أفضل برنامج مجاني للكشف عن التسلل في عام 2021

الأمن موضوع ساخن وقد كان لفترة طويلة. منذ عدة سنوات ، كانت الفيروسات هي الشغل الشاغل لمسؤولي النظام. كانت الفيروسات شائعة جدًا لدرجة أنها قادت الطريق لمجموعة مذهلة من أدوات الوقاية من الفيروسات. في الوقت الحاضر ، بالكاد يفكر أي شخص في تشغيل جهاز كمبيوتر غير محمي. ومع ذلك ، فإن التطفل على الكمبيوتر ، أو الوصول غير المصرح به إلى بياناتك من قبل المستخدمين الضارين ، هو "تهديد اليوم". أصبحت الشبكات هدفًا للعديد من المتسللين ذوي النوايا السيئة الذين سيبذلون جهودًا كبيرة للوصول إلى بياناتك. أفضل دفاع لك ضد هذه الأنواع من التهديدات هو كشف التسلل أو منعه. اليوم ، نراجع عشرة من أفضل أدوات الكشف عن التسلل المجانية.

قبل أن نبدأ ، سنناقش أولاً طرق اكتشاف التسلل المختلفة المستخدمة. مثلما توجد طرق عديدة يمكن للمتطفلين من خلالها الدخول إلى شبكتك ، فهناك العديد من الطرق - وربما أكثر - من الطرق لاكتشافهم. بعد ذلك ، سنناقش الفئتين الرئيسيتين لنظام اكتشاف التسلل: اكتشاف اختراق الشبكة واكتشاف تسلل المضيف. قبل أن نواصل ، سنشرح بعد ذلك الاختلافات بين اكتشاف التسلل ومنع التسلل. وأخيرًا ، سنقدم لك مراجعة موجزة لعشرة من أفضل أدوات الكشف عن التسلل المجانية التي يمكن أن نجدها.

طرق كشف التسلل

هناك طريقتان مختلفتان تستخدمان للكشف عن محاولات التسلل. يمكن أن يكون مستندًا إلى التوقيع أو مستند إلى الشذوذ. دعونا نرى كيف تختلف. يعمل كشف التسلل المستند إلى التوقيع من خلال تحليل البيانات لأنماط محددة مرتبطة بمحاولات التطفل. يشبه إلى حد ما أنظمة مكافحة الفيروسات التقليدية التي تعتمد على تعريفات الفيروسات. ستقارن هذه الأنظمة البيانات بأنماط توقيع التسلل لتحديد المحاولات. عيبهم الرئيسي هو أنهم لا يعملون حتى يتم تحميل التوقيع الصحيح على البرنامج والذي يحدث عادةً بعد مهاجمة عدد معين من الأجهزة.

يوفر كشف التسلل المستند إلى الشذوذ حماية أفضل ضد هجمات يوم الصفر ، تلك التي تحدث قبل أن تتاح الفرصة لأي برنامج للكشف عن التطفل للحصول على ملف التوقيع المناسب. بدلاً من محاولة التعرف على أنماط التطفل المعروفة ، ستبحث هذه بدلاً من ذلك عن الحالات الشاذة. على سبيل المثال ، قد يكتشفون أن شخصًا ما حاول الوصول إلى نظام باستخدام كلمة مرور خاطئة عدة مرات ، وهي علامة شائعة لهجوم القوة الغاشمة. كما قد تكون خمنت ، كل طريقة كشف لها مزاياها. هذا هو السبب في أن أفضل الأدوات غالبًا ما تستخدم مزيجًا من الاثنين للحصول على أفضل حماية.

نوعان من أنظمة كشف التسلل

مثلما توجد طرق اكتشاف مختلفة ، يوجد أيضًا نوعان رئيسيان من أنظمة اكتشاف التسلل. وهي تختلف في الغالب في الموقع الذي يتم فيه الكشف عن التطفل ، إما على مستوى المضيف أو على مستوى الشبكة. هنا مرة أخرى ، لكل منها مزاياه ، وربما يكون الحل الأفضل - أو الأكثر أمانًا - هو استخدام كليهما.

