- - Nätverksbaserade intrångsdetekteringssystem: 5 bästa NIDS-verktyg att använda

Nätverksbaserade intrångsdetekteringssystem: 5 bästa NIDS-verktyg att använda

Det verkar som om alla dessa dagar är bekymrademed säkerhet. Det är meningsfullt när man beaktar vikten av cyberkriminalitet. Organisationer riktas av hackare som försöker stjäla sina data eller orsaka annan skada. Ett sätt du kan skydda din IT-miljö mot dessa attacker är genom att använda rätt verktyg och system. Ofta är den första försvarslinjen i nätverkets omkrets i form av nätverksbaserade intrångsdetekteringssystem eller NIDS. Dessa system analyserar trafik som kommer på dinnätverk från internet för att upptäcka misstänkt aktivitet och varna dig omedelbart. NIDS är så populära och så många av dem är tillgängliga än att hitta den bästa för dina behov kan vara en utmanande strävan. Att hjälpa dig, Vi har sammanställt denna lista över några av de bästa nätverksbaserade intrångsdetekteringssystemen.


Vi börjar vår resa med att titta påolika typer av intrångsdetekteringssystem. I huvudsak finns det två typer: nätverksbaserad och värdbaserad. Vi förklarar deras skillnader. Intrusionsdetekteringssystem skiljer sig också från detekteringsmetoden de använder. Vissa av dem använder sig av en signaturbaserad strategi medan andra förlitar sig på beteendeanalys. De bästa verktygen använder en kombination av båda detekteringsmetoderna. Marknaden är mättad med både intrångsdetekteringssystem och intrångsförebyggande system. Vi undersöker hur de skiljer sig och hur de är lika eftersom det är viktigt att förstå skillnaden. Slutligen kommer vi att granska de bästa nätverksbaserade intrångsdetekteringssystemen och presentera deras viktigaste funktioner.

Nätverk - Värdbaserad intrångsdetektering

Intrusion Detection Systems är av ett av tvåtyper. De delar båda ett identiskt mål - att snabbt upptäcka intrångsförsök eller misstänkt aktivitet som potentiellt kan leda till intrångsförsök - men de skiljer sig åt varifrån den verkställighetspunkt som hänvisar till var upptäckten utförs. Varje typ av intrångsdetekteringsverktyg har fördelar och nackdelar. Det finns inget verkligt samförstånd om vilken man föredrar. Vissa svär vid en typ medan andra bara litar på den andra. Båda har förmodligen rätt. Den bästa lösningen - eller den säkraste - är förmodligen en som kombinerar båda typerna.

Nätverk för intrångsdetekteringssystem (NIDS)

Den första typen av intrångsdetekteringssystem ärkallat nätverk intrångsdetekteringssystem eller NIDS. Dessa system arbetar vid nätverkets gräns för att verkställa upptäckt. De avlyssnar och undersöker nätverkstrafik, letar efter misstänkta aktiviteter som kan indikera ett intrångsförsök och också leta efter kända intrångsmönster. Intränare försöker ofta utnyttja kända sårbarheter i olika system genom att till exempel skicka felformade paket till värdar, vilket får dem att reagera på ett visst sätt som gör att de kan brytas. Ett nätverkets intrångsdetekteringssystem kommer sannolikt att upptäcka denna typ av intrångsförsök.

Vissa hävdar att detektering av nätverksintrångSystem är bättre än deras värdbaserade motsvarighet eftersom de kan upptäcka attacker innan de ens kommer till dina system. Vissa tenderar också att föredra dem eftersom de inte behöver installera något på varje värd för att effektivt skydda dem. Å andra sidan ger de lite skydd mot insiderattacker som tyvärr inte alls är ovanliga. För att bli upptäckt måste en angripares intrångsförsök gå igenom NIDS som den sällan gör när den kommer inifrån. All teknik har för- och nackdelar och det specifika fallet av intrångsdetektering, ingenting hindrar dig från att använda båda typerna av verktyg för det ultimata skyddet.

Host Intrusion Detection Systems (HIDS)

Host Intrusion Detection Systems (HIDS) fungerarpå värdnivå; du kanske har gissat det från deras namn. De kommer till exempel att övervaka olika loggfiler och tidskrifter för tecken på misstänkt aktivitet. Ett annat sätt de kan upptäcka intrångsförsök är genom att kontrollera systemkonfigurationsfiler för obehöriga ändringar. De kan också undersöka samma filer för specifika kända intrångsmönster. Till exempel kan en viss intrångsmetod vara känd för att fungera genom att lägga till en viss parameter till en specifik konfigurationsfil. Ett bra värdbaserat intrångsdetekteringssystem skulle fånga det.

