja sårbarheter genom att skicka avsiktligt missbildade paket till värdar, vilket får dem att reagera på ett visst sätt. Nätverksintrångsdetekteringssystem kan enkelt upptäcka dessa.

Vissa skulle hävda att NIDS är bättre än HIDSnär de upptäcker attacker redan innan de kommer till dina datorer. De är också bättre eftersom de inte kräver något att installeras på varje dator för att effektivt skydda dem. Å andra sidan ger de lite skydd mot insiderattacker som tyvärr inte alls är ovanliga. Detta är ett annat fall där det bästa skyddet kommer från att använda en kombination av båda typerna av verktyg.

Intrusion Detection Vs Prevention

Det finns två olika genrer av verktyg iintrångsskyddsvärld: intrångsdetekteringssystem och system för förebyggande av intrång. Även om de tjänar ett annat syfte finns det ofta en viss överlappning mellan de två typerna av verktyg. Som namnet antyder kommer intrångsdetekteringen att upptäcka intrångsförsök och misstänkta aktiviteter i allmänhet. När det gör det kommer det vanligtvis att utlösa ett slags larm eller avisering. Det är sedan upp till administratören att vidta nödvändiga åtgärder för att stoppa eller blockera detta försök.

System för att förebygga intrång å andra sidanarbeta för att hindra intrång helt och hållet. De flesta system för förebyggande av intrång kommer att inkludera en detekteringskomponent som utlöser viss åtgärd när intrångsförsök upptäcks. Men förebyggande av intrång kan också vara passivt. Termen kan användas för att hänvisa till alla steg som vidtas för att förhindra intrång. Vi kan till exempel tänka på åtgärder som lösenordshårdning.

De bästa verktygen för fri upptäckt

Intrusionsdetekteringssystem kan vara dyra,Väldigt dyr. Lyckligtvis finns det en hel del gratisalternativ tillgängliga där ute. Vi har sökt på Internet efter några av de bästa programvaruverktygen för intrångsdetektering. Vi hittade en hel del och vi ska snart gå igenom de bästa tio vi kunde hitta.

1. OSSEC

OSSEC, som står för Open Source Security, ärdet överlägset det ledande open-source värdintrångsdetekteringssystemet. OSSEC ägs av Trend Micro, ett av de ledande namnen inom IT-säkerhet. Programvaran, när den installeras på Unix-liknande operativsystem, fokuserar främst på logg- och konfigurationsfiler. Det skapar kontrollsumma av viktiga filer och validerar dem regelbundet, varnar dig om något konstigt händer. Det kommer också att övervaka och fånga alla udda försök att få root-åtkomst. I Windows håller systemet också ett öga för obehöriga registerändringar.

OSSEC-skärmbild

OSSEC, är ett värdintrångsdetekteringssystemmåste installeras på varje dator du vill skydda. Det kommer emellertid att konsolidera information från varje skyddad dator i en enda konsol för enklare hantering. Programvaran körs bara på Unix-liknande system men en agent är tillgänglig för att skydda Windows-värdar. När systemet upptäcker något visas en varning på konsolen och aviseringar skickas via e-post.

2. Snort

Precis som OSSEC var HIDS i öppen källkod,Snort är den ledande open-source NIDS. Snort är faktiskt mer än ett intrångsdetekteringsverktyg. Det är också en paket sniffer och en paketlogger. Men det vi är intresserade av för tillfället är Snorts funktioner för intrångsdetektering. Liksom en brandvägg konfigureras Snort med regler. Basregler kan laddas ner från Snort-webbplatsen och anpassas efter dina specifika behov. Du kan också prenumerera på Snort-reglerna så att du alltid får de senaste när de utvecklas när nya hot identifieras.

Snort IDS-konsol på Windows

De grundläggande snortreglerna kan upptäcka en mängd olikaav händelser som stealth-portscanningar, buffertöverskridningsattacker, CGI-attacker, SMB-sonder och OS-fingeravtryck. Vad din Snort-installation upptäcker beror bara på vilka regler du har installerat. Några av de grundläggande reglerna som erbjuds är signaturbaserade medan andra är anomali-baserade. Att använda Snort kan ge dig det bästa från båda världar

3. Suricata

Suricata annonserar sig själv som ett intrångdetekterings- och förebyggande system och som ett komplett ekosystem för övervakning av nätverkssäkerhet. En av verktygens bästa fördelar jämfört med Snort är att det fungerar hela vägen upp till applikationsskiktet. Detta gör att verktyget kan upptäcka hot som kan bli obemärkt i andra verktyg genom att delas över flera paket.