أنظمة كشف اختراق المضيف (HIDS)

النوع الأول من نظام كشف التسلل يعمل على مستوى المضيف. يمكنه ، على سبيل المثال ، التحقق من ملفات السجل المختلفة بحثًا عن أي علامة على نشاط مشبوه. يمكن أن يعمل أيضًا عن طريق فحص ملفات التكوين المهمة للتغييرات غير المصرح بها. هذا ما ستفعله HIDS المستندة إلى الشذوذ. من ناحية أخرى ، ستنظر الأنظمة القائمة على التوقيع في نفس ملفات السجل والتكوين ولكنها تبحث عن أنماط اقتحام محددة معروفة. على سبيل المثال ، قد يكون من المعروف أن طريقة اقتحام معينة تعمل عن طريق إضافة سلسلة معينة إلى ملف تكوين محدد والذي سيكتشفه نظام كشف التسلل المستند إلى التوقيع.

كما كان من الممكن أن تتخيل ، يتم تثبيت HIDS مباشرة على الجهاز الذي من المفترض أن تحميه ، لذا ستحتاج إلى تثبيتها على جميع أجهزة الكمبيوتر الخاصة بك. ومع ذلك ، تحتوي معظم الأنظمة على وحدة تحكم مركزية حيث يمكنك التحكم في كل مثيل للتطبيق.

أنظمة كشف التسلل إلى الشبكة (NIDS)

تعمل أنظمة الكشف عن اختراق الشبكة ، أو NIDS ، على حدود الشبكة الخاصة بك لفرض الكشف. يستخدمون طرقًا مماثلة لأنظمة اكتشاف التسلل للمضيف. بالطبع ، بدلاً من البحث عن ملفات السجل والتكوين ، فإنها تبدو كحركة مرور الشبكة مثل طلبات الاتصال. من المعروف أن بعض أساليب التطفل تستغل الثغرات الأمنية عن طريق إرسال حزم مشوهة عمدًا إلى المضيفين ، مما يجعلها تتفاعل بطريقة معينة. يمكن لأنظمة الكشف عن اختراق الشبكة اكتشاف هذه بسهولة.

قد يجادل البعض بأن NIDS أفضل من HIDS لأنها تكتشف الهجمات حتى قبل أن تصل إلى أجهزة الكمبيوتر الخاصة بك. كما أنها أفضل لأنها لا تتطلب تثبيت أي شيء على كل جهاز كمبيوتر لحمايتها بشكل فعال. من ناحية أخرى ، فإنها توفر القليل من الحماية ضد الهجمات الداخلية التي للأسف ليست غير شائعة على الإطلاق. هذه حالة أخرى حيث تأتي أفضل حماية من استخدام مزيج من كلا النوعين من الأدوات.

كشف التسلل مقابل الوقاية

هناك نوعان مختلفان من الأدوات في عالم الحماية من التطفل: أنظمة كشف التسلل وأنظمة منع التطفل. على الرغم من أنها تخدم غرضًا مختلفًا ، إلا أنه غالبًا ما يكون هناك بعض التداخل بين نوعي الأدوات. كما يوحي اسمه ، فإن كشف التسلل سيكشف محاولات التسلل والأنشطة المشبوهة بشكل عام. عندما يحدث ذلك ، فإنه عادة ما يطلق نوعًا من التنبيه أو الإخطار. بعد ذلك ، يعود الأمر إلى المسؤول لاتخاذ الخطوات اللازمة لإيقاف هذه المحاولة أو منعها.

من ناحية أخرى ، تعمل أنظمة منع التطفل على منع حدوث الاختراقات تمامًا. ستتضمن معظم أنظمة منع التطفل مكونًا للكشف الذي سيطلق بعض الإجراءات كلما تم اكتشاف محاولات اقتحام. لكن منع التطفل يمكن أن يكون سلبيًا أيضًا. يمكن استخدام المصطلح للإشارة إلى أي خطوات يتم وضعها لمنع التدخلات. يمكننا التفكير في إجراءات مثل تقوية كلمة المرور ، على سبيل المثال.

