Jeder möchte Eindringlinge von seinem Haus fernhalten. Ebenso - und aus ähnlichen Gründen - bemühen sich Netzwerkadministratoren, Eindringlinge aus den von ihnen verwalteten Netzwerken fernzuhalten. Einer der wichtigsten Vermögenswerte vieler Unternehmen von heute sind ihre Daten. Es ist so wichtig, dass viele Personen mit schlechten Absichten große Anstrengungen unternehmen, um diese Daten zu stehlen. Sie tun dies, indem sie eine Vielzahl von Techniken einsetzen, um sich unbefugten Zugriff auf Netzwerke und Systeme zu verschaffen. Die Zahl solcher Angriffe scheint in letzter Zeit exponentiell angestiegen zu sein, und als Reaktion darauf werden Systeme eingerichtet, um sie zu verhindern. Diese Systeme werden Intrusion Prevention Systems oder IPS genannt. Heute werfen wir einen Blick auf die besten Intrusion-Prevention-Systeme, die wir finden konnten.
Wir beginnen damit, dass wir versuchen, besser zu definieren, was Intrusion Prevention ist. Dazu gehört natürlich auch, dass wir definieren, was Einbruch ist. Wir werden dann die verschiedenen Erkennungsmethoden untersuchen, die normalerweise verwendet werden, und welche Korrekturmaßnahmen bei der Erkennung ergriffen werden. Dann werden wir kurz über passive Intrusion Prevention sprechen. Es handelt sich um statische Maßnahmen, die ergriffen werden können, um die Zahl der Einbruchsversuche drastisch zu reduzieren. Sie werden überrascht sein, dass einige davon nichts mit Computern zu tun haben. Nur dann, wenn wir alle auf derselben Seite sind, können wir endlich einige der besten Intrusions-Prevention-Systeme überprüfen, die wir finden konnten.
Intrusion Prevention – Worum geht es?
Vor Jahren waren Viren so ziemlich die einzige Sorge von Systemadministratoren. Viren erreichten einen Punkt, an dem sie so weit verbreitet waren, dass die Industrie mit der Entwicklung von Virenschutztools reagierte. Heute würde kein ernsthafter Benutzer bei klarem Verstand daran denken, einen Computer ohne Virenschutz zu betreiben. Obwohl wir nicht mehr viel von Viren hören, ist das Eindringen – oder der unbefugte Zugriff auf Ihre Daten durch böswillige Benutzer – die neue Bedrohung. Da Daten oft das wichtigste Kapital eines Unternehmens sind, sind Unternehmensnetzwerke zum Ziel böswilliger Hacker geworden, die große Anstrengungen unternehmen, um Zugang zu den Daten zu erhalten. So wie Virenschutzsoftware die Antwort auf die Verbreitung von Viren war, ist Intrusion Prevention Systems die Antwort auf Eindringlingsangriffe.
Intrusion Prevention-Systeme machen im Wesentlichen zwei Dinge. Erstens erkennen sie Einbruchsversuche, und wenn sie verdächtige Aktivitäten entdecken, wenden sie verschiedene Methoden an, um diese zu stoppen oder zu blockieren. Es gibt zwei verschiedene Möglichkeiten, Eindringversuche zu erkennen. Die signaturbasierte Erkennung funktioniert, indem sie den Netzwerkverkehr und die Daten analysiert und nach bestimmten Mustern sucht, die mit Einbruchsversuchen verbunden sind. Dies ist vergleichbar mit herkömmlichen Virenschutzsystemen, die auf Virendefinitionen beruhen. Die signaturbasierte Intrusion Detection basiert auf Intrusionssignaturen oder -mustern. Der Hauptnachteil dieser Erkennungsmethode besteht darin, dass die richtigen Signaturen in die Software geladen werden müssen. Und bei einer neuen Angriffsmethode dauert es normalerweise eine Weile, bis die Angriffssignaturen aktualisiert werden. Einige Anbieter liefern sehr schnell aktualisierte Angriffssignaturen, während andere viel langsamer sind. Wie oft und wie schnell Signaturen aktualisiert werden, ist ein wichtiger Faktor bei der Auswahl eines Anbieters.