Även om deras namn kan få dig att tro detalla HIDS installeras direkt på den enhet de är tänkt att skydda, det är inte nödvändigtvis fallet. Vissa kommer att behöva installeras på alla dina datorer medan andra bara behöver installera en lokal agent. Vissa gör till och med allt sitt arbete på distans utan någon agent. Oavsett hur de fungerar, har de flesta HIDS en centraliserad konsol där du kan kontrollera varje instans av applikationen och se alla resultat.

Metoder för detektion av intrång

System för intrångsdetektering skiljer sig inte bara frånNär det gäller verkställighet skiljer de sig också efter metoden de använder för att upptäcka intrångsförsök. Vissa är signaturbaserade medan andra är anomali-baserade. De första fungerar genom att analysera data för specifika mönster som har associerats med intrångsförsök. Detta liknar traditionella virusskyddssystem som bygger på virusdefinitioner. Signaturbaserad intrångsdetektering förlitar sig på intrångsignaturer eller -mönster. De jämför data med infångade signaturer för att identifiera intrångsförsök. Naturligtvis fungerar de inte förrän den korrekta signaturen laddas upp till programvaran, som ibland kan hända först efter att ett visst antal maskiner har attackerats och utgivare av intrångssignaturer har haft tid att publicera nya uppdateringspaket. Vissa leverantörer är ganska snabba medan andra bara kunde reagera några dagar senare. Detta är den primära nackdelen med denna detekteringsmetod.

Anomali-baserad intrångsdetektion ger bättreskydd mot nolldagarsattacker, de som händer innan någon program för intrångsdetektering har haft en chans att skaffa rätt signaturfil. De letar efter avvikelser istället för att försöka känna igen kända intrångsmönster. Till exempel skulle någon som försöker få åtkomst till ett system med fel lösenord flera gånger i rad utlösa en varning eftersom detta är ett vanligt tecken på ett brute force-attack. Dessa system kan snabbt upptäcka all misstänkt aktivitet i nätverket. Varje detekteringsmetod har fördelar och nackdelar och precis som med de två typerna av verktyg är de bästa verktygen förmodligen de som använder en kombination av signatur och beteendeanalys.

Upptäckt eller förebyggande?

Vissa människor tenderar att bli förvirrade mellansystem för intrångsdetektering och förebyggande av intrång. Även om de är nära besläktade är de inte identiska även om det finns viss funktionsöverlappning mellan de två. Som namnet antyder upptäcker intrångsdetekteringssystem intrångsförsök och misstänkta aktiviteter. När de upptäcker något, utlöser de vanligtvis någon form av varning eller avisering. Det är sedan upp till administratörerna att vidta nödvändiga steg för att stoppa eller blockera intrångsförsöket.

Intrusion Prevention Systems (IPS) går ett stegvidare och kan hindra intrång helt och hållet. Inbrottsförebyggande system inkluderar en detekteringskomponent - som är funktionellt ekvivalent med ett intrångsdetekteringssystem - som utlöser viss automatisk åtgärd närhelst ett intrångsförsök upptäcks. Ingen mänsklig intervention krävs för att stoppa intrångsförsöket. Inbrottsförebyggande kan också hänvisa till allt som görs eller införs som ett sätt att förhindra intrång. Till exempel kan lösenordshärdning eller inkräktare låsas som åtgärder för förebyggande av intrång.

De bästa verktygen för upptäckt av nätverksintrång

Vi har sökt efter det bästa efter marknadenNätverksbaserade intrångsdetekteringssystem. Vår lista innehåller en blandning av verkliga värdbaserade intrångsdetekteringssystem och annan programvara som har en nätverksbaserad intrångsdetekteringskomponent eller som kan användas för att upptäcka intrångsförsök. Var och en av våra rekommenderade verktyg kan hjälpa till att upptäcka intrångsförsök i ditt nätverk.

1. SolarWinds Threat Monitor - IT Ops Edition (GRATIS demo)

SolarWinds är ett vanligt namn inom områdetnätverksadministrationsverktyg. Företaget har funnits i cirka 20 år och har försett oss några av de bästa verktygen för nätverks- och systemadministration. Dess flaggskeppsprodukt, Network Performance Monitor, poängsätter konsekvent bland de bästa nätverksbandbreddövervakningsverktygen. SolarWinds tillhandahåller också utmärkta gratisverktyg, var och en möter ett specifikt behov av nätverksadministratörer. Kiwi Syslog Server och Advanced Subnet Calculator är två bra exempel på dessa.