أفضل أدوات كشف التسلل المجانية

يمكن أن تكون أنظمة الكشف عن التسلل باهظة الثمن ومكلفة للغاية. لحسن الحظ ، هناك عدد غير قليل من البدائل المجانية المتاحة. لقد بحثنا في الإنترنت عن بعض أفضل أدوات برامج الكشف عن التسلل. لقد وجدنا عددًا غير قليل ونحن على وشك مراجعة أفضل عشرة يمكن أن نجدها بإيجاز.

1. OSSEC

يعد OSSEC ، الذي يرمز إلى Open Source Security ، إلى حد بعيد النظام الرائد للكشف عن اختراق المضيف مفتوح المصدر. OSSEC مملوكة لشركة Trend Micro ، أحد الأسماء الرائدة في مجال أمن تكنولوجيا المعلومات. يركز البرنامج ، عند تثبيته على أنظمة تشغيل شبيهة بـ Unix ، بشكل أساسي على ملفات السجل والتكوين. يقوم بإنشاء مجاميع اختبارية للملفات المهمة والتحقق من صحتها بشكل دوري ، لتنبيهك في حالة حدوث شيء غريب. سيقوم أيضًا بمراقبة أي محاولات غريبة للوصول إلى الجذر والتقاطها. في نظام Windows ، يراقب النظام أيضًا تعديلات التسجيل غير المصرح بها.

OSSEC ، نظرًا لكونه نظامًا لاكتشاف التسلل المضيف ، يجب تثبيته على كل جهاز كمبيوتر تريد حمايته. ومع ذلك ، فإنه يقوم بدمج المعلومات من كل كمبيوتر محمي في وحدة تحكم واحدة لتسهيل الإدارة. يعمل البرنامج فقط على أنظمة تشبه Unix ولكن يتوفر وكيل لحماية مضيفي Windows. عندما يكتشف النظام شيئًا ما ، يتم عرض تنبيه على وحدة التحكم ويتم إرسال الإشعارات عبر البريد الإلكتروني.

2. Snort

تمامًا مثل OSSEC كان أفضل HIDS مفتوح المصدر ، Snort هو NIDS مفتوح المصدر الرائد. Snort هو في الواقع أكثر من مجرد أداة للكشف عن التسلل. إنه أيضًا برنامج شم للحزم ومسجل حزم. ولكن ما يهمنا الآن هو ميزات الكشف عن التسلل في Snort. يشبه إلى حد ما جدار الحماية ، يتم تكوين Snort باستخدام القواعد. يمكن تنزيل القواعد الأساسية من موقع Snort الإلكتروني وتخصيصها وفقًا لاحتياجاتك الخاصة. يمكنك أيضًا الاشتراك في قواعد Snort لضمان حصولك دائمًا على أحدث القواعد أثناء تطورها مع تحديد التهديدات الجديدة.

يمكن لقواعد Snort الأساسية اكتشاف مجموعة متنوعة من الأحداث مثل عمليات فحص المنافذ الخفية وهجمات تجاوز سعة المخزن المؤقت وهجمات CGI وتحقيقات SMB وبصمات نظام التشغيل. ما يكتشفه تثبيت Snort يعتمد فقط على القواعد التي قمت بتثبيتها. بعض القواعد الأساسية المقدمة تعتمد على التوقيع بينما البعض الآخر يعتمد على الشذوذ. يمكن أن يمنحك استخدام Snort أفضل ما في العالمين

3. Suricata

تعلن Suricata عن نفسها كنظام للكشف عن التسلل والوقاية منه وكنظام بيئي كامل لمراقبة أمن الشبكة. واحدة من أفضل مزايا هذه الأداة على Snort هي أنها تعمل على طول الطريق حتى طبقة التطبيق. يتيح ذلك للأداة اكتشاف التهديدات التي قد تمر دون أن يلاحظها أحد في الأدوات الأخرى من خلال تقسيمها على عدة حزم.