Die auf Anomalie basierende Erkennung bietet einen besseren Schutz vor Zero-Day-Angriffen, die auftreten, bevor Erkennungssignaturen aktualisiert werden konnten. Der Prozess sucht nach Anomalien, anstatt zu versuchen, bekannte Eindringmuster zu erkennen. Es würde beispielsweise ausgelöst, wenn jemand mehrmals hintereinander versucht, mit einem falschen Passwort auf ein System zuzugreifen, ein häufiges Zeichen für einen Brute-Force-Angriff. Dies ist nur ein Beispiel und es gibt normalerweise Hunderte verschiedener verdächtiger Aktivitäten, die diese Systeme auslösen können. Beide Nachweisverfahren haben ihre Vor- und Nachteile. Die besten Tools sind diejenigen, die eine Kombination aus Signatur- und Verhaltensanalyse für den besten Schutz verwenden.
Das Erkennen von Eindringversuchen ist einer der ersten Schritte, um sie zu verhindern. Nach der Erkennung arbeiten Intrusion Prevention-Systeme aktiv daran, die erkannten Aktivitäten zu stoppen. Durch diese Systeme können mehrere verschiedene Abhilfemaßnahmen durchgeführt werden. Sie könnten beispielsweise Benutzerkonten sperren oder anderweitig deaktivieren. Eine weitere typische Aktion ist das Blockieren der Quell-IP-Adresse des Angriffs oder das Ändern von Firewall-Regeln. Wenn die böswillige Aktivität von einem bestimmten Prozess ausgeht, könnte das Präventionssystem den Prozess beenden. Das Starten eines Schutzprozesses ist eine weitere übliche Reaktion, und im schlimmsten Fall können ganze Systeme heruntergefahren werden, um potenzielle Schäden zu begrenzen. Eine weitere wichtige Aufgabe von Intrusion-Prevention-Systemen besteht darin, Administratoren zu alarmieren, das Ereignis aufzuzeichnen und verdächtige Aktivitäten zu melden.
Passive Intrusion Prevention-Maßnahmen
Obwohl Intrusion-Prevention-Systeme Sie vor zahlreichen Angriffsarten schützen können, geht nichts über gute, altmodische passive Intrusion-Prevention-Maßnahmen. Die Vorgabe starker Passwörter ist beispielsweise eine hervorragende Möglichkeit, sich vor vielen Eindringlingen zu schützen. Eine weitere einfache Schutzmaßnahme besteht darin, die Standardkennwörter für Geräte zu ändern. Während es in Firmennetzwerken weniger häufig vorkommt – obwohl es nicht ungewöhnlich ist – habe ich nur zu oft Internet-Gateways gesehen, die noch ihr standardmäßiges Admin-Passwort hatten. Apropos Passwörter: Passwortalterung ist ein weiterer konkreter Schritt, der zur Reduzierung von Eindringversuchen eingesetzt werden kann. Jedes Passwort, auch das beste, kann irgendwann geknackt werden, wenn man genügend Zeit hat. Die Passwortalterung stellt sicher, dass Passwörter geändert werden, bevor sie geknackt wurden.
Es gab nur Beispiele dafür, was getan werden könnte, um Eindringlinge passiv zu verhindern. Wir könnten einen ganzen Beitrag darüber schreiben, welche passiven Maßnahmen ergriffen werden können, aber das ist heute nicht unser Ziel. Unser Ziel ist es stattdessen, einige der besten aktiven Intrusion Prevention-Systeme vorzustellen.
Die besten Intrusion Prevention-Systeme
Unsere Liste enthält eine Mischung verschiedener Tools, mit denen Sie sich vor Eindringversuchen schützen können. Die meisten der enthaltenen Tools sind echte Intrusion Prevention-Systeme, aber wir enthalten auch Tools, die zwar nicht als solche vermarktet werden, aber zur Verhinderung von Eindringlingen verwendet werden können. Unser erster Eintrag ist ein solches Beispiel. Denken Sie daran, dass sich Ihre Wahl des zu verwendenden Tools vor allem an Ihren spezifischen Bedürfnissen orientieren sollte. Sehen wir uns also an, was jedes unserer Top-Tools zu bieten hat.