För nätverksbaserad intrångsdetektering erbjuder SolarWinds Threat Monitor - IT Ops Edition. Till skillnad från de flesta andra SolarWinds-verktyg, dettaen är en molnbaserad tjänst snarare än en lokalt installerad programvara. Du prenumererar helt enkelt på den, konfigurerar den och den börjar titta på din miljö för intrångsförsök och några fler typer av hot. De Threat Monitor - IT Ops Edition kombinerar flera verktyg. Den har både nätverks- och värdbaserad intrångsdetektion såväl som logcentralisering och korrelation, och SIEM (Security Information and Event Management). Det är en mycket grundlig hotövervakningssvit.

SolarWinds Threat Monitor - IT Ops Edition - Dashboard

  • GRATIS DEMO: SolarWinds Threat Monitor - IT Ops Edition
  • Officiell nedladdningslänk: https://www.solarwinds.com/threat-monitor/registration

De Threat Monitor - IT Ops Edition är alltid uppdaterad, uppdateras ständigthotinformation från flera källor, inklusive databaser för IP- och domänreputation. Det följer både kända och okända hot. Verktyget har automatiserade intelligenta svar för att snabbt avhjälpa säkerhetsincidenter vilket ger det några intrångsförhindrande liknande funktioner.

Produktens varningsfunktioner är ganskaimponerande. Det finns flervillkorade, tvärkorrelerade larm som fungerar tillsammans med verktygets Active Response-motor och hjälper till att identifiera och sammanfatta viktiga händelser. Rapporteringssystemet är lika bra som dess varning och kan användas för att visa efterlevnad genom att använda befintliga förbyggda rapportmallar. Alternativt kan du skapa anpassade rapporter som exakt passar dina affärsbehov.

Priser för SolarWinds Threat Monitor - IT Ops Edition börja på $ 4 500 för upp till 25 noder med 10 dagarav index. Du kan kontakta SolarWinds för en detaljerad offert anpassad till dina specifika behov. Och om du föredrar att se produkten i aktion kan du begära en gratis demo från SolarWinds.

2. Fnysa

Fnysa är verkligen den mest kända öppen källkod NIDS. Men Fnysa är faktiskt mer än ett intrångsdetekteringsverktyg. Det är också en paket sniffer och en paketloggare och den paketerar några andra funktioner också. För tillfället kommer vi att koncentrera oss på verktygets intrångsdetekteringsfunktioner eftersom detta är ämnet för detta inlägg. Konfigurering av produkten påminner om att konfigurera en brandvägg. Det konfigureras med hjälp av regler. Du kan ladda ner basregler från Fnysa webbplats och använd dem som den är eller anpassa dem efter dina specifika behov. Du kan också prenumerera på Fnysa regler för att automatiskt få alla de senaste reglerna när de utvecklas eller när nya hot upptäcks.

Snort IDS-konsol på Windows

Sortera är mycket grundlig och till och med dess grundläggande regler kanupptäcka ett brett utbud av händelser som stealth-portsökningar, buffertöverskridningsattacker, CGI-attacker, SMB-sonder och OS-fingeravtryck. Det finns praktiskt taget ingen begränsning för vad du kan upptäcka med det här verktyget och vad det upptäcker är endast beroende av regeluppsättningen du installerar. När det gäller upptäckningsmetoder är några av de grundläggande Snort-reglerna signaturbaserade medan andra är anomali-baserade. Snort kan därför ge dig det bästa från båda världar.

3. Suricata

Suricata är inte bara ett intrångsdetekteringssystem. Det har också några funktioner för förebyggande av intrång. Det annonseras faktiskt som ett komplett ekosystem för övervakning av nätverkssäkerhet. En av verktygens bästa tillgångar är hur det fungerar hela vägen upp till applikationsskiktet. Detta gör det till ett hybridnät- och värdbaserat system som låter verktyget upptäcka hot som troligtvis skulle bli obemärkt av andra verktyg.

Suricata Skärmdump

Suricata är en verklig nätverksbaserad intrångsdetektionSystem och det fungerar inte bara i applikationslagret. Den övervakar nätverksprotokoll på lägre nivå som TLS, ICMP, TCP och UDP. Verktyget förstår och avkodar även protokoll på högre nivå som HTTP, FTP eller SMB och kan upptäcka intrångsförsök dolda i annars normala förfrågningar. Verktyget har också funktioner för utvinning av filer så att administratörer kan undersöka alla misstänkta filer.