لكن Suricata لا يعمل فقط في طبقة التطبيق. كما أنه سيراقب بروتوكول المستوى الأدنى مثل TLS و ICMP و TCP و UDP. تتعرف الأداة أيضًا على البروتوكولات مثل HTTP أو FTP أو SMB ويمكنها اكتشاف محاولات التطفل المخفية في الطلبات العادية بخلاف ذلك. هناك أيضًا إمكانية لاستخراج الملفات للسماح للمسؤولين بفحص الملفات المشبوهة بأنفسهم.

من الناحية المعمارية ، تم تصميم Suricata بشكل جيد للغاية وسيقوم بتوزيع عبء العمل على العديد من نوى المعالج وخيوط المعالجة للحصول على أفضل أداء. يمكنه حتى تفريغ بعض عمليات المعالجة الخاصة به على بطاقة الرسومات. هذه ميزة رائعة على الخوادم نظرًا لأن بطاقة الرسومات الخاصة بهم تتباطأ في الغالب.

4. مراقبة أمن شبكة إخوانه

التالي في قائمتنا هو منتج يسمى Bro Network Security Monitor ، وهو نظام مجاني آخر لاكتشاف اختراق الشبكة. يعمل Bro على مرحلتين: تسجيل حركة المرور وتحليلها. مثل Suricata ، يعمل Bro في طبقة التطبيق ، مما يسمح باكتشاف أفضل لمحاولات التسلل الانقسام. يبدو أن كل شيء يأتي في أزواج مع Bro وتتكون وحدة التحليل الخاصة به من عنصرين. الأول هو محرك الحدث الذي يتتبع أحداث التشغيل مثل اتصالات صافي TCP أو طلبات HTTP. يتم بعد ذلك تحليل الأحداث بشكل أكبر من خلال البرامج النصية للسياسة التي تقرر ما إذا كان سيتم تشغيل تنبيه أم لا وإطلاق إجراء ، مما يجعل Bro منعًا للتطفل بالإضافة إلى نظام الكشف.

سيسمح لك Bro بتتبع نشاط HTTP و DNS و FTP بالإضافة إلى مراقبة حركة مرور SNMP. يعد هذا أمرًا جيدًا لأنه على الرغم من استخدام SNMP غالبًا لمراقبة الشبكة ، إلا أنه ليس بروتوكولًا آمنًا. يتيح لك Bro أيضًا مشاهدة تغييرات تكوين الجهاز و SNMP Traps. يمكن تثبيت Bro على Unix و Linux و OS X ولكنه غير متوفر لنظام التشغيل Windows ، وربما يكون عيبه الرئيسي.

5.  افتح WIPS NG

تم وضع Open WIPS NG في قائمتنا بشكل أساسي لأنه الوحيد الذي يستهدف الشبكات اللاسلكية على وجه التحديد. Open WIPS NG - حيث يرمز WIPS إلى نظام منع التطفل اللاسلكي - هي أداة مفتوحة المصدر تتكون من ثلاثة مكونات رئيسية. أولاً ، هناك جهاز الاستشعار وهو جهاز أخرس يلتقط فقط حركة المرور اللاسلكية ويرسلها إلى الخادم لتحليلها. التالي هو الخادم. يقوم هذا الجهاز بتجميع البيانات من جميع أجهزة الاستشعار ، وتحليل البيانات التي تم جمعها والاستجابة للهجمات. إنه قلب النظام. أخيرًا وليس آخرًا ، مكون الواجهة وهو واجهة المستخدم الرسومية التي تستخدمها لإدارة الخادم وعرض معلومات حول التهديدات على شبكتك اللاسلكية.