1. SolarWinds Log & Event Manager (KOSTENLOSE TESTVERSION)
SolarWinds ist ein bekannter Name in der Netzwerkadministration. Es genießt einen guten Ruf als Hersteller einiger der besten Tools zur Netzwerk- und Systemverwaltung. Sein Flaggschiffprodukt, der Network Performance Monitor, punktet durchweg unter den besten verfügbaren Tools zur Überwachung der Netzwerkbandbreite. SolarWinds ist auch für seine vielen kostenlosen Tools bekannt, von denen jedes einen spezifischen Bedarf von Netzwerkadministratoren adressiert. Der Kiwi Syslog Server oder der SolarWinds TFTP Server sind zwei hervorragende Beispiele für diese kostenlosen Tools.
Lassen Sie sich nicht vom Namen des SolarWinds Log & Event Manager täuschen. Es steckt viel mehr dahinter, als man auf den ersten Blick sieht. Einige der erweiterten Funktionen dieses Produkts qualifizieren es als Intrusion Detection and Prevention-System, während andere es in den Bereich Security Information and Event Management (SIEM) einordnen. Das Tool bietet beispielsweise Echtzeit-Ereigniskorrelation und Echtzeit-Korrektur.
Der SolarWinds Log & Event Manager bietet die sofortige Erkennung verdächtiger Aktivitäten (eine Intrusion Detection-Funktion) und automatisierte Reaktionen (eine Intrusion Prevention-Funktion). Dieses Tool kann auch verwendet werden, um Sicherheitsereignisuntersuchungen und Forensik durchzuführen. Es kann für Minderungs- und Compliance-Zwecke verwendet werden. Das Tool bietet eine auditerprobte Berichterstattung, mit der auch die Einhaltung verschiedener regulatorischer Rahmenbedingungen wie HIPAA, PCI-DSS und SOX nachgewiesen werden kann. Das Tool verfügt auch über eine Überwachung der Dateiintegrität und eine Überwachung von USB-Geräten. Alle fortschrittlichen Funktionen der Software machen sie eher zu einer integrierten Sicherheitsplattform als nur zu dem Protokoll- und Ereignisverwaltungssystem, das ihr Name vermuten lässt.
Die Intrusion Prevention-Funktionen des SolarWinds Log & Event Manager implementieren Aktionen, die als aktive Reaktionen bezeichnet werden, wenn Bedrohungen erkannt werden. Verschiedene Antworten können mit bestimmten Warnungen verknüpft werden. Das System kann beispielsweise in Firewall-Tabellen schreiben, um den Netzwerkzugriff einer Quell-IP-Adresse zu blockieren, die als verdächtige Aktivitäten identifiziert wurde. Das Tool kann auch Benutzerkonten sperren, Prozesse stoppen oder starten und Systeme herunterfahren. Sie werden sich erinnern, dass dies genau die Behebungsmaßnahmen sind, die wir zuvor identifiziert haben.
Die Preise für den SolarWinds Log & Event Manager variieren je nach Anzahl der überwachten Knoten. Die Preise beginnen bei 4.585 US-Dollar für bis zu 30 überwachte Knoten und es können Lizenzen für bis zu 2500 Knoten erworben werden, wodurch das Produkt hochgradig skalierbar ist. Wenn Sie das Produkt für einen Testlauf testen und selbst sehen möchten, ob es das Richtige für Sie ist, steht Ihnen eine kostenlose 30-Tage-Testversion mit vollem Funktionsumfang zur Verfügung .
2. Splunk
Splunk ist wahrscheinlich eines der beliebtesten Intrusion Prevention-Systeme. Es ist in verschiedenen Editionen mit unterschiedlichen Funktionen erhältlich. Splunk Enterprise Security – oder Splunk ES , wie es oft genannt wird – ist das, was Sie für einen echten Intrusion Prevention benötigen. Die Software überwacht die Daten Ihres Systems in Echtzeit und sucht nach Schwachstellen und Anzeichen für ungewöhnliche Aktivitäten.