SuricataApplikationsarkitekturen är ganska nyskapande. Verktyget kommer att fördela sin arbetsbelastning över flera processorkärnor och trådar för bästa prestanda. Om det behövs kan den till och med ladda ner en del av dess bearbetning till grafikkortet. Detta är en fantastisk funktion när du använder verktyget på servrar eftersom deras grafikkort vanligtvis är underanvända.

4. Bro Nätverkssäkerhetsmonitor

De Bro Network Security Monitor, ett annat gratis nätverkets intrångsdetekteringssystem. Verktyget fungerar i två faser: trafikloggning och trafikanalys. Precis som Suricata, Bro Network Security Monitor fungerar på flera lager i applikationsskiktet. Detta möjliggör bättre upptäckt av splittringsintrångsförsök. De Bro Network Security MonitorAnalysens modul består av två element. Det första elementet kallas händelsemotorn och spårar utlösande händelser såsom netto TCP-anslutningar eller HTTP-förfrågningar. Händelserna analyseras sedan med policyskript, det andra elementet, som bestämmer om ett larm ska utlösas eller inte eller startas. Möjligheten att starta en åtgärd ger Bro Network Security Monitor vissa IPS-liknande funktioner.

Bro Network Secirity Monitor - IDS-skärmbild

De Bro Network Security Monitor låter dig spåra HTTP-, DNS- och FTP-aktivitetoch det kommer också att övervaka SNMP-trafik. Detta är bra eftersom SNMP ofta används för nätverksövervakning men det är inte ett säkert protokoll. Och eftersom det också kan användas för att ändra konfigurationer kan det utnyttjas av skadliga användare. Verktyget låter dig också titta på enhetskonfigurationsändringar och SNMP-fällor. Det kan installeras på Unix, Linux och OS X men det är inte tillgängligt för Windows, vilket kanske är dess största nackdel.

5. Säkerhetslök

Det är svårt att definiera vad Säkerhetslök är. Det är inte bara ett intrångsdetekterings- eller förebyggande system. Det är i verkligheten en komplett Linux-distribution med fokus på intrångsdetektering, övervakning av företagssäkerhet och logghantering. Som sådan kan det spara administratörer mycket tid. Det innehåller många verktyg, av vilka vi just har granskat. Security Onion inkluderar Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner och mer. För att göra det lättare att ställa in allt, levereras distributionen med en lättanvänd installationsguide, så att du kan skydda din organisation inom några minuter. Om vi ​​var tvungna att beskriva Säkerhetslök i en mening skulle vi säga att det är den schweiziska arméns kniv för företagets IT-säkerhet.

Säkerhetslök - fliken Händelser

En av de mest intressanta sakerna med dettaverktyget är att du får allt i en enkel installation. För intrångsdetektering ger verktyget dig både nätverks- och värdbaserade intrångsdetekteringsverktyg. Paketet kombinerar också verktyg som använder ett signaturbaserat tillvägagångssätt och verktyg som är anomalibaserade. Dessutom hittar du en kombination av textbaserade och GUI-verktyg. Det finns verkligen en utmärkt blandning av säkerhetsverktyg. Det finns en primär nackdel med säkerhetslök. Med så många inkluderade verktyg kan det visa sig vara en betydande uppgift att konfigurera dem alla. Du behöver dock inte använda och konfigurera alla verktyg. Du kan bara välja de du vill använda. Även om du bara använder ett par av de medföljande verktygen skulle det troligtvis vara ett snabbare alternativ än att installera dem separat.

Läs också

Vad är ett nätverkssniffer och vad används det för?
ContaCam: Skapa övervakningssystem med webbkameror, WDM och DV
Rörelsesmonitor - Vänd webbkamera till rörelsedetekteringskamera
SolarWinds Log & Event Manager vs Splunk - En jämförande recension
Trojaner för fjärråtkomst (RATS) - Vad är de och hur man skyddar mot dem?
6 bästa värdbaserade system för intrångsdetektering (HIDS) under 2019
7 bästa system för förebyggande av intrång (IPS) för 2019
6 bästa verktyg för säkerhetsinformation och evenemangshantering (SIEM) som är värda att kolla in 2019
14 bästa nätverkssäkerhetsverktyg för säkrare miljöer 2019
Topp 10 verktyg för intrångsdetektering: Dina bästa gratisalternativ för 2019
Den ultimata guiden för nätverkssäkerhet - inklusive viktiga verktyg
Lägg till Ok Google Detection till alla skärmar på din enhet [Ingen rot]

kommentarer