Software Deteksi Intrusi GRATIS Terbaik di tahun 2021

Keamanan adalah topik hangat dan sudah cukup lama. Bertahun-tahun yang lalu, virus adalah satu-satunya perhatian administrator sistem. Virus begitu umum sehingga memimpin jalan untuk berbagai alat pencegahan virus yang mencengangkan. Saat ini, hampir tidak ada orang yang berpikir untuk menjalankan komputer yang tidak terlindungi. Namun, intrusi komputer, atau akses tidak sah ke data Anda oleh pengguna jahat, adalah "ancaman du jour". Jaringan telah menjadi target banyak peretas yang berniat jahat yang akan berusaha keras untuk mendapatkan akses ke data Anda. Pertahanan terbaik Anda terhadap jenis ancaman ini adalah sistem deteksi atau pencegahan intrusi. Hari ini, kami meninjau sepuluh alat pendeteksi penyusupan gratis terbaik.

Sebelum kita mulai, pertama-tama kita akan membahas metode deteksi intrusi yang berbeda yang sedang digunakan. Sama seperti ada banyak cara penyusup dapat memasuki jaringan Anda, ada banyak cara – bahkan mungkin lebih banyak cara untuk mendeteksi mereka. Kemudian, kita akan membahas dua kategori utama dari sistem deteksi intrusi: deteksi intrusi jaringan dan deteksi intrusi host. Sebelum melanjutkan, kami akan menjelaskan perbedaan antara deteksi intrusi dan pencegahan intrusi. Dan akhirnya, kami akan memberi Anda ulasan singkat tentang sepuluh alat pendeteksi penyusupan gratis terbaik yang dapat kami temukan.

Metode Deteksi Intrusi

Pada dasarnya ada dua metode berbeda yang digunakan untuk mendeteksi upaya penyusupan. Itu bisa berbasis tanda tangan atau berbasis anomali. Mari kita lihat bagaimana mereka berbeda. Deteksi intrusi berbasis tanda tangan bekerja dengan menganalisis data untuk pola tertentu yang telah dikaitkan dengan upaya penyusupan. Ini agak seperti sistem antivirus tradisional yang mengandalkan definisi virus. Sistem ini akan membandingkan data dengan pola tanda tangan intrusi untuk mengidentifikasi upaya. Kelemahan utama mereka adalah bahwa mereka tidak bekerja sampai tanda tangan yang tepat diunggah ke perangkat lunak yang biasanya terjadi setelah sejumlah mesin telah diserang.

Deteksi intrusi berbasis anomali memberikan perlindungan yang lebih baik terhadap serangan zero-day, yang terjadi sebelum perangkat lunak pendeteksi intrusi memiliki kesempatan untuk mendapatkan file tanda tangan yang tepat. Alih-alih mencoba mengenali pola intrusi yang diketahui, ini malah akan mencari anomali. Misalnya, mereka akan mendeteksi bahwa seseorang mencoba mengakses sistem dengan kata sandi yang salah beberapa kali, tanda umum serangan brute force. Seperti yang mungkin sudah Anda duga, setiap metode pendeteksian memiliki kelebihan. Inilah sebabnya mengapa alat terbaik akan sering menggunakan kombinasi keduanya untuk perlindungan terbaik.

Dua Jenis Sistem Deteksi Intrusi

Sama seperti ada metode deteksi yang berbeda, ada juga dua jenis utama sistem deteksi intrusi. Mereka sebagian besar berbeda di lokasi di mana deteksi intrusi dilakukan, baik di tingkat host atau di tingkat jaringan. Di sini sekali lagi, masing-masing memiliki kelebihan dan solusi terbaik – atau yang paling aman – mungkin menggunakan keduanya.

Sistem Deteksi Intrusi Host (HIDS)

Jenis pertama dari sistem deteksi intrusi beroperasi pada tingkat host. Itu bisa, misalnya, memeriksa berbagai file log untuk tanda-tanda aktivitas yang mencurigakan. Itu juga bisa bekerja dengan memeriksa file konfigurasi penting untuk perubahan yang tidak sah. Inilah yang akan dilakukan HIDS berbasis anomali. Di sisi lain, sistem berbasis tanda tangan akan melihat log dan file konfigurasi yang sama tetapi akan mencari pola intrusi tertentu yang diketahui. Misalnya, metode intrusi tertentu dapat diketahui bekerja dengan menambahkan string tertentu ke file konfigurasi tertentu yang akan dideteksi oleh IDS berbasis tanda tangan.

Seperti yang dapat Anda bayangkan, HIDS diinstal langsung pada perangkat yang dimaksudkan untuk dilindungi sehingga Anda harus menginstalnya di semua komputer Anda. namun, sebagian besar sistem memiliki konsol terpusat tempat Anda dapat mengontrol setiap instance aplikasi.