Security Response ist eine der Stärken des Produkts und macht es zu einem Intrusion Prevention System. Es verwendet das, was der Hersteller als Adaptive Response Framework (ARF) bezeichnet. Es lässt sich in Geräte von mehr als 55 Sicherheitsanbietern integrieren und kann automatisierte Reaktionen ausführen, wodurch manuelle Aufgaben beschleunigt werden. Diese Kombination aus automatisierter Behebung und manuellem Eingreifen bietet Ihnen die besten Chancen, schnell die Oberhand zu gewinnen. Das Tool verfügt über eine einfache und übersichtliche Benutzeroberfläche, die für eine erfolgreiche Lösung sorgt. Weitere interessante Schutzfunktionen sind die „Notables“-Funktion, die vom Benutzer anpassbare Warnungen anzeigt, und der „Asset Investigator“, um bösartige Aktivitäten zu erkennen und weitere Probleme zu verhindern.
Die Preisinformationen von Splunk Enterprise Security sind nicht ohne weiteres verfügbar. Sie müssen sich an den Vertrieb von Splunk wenden, um ein detailliertes Angebot zu erhalten. Dies ist ein großartiges Produkt, für das eine kostenlose Testversion verfügbar ist.
3. Sagan
Sagan ist im Grunde ein kostenloses Intrusion Detection System. Das Tool mit Skriptausführungsfunktionen kann es jedoch in die Kategorie Intrusion Prevention Systems einordnen. Sagan erkennt Einbruchsversuche durch die Überwachung von Protokolldateien. Sie können Sagan auch mit Snort kombinieren, das seine Ausgabe an Sagan weitergeben kann und dem Tool einige netzwerkbasierte Intrusion Detection-Funktionen verleiht. Tatsächlich kann Sagan Input von vielen anderen Tools wie Bro oder Suricata erhalten und die Fähigkeiten mehrerer Tools für den bestmöglichen Schutz kombinieren.
Die Skriptausführungsfunktionen von Sagan haben jedoch einen Haken . Sie müssen die Korrekturskripte schreiben. Obwohl dieses Tool möglicherweise nicht am besten als alleiniger Schutz vor Eindringlingen verwendet wird, kann es eine Schlüsselkomponente eines Systems sein, das mehrere Tools durch Korrelation von Ereignissen aus verschiedenen Quellen enthält, wodurch Sie das Beste aus vielen Produkten erhalten.
Während Sagan nur auf Linux, Unix und Mac OS installiert werden kann, kann es eine Verbindung zu Windows-Systemen herstellen, um deren Ereignisse abzurufen. Andere interessante Funktionen von Sagan sind die Verfolgung des IP-Adressenstandorts und die verteilte Verarbeitung.
4. OSSEC
Open Source Security oder OSSEC ist eines der führenden Open-Source-Host-basierten Intrusion Detection- Systeme . Wir nehmen es aus zwei Gründen in unsere Liste auf. Seine Popularität ist so groß, dass wir es einschließen mussten, insbesondere wenn man bedenkt, dass Sie mit dem Tool Aktionen festlegen können, die automatisch ausgeführt werden, wenn bestimmte Warnungen ausgelöst werden, was ihm einige Intrusion Prevention-Funktionen verleiht. OSSEC gehört Trend Micro, einem der führenden Namen im Bereich IT-Sicherheit und Hersteller einer der besten Virenschutz-Suiten.
Bei Installation auf Unix-ähnlichen Betriebssystemen konzentriert sich die Erkennungs-Engine der Software hauptsächlich auf Protokoll- und Konfigurationsdateien. Es erstellt Prüfsummen wichtiger Dateien und überprüft sie regelmäßig, um Sie zu warnen oder eine Abhilfemaßnahme auszulösen, wenn etwas Seltsames passiert. Es überwacht und alarmiert auch jeden anormalen Versuch, Root-Zugriff zu erhalten. Unter Windows hält das System auch nach unbefugten Registrierungsänderungen Ausschau, da diese ein verräterisches Zeichen für böswillige Aktivitäten sein könnten. Jede Erkennung löst eine Warnung aus, die auf der zentralen Konsole angezeigt wird, während Benachrichtigungen auch per E-Mail gesendet werden.
