Безпека - гаряча тема, і це вже доситьдеякий час. Багато років тому віруси були єдиною турботою системних адміністраторів. Віруси були настільки поширеними, що це призвело до приголомшливого діапазону засобів профілактики вірусів. У наш час ледве хто б подумав запустити незахищений комп’ютер. Однак вторгнення на комп’ютер або несанкціонований доступ до ваших даних зловмисними користувачами є "загрозою для подорожей". Мережі стали ціллю численних недоброзичливих хакерів, які будуть працювати в значній мірі, щоб отримати доступ до ваших даних. Ваша найкраща захист від подібних видів загроз - це система виявлення або запобігання вторгнень. Сьогодні ми розглядаємо десять найкращих безкоштовних засобів виявлення вторгнень.
Перш ніж розпочати, спочатку обговориморізні методи виявлення вторгнень, які використовуються. Так само, як існує багато способів, як зловмисники можуть увійти у вашу мережу, існує так само багато способів - можливо, навіть більше - способів їх виявлення. Потім ми обговоримо дві основні категорії системи виявлення вторгнень: мережеве виявлення вторгнень та виявлення вторгнень в хост. Перш ніж ми продовжимо, потім пояснимо відмінності між виявленням вторгнення та запобіганням вторгненням. І нарешті, ми дамо вам короткий огляд десяти найкращих безкоштовних засобів виявлення вторгнень, які ми могли знайти.
Методи виявлення вторгнень
В основному існують два різні методивиявити спроби вторгнення. Це може бути підписом або аномалією. Подивимося, чим вони відрізняються. Визначення вторгнень на основі підпису працює за допомогою аналізу даних для конкретних шаблонів, які були пов'язані з спробами вторгнення. Це дещо схоже на традиційні антивірусні системи, які покладаються на визначення вірусів. Ці системи будуть порівнювати дані з шаблонами підписів проникнення для виявлення спроб. Основним їх недоліком є те, що вони не працюють, поки не буде завантажено належну підпис до програмного забезпечення, що, як правило, відбувається після атаки певної кількості машин.
Виявлення вторгнення на основі аномалії забезпечуєкращий захист від атак з нульовим днем, тих, що сталися до будь-якого програмного забезпечення для виявлення вторгнень, мав шанс придбати належний файл підписів. Замість того, щоб намагатися розпізнати відомі схеми вторгнення, вони замість цього шукають аномалії. Наприклад, вони виявлять, що хтось кілька разів намагався отримати доступ до системи з неправильним паролем, що є загальною ознакою нападу грубої сили. Як ви могли здогадатися, кожен метод виявлення має свої переваги. Ось чому найкращі інструменти часто використовують комбінацію обох для найкращого захисту.
Два типи систем виявлення вторгнень
Так само, як існують різні методи виявленняЄ також два основні типи систем виявлення вторгнень. Вони відрізняються здебільшого за місцем, де виконується виявлення вторгнень, або на рівні хоста, або на рівні мережі. Знову ж таки, кожен має свої переваги, і найкращим рішенням, або найбезпечнішим, є можливість використання обох.
Системи виявлення вторгнень в хост (HIDS)
Перший тип системи виявлення вторгненьпрацює на рівні хоста. Наприклад, він може перевіряти різні файли журналів на предмет ознак підозрілої активності. Він також може працювати, перевіряючи важливі файли конфігурації на наявність несанкціонованих змін. Це те, що робитиме HIDS на основі аномалії. З іншого боку, системи, що базуються на підписах, переглядали б ті самі файли журналу та конфігурації, але шукали б конкретні відомі схеми вторгнення. Наприклад, може бути відомо, що певний метод вторгнення працює, додаючи певний рядок до певного файлу конфігурації, який би визначав IDS на основі підпису.
Як ви могли собі уявити, HIDS встановлюєтьсябезпосередньо на пристрої, який вони мають захищати, тому вам потрібно буде встановити їх на всіх своїх комп’ютерах. Однак у більшості систем є централізована консоль, де ви можете керувати кожним екземпляром програми.
Мережеві системи виявлення вторгнень (NIDS)
Мережеві системи виявлення вторгнень або NIDS,працюйте на кордоні вашої мережі, щоб забезпечити виявлення. Вони використовують аналогічні методи, як системи виявлення вторгнень. Звичайно, замість того, щоб шукати файли журналу та конфігурації, вони виглядають як мережевий трафік, наприклад запити на з'єднання. Відомо, що деякі методи вторгнення використовують уразливості, надсилаючи навмисно неправильно сформовані пакети хостам, змушуючи їх реагувати певним чином. Мережеві системи виявлення вторгнень могли легко їх виявити.