Sistem Deteksi Intrusi Jaringan (NIDS)

Sistem deteksi intrusi jaringan, atau NIDS, bekerja di perbatasan jaringan Anda untuk menegakkan deteksi. Mereka menggunakan metode yang sama seperti sistem deteksi intrusi host. Tentu saja, alih-alih mencari file log dan konfigurasi, mereka melihat lalu lintas jaringan seperti permintaan koneksi. Beberapa metode intrusi diketahui dapat mengeksploitasi kerentanan dengan mengirimkan paket yang sengaja dibuat salah ke host, membuat mereka bereaksi dengan cara tertentu. Sistem deteksi intrusi jaringan dapat dengan mudah mendeteksi ini.

Beberapa orang akan berpendapat bahwa NIDS lebih baik daripada HIDS karena mereka mendeteksi serangan bahkan sebelum mereka sampai ke komputer Anda. Mereka juga lebih baik karena tidak memerlukan instalasi apa pun di setiap komputer untuk melindunginya secara efektif. Di sisi lain, mereka memberikan sedikit perlindungan terhadap serangan orang dalam yang sayangnya sama sekali tidak biasa. Ini adalah kasus lain di mana perlindungan terbaik berasal dari penggunaan kombinasi kedua jenis alat tersebut.

Deteksi Intrusi Vs Pencegahan

Ada dua genre alat yang berbeda di dunia perlindungan intrusi: sistem deteksi intrusi dan sistem pencegahan intrusi. Meskipun mereka melayani tujuan yang berbeda, sering ada beberapa tumpang tindih antara kedua jenis alat tersebut. Sesuai dengan namanya, intrusion detection akan mendeteksi upaya penyusupan dan aktivitas mencurigakan secara umum. Ketika itu terjadi, biasanya akan memicu semacam alarm atau pemberitahuan. Selanjutnya terserah kepada administrator untuk mengambil langkah-langkah yang diperlukan untuk menghentikan atau memblokir upaya ini.

Sistem pencegahan intrusi, di sisi lain, bekerja untuk menghentikan intrusi agar tidak terjadi sama sekali. Sebagian besar sistem pencegahan intrusi akan menyertakan komponen deteksi yang akan memicu beberapa tindakan setiap kali upaya penyusupan terdeteksi. Tapi pencegahan intrusi juga bisa pasif. Istilah ini dapat digunakan untuk merujuk pada setiap langkah yang dilakukan untuk mencegah penyusupan. Kita bisa memikirkan langkah-langkah seperti pengerasan kata sandi, misalnya.

Alat Deteksi Intrusi Gratis Terbaik

Sistem deteksi intrusi bisa mahal, sangat mahal. Untungnya, ada beberapa alternatif gratis yang tersedia di luar sana. kami telah mencari di Internet untuk beberapa perangkat lunak pendeteksi penyusupan terbaik. Kami menemukan beberapa dan kami akan meninjau secara singkat sepuluh terbaik yang bisa kami temukan.

1. OSSEC

OSSEC , yang merupakan singkatan dari Open Source Security, sejauh ini merupakan sistem deteksi intrusi host open-source terkemuka. OSSEC dimiliki oleh Trend Micro, salah satu nama terkemuka dalam keamanan TI. Perangkat lunak, ketika diinstal pada sistem operasi mirip Unix, terutama berfokus pada file log dan konfigurasi. Ini membuat checksum dari file penting dan secara berkala memvalidasinya, memperingatkan Anda jika sesuatu yang aneh terjadi. Ini juga akan memantau dan menangkap setiap upaya aneh untuk mendapatkan akses root. Di Windows, sistem juga mengawasi modifikasi registri yang tidak sah.

OSSEC, sebagai host sistem deteksi intrusi perlu diinstal pada setiap komputer yang ingin Anda lindungi. Namun, ini akan menggabungkan informasi dari setiap komputer yang dilindungi dalam satu konsol untuk pengelolaan yang lebih mudah. Perangkat lunak ini hanya berjalan pada sistem Unix-Like tetapi agen tersedia untuk melindungi host Windows. Ketika sistem mendeteksi sesuatu, peringatan ditampilkan di konsol dan pemberitahuan dikirim melalui email.

2. Mengendus

Sama seperti OSSEC adalah HIDS open-source teratas, Snort adalah NIDS open-source terkemuka. Snort sebenarnya lebih dari sekadar alat pendeteksi penyusupan. Ini juga merupakan packet sniffer dan packet logger. Tapi yang kami minati saat ini adalah fitur deteksi intrusi Snort. Agak seperti firewall, Snort dikonfigurasi menggunakan aturan. Aturan dasar dapat diunduh dari situs web Snort dan disesuaikan dengan kebutuhan spesifik Anda. Anda juga dapat berlangganan aturan Snort untuk memastikan Anda selalu mendapatkan yang terbaru seiring berkembangnya ancaman baru.