لا يحب الجميع Open WIPS NG. المنتج إذا كان من نفس مطور Aircrack NG عبارة عن متلصص للحزم اللاسلكية وكلمة مرور للتكسير وهو جزء من مجموعة أدوات كل متسلل WiFi. من ناحية أخرى ، نظرًا لخلفيته ، يمكننا أن نفترض أن المطور يعرف الكثير عن أمان Wi-Fi.

6.  Samhain

Samhain هو نظام مجاني للكشف عن التسلل للمضيف يوفر فحصًا لسلامة الملفات ومراقبة / تحليل ملف السجل. بالإضافة إلى ذلك ، يقوم المنتج أيضًا باكتشاف الجذور الخفية ، ومراقبة المنفذ ، والكشف عن الملفات التنفيذية لـ SUID المارقة ، والعمليات المخفية. تم تصميم هذه الأداة لمراقبة أنظمة متعددة مع أنظمة تشغيل مختلفة مع التسجيل المركزي والصيانة. ومع ذلك ، يمكن أيضًا استخدام Samhain كتطبيق مستقل على جهاز كمبيوتر واحد. يمكن تشغيل Samhain على أنظمة POSIX مثل Unix Linux أو OS X. ويمكن أيضًا تشغيله على Windows ضمن Cygwin على الرغم من أنه تم اختبار وكيل المراقبة فقط وليس الخادم في هذا التكوين.

واحدة من أكثر ميزات Samhain الفريدة هي وضع التخفي الذي يسمح لها بالعمل دون أن يكتشفها المهاجمون في نهاية المطاف. غالبًا ما يقتل المتسللون عمليات الكشف التي يتعرفون عليها ، مما يسمح لهم بالمرور دون أن يلاحظها أحد. يستخدم Samhain علم إخفاء المعلومات لإخفاء عملياته عن الآخرين. كما أنه يحمي ملفات السجل المركزية ونسخ التكوين الاحتياطية باستخدام مفتاح PGP لمنع العبث.

7.  Fail2Ban

Fail2Ban هو نظام اكتشاف اختراق مضيف مجاني مثير للاهتمام ولديه أيضًا بعض ميزات الوقاية. تعمل هذه الأداة من خلال مراقبة ملفات السجل بحثًا عن الأحداث المشبوهة مثل محاولات تسجيل الدخول الفاشلة واستغلال محاولات الاستغلال وما إلى ذلك. عندما تكتشف شيئًا مريبًا ، تقوم تلقائيًا بتحديث قواعد جدار الحماية المحلي لحظر عنوان IP المصدر للسلوك الضار. هذا هو الإجراء الافتراضي للأداة ولكن يمكن تكوين أي إجراء تعسفي آخر - مثل إرسال إشعارات البريد الإلكتروني -.

يأتي النظام مزودًا بالعديد من المرشحات المعدة مسبقًا لبعض الخدمات الأكثر شيوعًا مثل Apache و Courrier و SSH و FTP و Postfix وغيرها الكثير. يتم تنفيذ المنع عن طريق تعديل جداول جدار الحماية الخاص بالمضيف. يمكن أن تعمل الأداة مع Netfilter أو IPtables أو جدول hosts.deny الخاص بـ TCP Wrapper. يمكن ربط كل مرشح بإجراء واحد أو أكثر. يُشار إلى الفلاتر والإجراءات معًا باسم السجن.

8. مساعد

AIDE هو اختصار لبيئة اكتشاف التسلل المتقدمة. يركز نظام الكشف عن اقتحام المضيف المجاني بشكل أساسي على اكتشاف الجذور الخفية ومقارنات توقيع الملف. عند تثبيت AIDE في البداية ، سيقوم بتجميع قاعدة بيانات لبيانات المسؤول من ملفات تكوين النظام. ثم يتم استخدام هذا كخط أساس يمكن مقارنة أي تغيير به والتراجع عنه في النهاية إذا لزم الأمر.