Suricata Skärmdump

Men Suricata fungerar inte bara i applikationenlager. Det kommer också att övervaka lägre protokoll som TLS, ICMP, TCP och UDP. Verktyget förstår också protokoll som HTTP, FTP eller SMB och kan upptäcka intrångsförsök dolda i annars normala förfrågningar. Det finns också en filutdragningsfunktion för att tillåta administratörer att granska misstänkta filer själva.

Arkitekturmässigt är Suricata mycket välgjord ochdet kommer att fördela sin arbetsbelastning över flera processorkärnor och trådar för bästa prestanda. Det kan till och med ladda ner en del av sin bearbetning till grafikkortet. Detta är en fantastisk funktion på servrar eftersom deras grafikkort det mestadels på tomgång.

4. Bro Network Security Monitor

Nästa på vår lista är en produkt som heter BroNetwork Security Monitor, ett annat gratis upptäcktsystem för nätverksintrång. Bro verkar i två faser: trafikloggning och analys. Liksom Suricata fungerar Bro på applikationsskiktet, vilket möjliggör bättre upptäckt av splittringsintrångsförsök. Det verkar som om allt kommer i par med Bro och dess analysmodul består av två element. Den första är händelsemotorn som spårar utlösande händelser som netto TCP-anslutningar eller HTTP-förfrågningar. Händelserna analyseras sedan ytterligare med policyskript som avgör om man ska utlösa en varning eller starta en åtgärd, vilket gör Bro till ett förebyggande av intrång utöver ett detekteringssystem.

Bro kommer att låta dig spåra HTTP, DNS och FTPaktivitet samt övervaka SNMP-trafik. Detta är bra eftersom SNMP ofta används för nätverksövervakning, men det är inte ett säkert protokoll. Bro låter dig också titta på enhetskonfigurationsändringar och SNMP-fällor. Bro kan installeras på Unix, Linux och OS X men det är inte tillgängligt för Windows, kanske dess största nackdel.

5. Öppna WIPS NG

Open WIPS NG gjorde det på vår lista främst fördet är den enda som specifikt riktar sig till trådlösa nätverk. Open WIPS NG - där WIPS står för Wireless Intrusion Prevention System - är ett open source-verktyg som består av tre huvudkomponenter. Först är det sensorn som är en dum enhet som bara fångar trådlös trafik och skickar den till servern för analys. Nästa är servern. Den här samlar data från alla sensorer, analyserar de insamlade data och svarar på attacker. Det är hjärtat i systemet. Sist men inte minst är gränssnittskomponenten som är GUI som du använder för att hantera servern och visa information om hot i ditt trådlösa nätverk.

Men inte alla gillar Open WIPS NG. Produkten om från samma utvecklare som Aircrack NG en trådlös paketfäktare och lösenordskracker som är en del av varje WiFi-hackerens verktygssats. Å andra sidan, med tanke på hans bakgrund, kan vi anta att utvecklaren vet ganska mycket om Wi-Fi-säkerhet.

6. Samhain

Samhain är ett gratis värdintrångsdetekteringssystemsom tillhandahåller filintegritetskontroll och övervakning / analys av loggfil. Dessutom utför produkten även rootkit-upptäckt, portövervakning, detektering av skurkliga SUID-körbara filer och dolda processer. Detta verktyg har utformats för att övervaka flera system med olika operativsystem med centraliserad loggning och underhåll. Samhain kan dock också användas som en fristående applikation på en enda dator. Samhain kan köras på POSIX-system som Unix Linux eller OS X. Det kan också köras på Windows under Cygwin, även om endast övervakningsagenten och inte servern har testats i den konfigurationen.

Samhain IDS-skärmdump

En av Samhains mest unika funktioner är dessstealth-läge som gör det möjligt att köra utan att upptäckas av eventuella angripare. Alltför ofta dödar inkräktare detekteringsprocesser som de känner igen, vilket tillåter dem att gå obemärkt. Samhain använder steganografi för att dölja sina processer för andra. Det skyddar dess centrala loggfiler och konfigurationssäkerhetskopior med en PGP-nyckel för att förhindra manipulation.

7. Fail2Ban

Fail2Ban är en intressant gratis värdintrångdetekteringssystem som också har vissa förebyggande funktioner. Det här verktyget fungerar genom att övervaka loggfiler för misstänkta händelser som misslyckade inloggningsförsök, utnyttjar sökningar osv. När det upptäcker något misstänkt uppdaterar det automatiskt de lokala brandväggsreglerna för att blockera IP-adressen till källan till det skadliga beteendet. Detta är verktygets standardåtgärd, men alla andra godtyckliga åtgärder - till exempel att skicka e-postmeddelanden - kan konfigureras.

Systemet har olika förbyggda filterför några av de vanligaste tjänsterna som Apache, Courrier, SSH, FTP, Postfix och många fler. Förebyggande utförs genom att modifiera värdens brandväggstabeller. Verktyget kan fungera med Netfilter, IPtables eller hosts.deny-tabellen i TCP Wrapper. Varje filter kan associeras med en eller många åtgärder. Tillsammans kallas filter och handlingar som ett fängelse.