OSSEC ist ein hostbasiertes Intrusion Protection-System. Daher muss es auf jedem Computer installiert werden, den Sie schützen möchten. Eine zentralisierte Konsole konsolidiert jedoch Informationen von jedem geschützten Computer für eine einfachere Verwaltung. Die OSSEC- Konsole läuft nur auf Unix- ähnlichen Betriebssystemen, aber ein Agent ist verfügbar, um Windows-Hosts zu schützen. Alternativ können auch andere Tools wie Kibana oder Graylog als Frontend des Tools verwendet werden.
5. Öffnen Sie WIPS-NG
Wir waren uns nicht sicher, ob wir Open WIPS NG in unsere Liste aufnehmen sollten. Mehr dazu gleich. Es hat es hauptsächlich deshalb geschafft, weil es eines der wenigen Produkte ist, das speziell auf drahtlose Netzwerke abzielt. Öffnen Sie WIPS NG–wobei WIPS für Wireless Intrusion Prevention System steht – ist ein Open-Source-Tool, das aus drei Hauptkomponenten besteht. Da ist zunächst der Sensor. Dies ist ein dummer Prozess, der einfach den drahtlosen Datenverkehr erfasst und zur Analyse an den Server sendet. Wie Sie wahrscheinlich schon vermutet haben, ist die nächste Komponente der Server. Es aggregiert Daten aller Sensoren, analysiert die gesammelten Daten und reagiert auf Angriffe. Diese Komponente ist das Herzstück des Systems. Last but not least ist die Schnittstellenkomponente die GUI, die Sie verwenden, um den Server zu verwalten und Informationen über Bedrohungen in Ihrem drahtlosen Netzwerk anzuzeigen.
Der Hauptgrund, warum wir gezögert haben, Open WIPS NG in unsere Liste aufzunehmen, war, dass, so gut es auch ist, nicht jeder den Entwickler des Produkts mag. Es ist vom gleichen Entwickler wie Aircrack NG, ein drahtloser Paket-Sniffer und Passwort-Cracker, der Teil des Toolkits jedes WiFi-Hackers ist. Dies eröffnet die Debatte über die Ethik der Entwickler und macht einige Benutzer misstrauisch. Andererseits kann der Hintergrund des Entwicklers als Beweis für sein tiefes Wissen über Wi-Fi-Sicherheit gewertet werden.
6. Fail2Ban
Fail2Ban ist ein relativ beliebtes kostenloses Host-Intrusion-Detection-System mit Intrusion-Prevention-Funktionen. Die Software überwacht die Systemprotokolldateien auf verdächtige Ereignisse wie fehlgeschlagene Anmeldeversuche oder die Suche nach Exploits. Wenn das System etwas Verdächtiges erkennt, reagiert es, indem es die lokalen Firewall-Regeln automatisch aktualisiert, um die Quell-IP-Adresse des schädlichen Verhaltens zu blockieren. Dies impliziert natürlich, dass ein Firewall-Prozess auf dem lokalen Computer ausgeführt wird. Dies ist der Hauptnachteil des Tools. Es können jedoch auch andere beliebige Aktionen konfiguriert werden, beispielsweise das Ausführen eines Abhilfeskripts oder das Senden von E-Mail-Benachrichtigungen.
Fail2Ban wird mit mehreren vorgefertigten Erkennungstriggern, sogenannten Filtern, geliefert, die einige der gängigsten Dienste wie Apache, Courrier, SSH, FTP, Postfix und viele mehr abdecken. Wie bereits erwähnt, werden Korrekturmaßnahmen durch Ändern der Firewall-Tabellen des Hosts durchgeführt. Fail2Ban unterstützt Netfilter, IPtables oder die hosts.deny-Tabelle von TCP Wrapper. Jeder Filter kann mit einer oder mehreren Aktionen verknüpft werden. Zusammen werden Filter und Aktionen als Jail bezeichnet.