يستخدم AIDE كلاً من التحليل المستند إلى التوقيع والقائم على الانحراف والذي يتم تشغيله عند الطلب ولا يتم جدولته أو تشغيله باستمرار ، وهذا في الواقع هو العيب الرئيسي لهذا المنتج. ومع ذلك ، فإن AIDE هي أداة سطر أوامر ويمكن إنشاء وظيفة CRON لتشغيلها على فترات منتظمة. وإذا قمت بتشغيله بشكل متكرر - مثل كل دقيقة أو نحو ذلك - فستحصل على بيانات شبه في الوقت الفعلي. في جوهره ، AIDE ليس سوى أداة مقارنة البيانات. يجب إنشاء نصوص خارجية لجعلها HIDS حقيقية.

9.  أمن البصل

Security Onion هو وحش مثير للاهتمام يمكنه توفير الكثير من الوقت. هذا ليس مجرد نظام للكشف عن التسلل أو منعه. Security Onion هو توزيعة Linux كاملة مع التركيز على كشف التسلل ومراقبة أمان المؤسسة وإدارة السجلات. يتضمن العديد من الأدوات ، قمنا بمراجعة بعضها للتو. على سبيل المثال ، يحتوي Security Onion على Elasticsearch و Logstash و Kibana و Snort و Suricata و Bro و OSSEC و Sguil و Squert و NetworkMiner والمزيد. كل هذا مرفق مع معالج إعداد سهل الاستخدام ، مما يسمح لك بحماية مؤسستك في غضون دقائق. يمكنك التفكير في Security Onion باعتباره سكين الجيش السويسري لأمن تكنولوجيا المعلومات للمؤسسات.

الشيء الأكثر إثارة للاهتمام في هذه الأداة هو أنك تحصل على كل شيء في تثبيت واحد بسيط. وتحصل على كل من أدوات كشف التسلل للشبكة والمضيف. هناك أدوات تستخدم نهجًا قائمًا على التوقيع وبعضها يعتمد على الشذوذ. يتميز التوزيع أيضًا بمزيج من الأدوات المستندة إلى النصوص وواجهة المستخدم الرسومية. هناك حقًا مزيج ممتاز من كل شيء. العيب ، بالطبع ، هو أنك تحصل على الكثير مما قد يستغرق بعض الوقت لتكوينه جميعًا. لكن ليس عليك استخدام جميع الأدوات. يمكنك اختيار فقط من تفضلهم.

10. ساجان

يعد Sagan في الواقع نظامًا لتحليل السجل أكثر من كونه IDS حقيقيًا ولكنه يحتوي على بعض الميزات المشابهة لـ IDS التي اعتقدنا أنها تبرر إدراجه في قائمتنا. يمكن لهذه الأداة مشاهدة السجلات المحلية للنظام حيث تم تثبيتها ولكن يمكنها أيضًا التفاعل مع الأدوات الأخرى. يمكنه ، على سبيل المثال ، تحليل سجلات Snort ، وإضافة بعض وظائف NIDS إلى ما هو أساسًا HIDS. ولن يتفاعل فقط مع Snort. يمكن أن يتفاعل مع Suricata أيضًا وهو متوافق مع العديد من أدوات بناء القواعد مثل Oinkmaster أو Pulled Pork.

يتمتع Sagan أيضًا بإمكانيات تنفيذ البرنامج النصي مما يجعله نظامًا بسيطًا لمنع التسلل. قد لا يتم استخدام هذه الأداة على الأرجح كدفاع وحيد ضد التطفل ، ولكنها ستكون مكونًا رائعًا لنظام يمكنه دمج العديد من الأدوات من خلال ربط الأحداث من مصادر مختلفة.

استنتاج

تعد أنظمة الكشف عن التطفل مجرد واحدة من العديد من الأدوات المتاحة لمساعدة مسؤولي الشبكة والنظام في ضمان التشغيل الأمثل لبيئتهم. أي من الأدوات التي تمت مناقشتها هنا ممتازة ولكن لكل منها غرض مختلف قليلاً. الشخص الذي ستختاره سيعتمد إلى حد كبير على التفضيل الشخصي والاحتياجات المحددة.