Дехто стверджує, що СНІД краще, ніж ВІЛоскільки вони виявляють напади ще до того, як потрапляють на ваші комп'ютери. Вони також кращі, оскільки не потребують встановлення на кожному комп’ютері нічого, щоб ефективно захистити їх. З іншого боку, вони забезпечують невеликий захист від інсайдерських атак, які, на жаль, зовсім не рідкість. Це ще один випадок, коли найкращим захистом є використання комбінації обох типів інструментів.
Виявлення вторгнення Vs Запобігання
У програмі є два різних жанри інструментівсвіт захисту від вторгнення: системи виявлення вторгнень та системи запобігання вторгнень. Хоча вони служать різному призначенню, між двома типами інструментів часто виникають певні перекриття. Як випливає з назви, виявлення вторгнень виявить спроби вторгнення і взагалі підозрілі дії. Коли це станеться, воно, як правило, спрацює якась тривога чи сповіщення. Потім адміністратор повинен вжити необхідних заходів для зупинки або блокування цієї спроби.
Системи запобігання вторгнень, з іншого боку,працювати над тим, щоб зупинити вторгнення взагалі. Більшість систем запобігання вторгнень включатимуть компонент виявлення, який буде викликати певні дії, коли виявляються спроби вторгнення. Але запобігання інтрузії також може бути пасивним. Термін може використовуватися для позначення будь-яких кроків, що вживаються для запобігання вторгненням. Ми можемо придумати такі заходи, як загартовування паролем, наприклад.
Кращі безкоштовні засоби виявлення вторгнень
Системи виявлення вторгнень можуть бути дорогими,дуже дорого. На щастя, існує досить багато безкоштовних альтернатив. ми шукали в Інтернеті деякі найкращі програмні засоби виявлення вторгнень. Ми знайшли досить багато, і ми збираємось коротко переглянути найкращу десятку, яку ми могли знайти.
1. OSSEC
OSSEC, що розшифровується як безпека з відкритим кодом, єна сьогоднішній день провідна система виявлення вторгнень з відкритим кодом. OSSEC належить Trend Micro, одному з провідних імен в галузі безпеки ІТ. Програмне забезпечення, встановлене в операційних системах, схожих на Unix, в основному фокусується на файлах журналу та конфігурації. Він створює контрольні суми важливих файлів і періодично їх перевіряє, попереджаючи про те, що трапиться щось дивне. Він також буде контролювати та фіксувати будь-які дивні спроби отримати кореневий доступ. У Windows система також стежить за несанкціонованими змінами реєстру.
OSSEC, будучи системою виявлення вторгнень в діюпотрібно встановити на кожному комп’ютері, який ви хочете захистити. Однак вона об'єднає інформацію з кожного захищеного комп'ютера в одній консолі для легшого управління. Програмне забезпечення працює лише в системах Unix-Like, але для захисту хостів Windows доступний агент. Коли система щось виявить, на консолі виводиться попередження, а сповіщення надсилаються електронною поштою.
2. Хрип
Так само, як OSSEC був головним HID з відкритим кодом,Снурт - провідний СНІД з відкритим кодом. Snort - це насправді більше, ніж інструмент виявлення вторгнень. Це також sniffer пакетів та реєстратор пакетів. Але те, що зараз нас цікавить, - це функції виявлення вторгнення Snort. Приблизно як брандмауер, Snort налаштовується за допомогою правил. Основні правила можна завантажити з веб-сайту Snort і налаштувати під ваші конкретні потреби. Ви також можете підписатися на правила Snort, щоб завжди отримувати найновіші, оскільки вони розвиваються в міру виявлення нових загроз.
Основні правила Snort можуть виявити найрізноманітнішітаких подій, як сканування портів схованості, атаки переповнення буфера, CGI-атаки, SMB-зонди та дактилоскопія ОС. Те, що визначає ваша установка Snort, залежить виключно від правил, які ви встановили. Деякі основні правила, що пропонуються, базуються на підписах, а інші - на основі аномалії. Використання Snort може дати вам найкраще з обох світів
3. Суріката
Suricata рекламує себе як вторгненнясистема виявлення та запобігання та як повна екосистема моніторингу безпеки мережі. Однією з найкращих переваг цього інструменту перед Snort є те, що він працює аж до рівня програми. Це дозволяє інструменту виявляти загрози, які можуть залишитися непоміченими в інших інструментах, розділившись на кілька пакетів.