8. AIDE

AIDE är en förkortning för Advanced IntrusionUpptäcktsmiljö. Det gratis värdintrångsdetekteringssystemet fokuserar huvudsakligen på rootkit-detektering och jämförelser av filsignaturer. När du initialt installerar AIDE kommer den att sammanställa en databas med administraturdata från systemets konfigurationsfiler. Detta används sedan som en baslinje mot vilken varje förändring kan jämföras och så småningom rullas tillbaka om det behövs.

AIDE använder både signaturbaserad och anomali-baseradanalys som körs på begäran och inte planeras eller kontinuerligt körs. Detta är faktiskt den här produktens största nackdel. AIDE är emellertid ett kommandoradsverktyg och ett CRON-jobb kan skapas för att köra det med regelbundna intervall. Och om du kör det mycket ofta - till exempel varje minut eller så - får du kvasitid i realtid. Kärnan är AIDE ingenting annat än ett datatjänstverktyg. Externa skript måste skapas för att göra det till ett riktigt HIDS.

9. Säkerhetslök

Security Lök är ett intressant djur som kansparar mycket tid. Detta är inte bara ett intrångsdetekterings- eller förebyggande system. Security Onion är en komplett Linux-distribution med fokus på intrångsdetektering, företagssäkerhetsövervakning och logghantering. Det innehåller många verktyg, av vilka vi just har granskat. Till exempel har Security Onion Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner och mer. Allt detta ingår i en lättanvänd installationsguide, så att du kan skydda din organisation inom några minuter. Du kan tänka på Security Onion som den schweiziska arméns kniv av företagets IT-säkerhet.

Guiden för installation av säkerhetslök

Det mest intressanta med det här verktyget äratt du får allt i en enkel installation. Och du får både nätverks- och värdintrångsdetekteringsverktyg. Det finns verktyg som använder en signaturbaserad strategi och några som är anomalibaserade. Distributionen har också en kombination av textbaserade och GUI-verktyg. Det finns verkligen en utmärkt blandning av allt. Nackdelen är naturligtvis att du får så mycket att det kan ta ett tag att konfigurera allt. Men du behöver inte använda alla verktygen. Du kan välja bara de du föredrar.

10. Sagan

Sagan är faktiskt mer ett logganalyssystemän ett riktigt IDS men det har några IDS-liknande funktioner som vi trodde berättigade för att det skulle inkluderas på vår lista. Det här verktyget kan titta på de lokala loggarna för systemet där det är installerat, men det kan också interagera med andra verktyg. Det kan till exempel analysera Snorts loggar och effektivt lägga till NIDS-funktionalitet till det som i huvudsak är ett HIDS. Och det kommer inte bara att interagera med Snort. Det kan också interagera med Suricata och det är kompatibelt med flera verktyg för regelbyggande som Oinkmaster eller Pulled Pork.

Sagan Skärmdump

Sagan har även manövreringsfunktioner för skriptvilket gör det till ett system för förebyggande av grovt intrång. Det här verktyget kan kanske inte användas som ditt enda försvar mot intrång, men det kommer att vara en stor komponent i ett system som kan innehålla många verktyg genom att korrelera händelser från olika källor.

Slutsats

Intrusionsdetekteringssystem är bara ett avmånga tillgängliga verktyg som hjälper nätverks- och systemadministratörer att säkerställa en optimal drift av deras miljö. Några av de verktyg som diskuteras här är utmärkta men var och en har något annorlunda syfte. Den du väljer beror till stor del på personliga preferenser och specifika behov.

Läs också

Hur du inaktiverar ansiktsigenkänning och igenkänning på foton i Windows 10
Rörelsesmonitor - Vänd webbkamera till rörelsedetekteringskamera
SolarWinds hotmonitor - ÖVERSIKT 2019 (Advanced Threat Detection and Monitoring)
SolarWinds Log & Event Manager vs Splunk - En jämförande recension
Trojaner för fjärråtkomst (RATS) - Vad är de och hur man skyddar mot dem?
6 bästa värdbaserade system för intrångsdetektering (HIDS) under 2019
7 bästa system för förebyggande av intrång (IPS) för 2019
Nätverksbaserade intrångsdetekteringssystem: 5 bästa NIDS-verktyg att använda
6 bästa verktyg för säkerhetsinformation och evenemangshantering (SIEM) som är värda att kolla in 2019
14 bästa nätverkssäkerhetsverktyg för säkrare miljöer 2019
Använd smarta lås på kroppen för att hålla din telefon olåst i fickan
Lägg till Ok Google Detection till alla skärmar på din enhet [Ingen rot]

kommentarer