7. Bro Netzwerksicherheitsmonitor
Der Bro Network Security Monitor ist ein weiteres kostenloses Netzwerk-Intrusion-Detection-System mit IPS-ähnlicher Funktionalität. Es funktioniert in zwei Phasen, es protokolliert zuerst den Verkehr und analysiert ihn dann. Dieses Tool arbeitet auf mehreren Ebenen bis zur Anwendungsebene, was eine bessere Erkennung von geteilten Einbruchsversuchen ermöglicht. Das Analysemodul des Produkts besteht aus zwei Elementen. Das erste Element wird als Event Engine bezeichnet und verfolgt den Zweck, auslösende Ereignisse wie TCP-Verbindungen oder HTTP-Anforderungen zu verfolgen. Die Ereignisse werden dann von Policy Scripts, dem zweiten Element, analysiert. Die Aufgabe der Richtlinienskripte besteht darin, zu entscheiden, ob ein Alarm ausgelöst, eine Aktion gestartet oder das Ereignis ignoriert wird. Es ist die Möglichkeit, eine Aktion zu starten, die dem Bro Network Security Monitor seine IPS-Funktionalität verleiht .
Der Bro Network Security Monitor hat einige Einschränkungen. Es verfolgt nur HTTP-, DNS- und FTP-Aktivitäten und überwacht auch den SNMP-Verkehr. Dies ist jedoch auch gut so, denn trotz seiner gravierenden Sicherheitslücken wird SNMP häufig für die Netzwerküberwachung verwendet. SNMP hat kaum integrierte Sicherheit und verwendet unverschlüsselten Datenverkehr. Und da das Protokoll verwendet werden kann, um Konfigurationen zu ändern, könnte es leicht von böswilligen Benutzern ausgenutzt werden. Das Produkt behält auch Änderungen an der Gerätekonfiguration und SNMP-Traps im Auge. Es kann unter Unix, Linux und OS X installiert werden, ist jedoch nicht für Windows verfügbar, was vielleicht der größte Nachteil ist. Ansonsten ist dies ein sehr interessantes Tool, das es wert ist, ausprobiert zu werden.
Ping-Sweeps können auf viele Arten zu Ihrem Vorteil genutzt werden. Lesen Sie weiter, während wir besprechen, wie das geht, und die 10 besten Ping-Sweep-Tools vorstellen, die Sie finden können.
Websites sind wichtig und müssen ständig genau auf ihre angemessene Leistung überwacht werden. Hier sind einige der besten Tools zur Überwachung von Websites.
Der Markt für Netzwerkmanagement-Software ist sehr überfüllt. Verkürzen Sie Ihre Suche, indem Sie unseren Empfehlungen der besten Netzwerkverwaltungstools folgen.
Hier sehen Sie einige der besten Softwarebereitstellungstools, die Ihnen die Verwaltung einer beliebigen Anzahl von Maschinen erleichtern
Wenn Sie in der Gesundheitsbranche tätig sind oder irgendwie mit der IT in dieser Branche zu tun haben, haben Sie wahrscheinlich schon von HIPAA gehört. Die Übertragbarkeit der Krankenversicherung
sFlow ist ein Flow-Analyse-Protokoll, das in zahlreichen Netzwerkgeräte gebaut. Wir überprüfen die fünf besten Gratis sFlow Collectors und Analysatoren.
Administratoren müssen die Betriebsparameter jedes Servers im Auge behalten. Lesen Sie weiter, während wir die sechs besten Windows-Systemüberwachungstools überprüfen.
Um Ihnen bei der Auswahl des richtigen Tools zu helfen, stellen wir Ihnen die besten Tools zur agentenlosen Infrastrukturüberwachung vor und geben Ihnen einen kurzen Überblick über jedes einzelne.
E-Mail-Sicherheit ist eine wichtige Aufgabe von Managed Service Providern. Wir haben SolarWinds Mail Assure überprüft, eines der besten Tools für diesen Zweck.
Latenz scheint der größte Feind der Netzwerke zu sein. Diese Tools zur Latenzmessung lehren, wie man die Latenz testet, um Probleme zu erkennen, zu lokalisieren und zu beheben.