Але Suricata працює не лише над заявкоюшар. Він також контролюватиме протоколи нижчого рівня, такі як TLS, ICMP, TCP та UDP. Інструмент також розуміє такі протоколи, як HTTP, FTP або SMB, і може виявляти спроби вторгнення, приховані в звичайних запитах. Існує також можливість вилучення файлів, що дозволяє адміністраторам самостійно перевіряти підозрілі файли.
Суріката дуже добре зроблена та архітектурнавін розподілить своє навантаження на декілька процесорних ядер і потоків для найкращої продуктивності. Він навіть може вивантажити частину його обробки на відеокарту. Це відмінна функція на серверах, оскільки їхня відеокарта в основному не працює.
4. Bro Monitor Monitor Security
Наступним у нашому списку є товар під назвою BroМонітор безпеки мережі, ще одна безкоштовна мережа виявлення вторгнень в мережу. Bro працює в два етапи: реєстрація трафіку та аналіз трафіку. Як і Suricata, Bro працює на рівні програми, що дозволяє краще виявляти спроби розбиття спліт. Схоже, все поєднується з Bro, і його модуль аналізу складається з двох елементів. Перший - це механізм подій, який відстежує запускаючі події, такі як чисті TCP-з'єднання або HTTP-запити. Потім події додатково аналізуються за допомогою сценаріїв політики, які вирішують, чи слід викликати попередження та розпочати дію, зробивши Бро запобіганням вторгнень на додаток до системи виявлення.
Bro дозволить вам відстежувати HTTP, DNS та FTPдіяльності, а також стежити за трафіком SNMP. Це добре, оскільки, хоча SNMP часто використовується для моніторингу мережі, це не захищений протокол. Bro також дозволяє переглядати зміни конфігурації пристрою та SNMP-пастки. Bro можна встановити на Unix, Linux та OS X, але він недоступний для Windows, можливо, його основний недолік.
5. Відкрийте WIPS NG
Відкриті WIPS NG потрапили в наш список головним чином тому, щоце єдиний, який спеціально орієнтований на бездротові мережі. Open WIPS NG - там, де WIPS розшифровується як бездротова система запобігання вторгнень - це інструмент з відкритим кодом, який складається з трьох основних компонентів. По-перше, є датчик, який є німим пристроєм, який лише фіксує бездротовий трафік і відправляє його на аналіз на сервер. Далі - сервер. Цей агрегує дані з усіх датчиків, аналізує зібрані дані та реагує на атаки. Це серце системи. І останнє, але не менш важливе - це компонент інтерфейсу, який є графічним інтерфейсом, який ви використовуєте для управління сервером та відображення інформації про загрози у вашій бездротовій мережі.
Не всім подобається Відкритий WIPS NG. Продукт від того самого розробника, як Aircrack NG, бездротовий нюхальник пакетів та злом паролів, який є частиною інструментарію кожного хакера WiFi. З іншого боку, враховуючи його передумови, можна припустити, що розробник знає досить багато про безпеку Wi-Fi.
6. Самхайн
Samhain - це безкоштовна система виявлення вторгненьякий забезпечує перевірку цілісності файлів та моніторинг / аналіз файлів журналу. Крім того, продукт також виконує виявлення руткітів, моніторинг портів, виявлення шахрайських виконуваних файлів SUID та приховані процеси. Цей інструмент був розроблений для контролю кількох систем з різними операційними системами з централізованим веденням журналу та обслуговування. Однак Samhain також може використовуватися як окремий додаток на одному комп’ютері. Samhain може працювати в системах POSIX, таких як Unix Linux або OS X. Він також може працювати в Windows під Cygwin, хоча в цій конфігурації було протестовано лише агент моніторингу, а не сервер.
Однією з найбільш унікальних особливостей Samhain є йогостелс-режим, який дозволяє йому працювати, не виявляючи зловмисників. Занадто часто зловмисники вбивають розпізнавані ними процеси виявлення, дозволяючи їм пройти непомітно. Семгайн використовує стеганографію, щоб приховати свої процеси від інших. Він також захищає свої центральні файли журналів та резервні копії конфігурації за допомогою PGP-клавіші, щоб запобігти фальсифікації.
7. Fail2Ban
Fail2Ban - це цікаве безкоштовне вторгнення хостасистема виявлення, яка також має деякі функції запобігання. Цей інструмент працює за допомогою моніторингу файлів журналів на предмет підозрілих подій, таких як невдалі спроби входу в систему, експлуатації пошуків тощо. Коли він виявляє щось підозріле, він автоматично оновлює правила локального брандмауера для блокування вихідної IP-адреси зловмисної поведінки. Це за замовчуванням дія інструменту, але будь-яка інша довільна дія - наприклад, надсилання сповіщень електронною поштою - може бути налаштована.
Система поставляється з різними попередньо вбудованими фільтрамидля деяких найпоширеніших сервісів, таких як Apache, Courrier, SSH, FTP, Postfix та багато інших. Профілактика здійснюється шляхом зміни таблиць брандмауера хоста. Інструмент може працювати з Netfilter, IPtables або таблицею host.deny TCP Wrapper. Кожен фільтр може бути пов’язаний з однією чи багатьма діями. Разом фільтри та дії називають тюрмою.
8. ДОПОМОГА
AIDE - абревіатура для Advanced IntrusionВиявлення середовища. Система виявлення вільних хостів в основному зосереджена на виявленні руткітів та порівнянні підписів файлів. Коли ви спочатку встановите AIDE, вона складе базу даних даних адміністратора з файлів конфігурації системи. Потім це використовується як базовий рівень, з яким можна порівняти будь-які зміни та, зрештою, відмовитись за потреби.
AIDE використовує як підпис, так і аномаліюаналіз, який проводиться за запитом, а не планується або постійно працює. Це фактично головний недолік цього продукту. Однак AIDE - це інструмент командного рядка, і CRON-завдання можуть бути створені для його запуску через рівні проміжки часу. І якщо ви запускаєте його дуже часто - наприклад, щохвилини або близько того - ви отримаєте квазі-дані в реальному часі. По суті, AIDE - це не що інше, як інструмент порівняння даних. Потрібно створити зовнішні сценарії, щоб зробити це справжнім HIDS.
9. Цибуля безпеки
Цибуля безпеки - це цікавий звір, який вмієекономлять багато часу. Це не просто система виявлення або запобігання вторгнень. Security Onion - це повний дистрибутив Linux з акцентом на виявлення вторгнень, моніторинг безпеки підприємства та управління журналами. Він включає багато інструментів, деякі з яких ми лише переглянули. Наприклад, Security Onion має Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner тощо. Все це в комплекті з простим у користуванні майстром налаштування, що дозволяє захистити вашу організацію протягом декількох хвилин. Ви можете вважати Security Onion як ножем швейцарської армії корпоративного ІТ-безпеки.
Найцікавіше в цьому інструментіщо ви отримуєте все за одну просту установку. І ви отримуєте як мережеві, так і хост-інструменти виявлення вторгнень. Існують інструменти, які використовують підпис на основі підпису, та деякі, які базуються на аномалії. Розподіл також містить комбінацію текстових та графічних інструментів. Тут дійсно чудова суміш всього. Звичайно, недолік полягає в тому, що ви отримуєте стільки, що його налаштування може зайняти деякий час. Але вам не доведеться використовувати всі інструменти. Ви можете вибрати лише ті, які вам більше зручні.
10. Саган
Саган насправді більше - система аналізу журналівніж справжній IDS, але він має деякі функції, схожі на IDS, які, на наш погляд, є гарантією його включення до нашого списку. Цей інструмент може переглядати локальні журнали системи, де вона встановлена, але також може взаємодіяти з іншими інструментами. Наприклад, він може аналізувати журнали Snort, ефективно додаючи функціональність NIDS до того, що по суті є HIDS. І це буде не просто взаємодіяти з Snort. Він також може взаємодіяти з Suricata, і він сумісний з кількома інструментами побудови правил, такими як Oinkmaster або Pulled Pork.
Sagan також має можливості виконання сценаріющо робить його сильною системою запобігання вторгнень. Цей інструмент, ймовірно, не може бути використаний як ваша єдина захист від вторгнення, але він буде чудовим компонентом системи, яка може включати в себе багато інструментів, співставляючи події з різних джерел.
Висновок
Системи виявлення вторгнень - лише одна з такихдоступні багато інструментів для надання допомоги мережним та системним адміністраторам у забезпеченні оптимальної роботи їх середовища. Будь-який із розглянутих тут інструментів є чудовим, але кожен має дещо інше призначення. Вибір, який ви оберете, багато в чому залежатиме від особистих уподобань та конкретних потреб.
Коментарі