Aturan dasar Snort dapat mendeteksi berbagai macam kejadian seperti pemindaian port siluman, serangan buffer overflow, serangan CGI, probe SMB, dan sidik jari OS. Apa yang dideteksi oleh instalasi Snort Anda hanya bergantung pada aturan yang telah Anda instal. Beberapa aturan dasar yang ditawarkan berbasis tanda tangan sementara yang lain berbasis anomali. Menggunakan Snort dapat memberi Anda yang terbaik dari kedua dunia

3. Suricata

Suricata mengiklankan dirinya sebagai sistem deteksi dan pencegahan intrusi dan sebagai ekosistem pemantauan keamanan jaringan yang lengkap. Salah satu keuntungan terbaik alat ini dibandingkan Snort adalah alat ini bekerja sampai ke lapisan aplikasi. Ini memungkinkan alat untuk mendeteksi ancaman yang mungkin tidak diperhatikan di alat lain dengan membagi beberapa paket.

Tapi Suricata tidak hanya bekerja di lapisan aplikasi. Ini juga akan memantau protokol tingkat yang lebih rendah seperti TLS, ICMP, TCP, dan UDP. Alat ini juga memahami protokol seperti HTTP, FTP, atau SMB dan dapat mendeteksi upaya penyusupan yang tersembunyi dalam permintaan normal. Ada juga kemampuan ekstraksi file untuk memungkinkan administrator memeriksa sendiri file yang mencurigakan.

Dari segi arsitektur, Suricata dibuat dengan sangat baik dan akan mendistribusikan beban kerjanya ke beberapa inti dan utas prosesor untuk kinerja terbaik. Ia bahkan dapat memindahkan sebagian dari pemrosesannya ke kartu grafis. Ini adalah fitur hebat di server karena kartu grafis mereka sebagian besar tidak digunakan.

4. Monitor Keamanan Jaringan Bro

Berikutnya dalam daftar kami adalah produk yang disebut Bro Network Security Monitor , sistem deteksi intrusi jaringan gratis lainnya. Bro beroperasi dalam dua fase: pencatatan lalu lintas dan analisis. Seperti Suricata, Bro beroperasi pada lapisan aplikasi, memungkinkan deteksi yang lebih baik dari upaya intrusi terpisah. Sepertinya semuanya berpasangan dengan Bro dan modul analisisnya terdiri dari dua elemen. Yang pertama adalah mesin peristiwa yang melacak peristiwa pemicu seperti koneksi TCP bersih atau permintaan HTTP. Peristiwa tersebut kemudian dianalisis lebih lanjut oleh skrip kebijakan yang memutuskan apakah akan memicu peringatan atau tidak dan meluncurkan tindakan, menjadikan Bro sebagai pencegahan intrusi selain sistem deteksi.

Bro akan membiarkan Anda melacak aktivitas HTTP, DNS, dan FTP serta memantau lalu lintas SNMP. Ini adalah hal yang baik karena, meskipun SNMP sering digunakan untuk pemantauan jaringan , ini bukanlah protokol yang aman. Bro juga memungkinkan Anda menonton perubahan konfigurasi perangkat dan SNMP Traps. Bro bisa diinstal di Unix, Linux, dan OS X tetapi tidak tersedia untuk Windows, mungkin kelemahan utamanya.

5.  Buka WIPS NG

Open WIPS NG masuk dalam daftar kami terutama karena itu satu-satunya yang secara khusus menargetkan jaringan nirkabel. Open WIPS NG – di mana WIPS adalah singkatan dari Wireless Intrusion Prevention System – adalah alat open source yang terdiri dari tiga komponen utama. Pertama, ada sensor yang merupakan perangkat bodoh yang hanya menangkap lalu lintas nirkabel dan mengirimkannya ke server untuk dianalisis. Berikutnya adalah server. Yang ini mengumpulkan data dari semua sensor, menganalisis data yang dikumpulkan, dan merespons serangan. Ini adalah jantung dari sistem. Last but not least adalah komponen antarmuka yang merupakan GUI yang Anda gunakan untuk mengelola server dan menampilkan informasi tentang ancaman pada jaringan nirkabel Anda.

Namun, tidak semua orang menyukai Open WIPS NG. Produk ini berasal dari pengembang yang sama dengan Aircrack NG, sebuah paket sniffer nirkabel dan cracker kata sandi yang merupakan bagian dari perangkat setiap peretas WiFi. Di sisi lain, mengingat latar belakangnya, kita dapat berasumsi bahwa pengembang tahu sedikit tentang keamanan Wi-Fi.

6.  Samhain

Samhain adalah sistem deteksi intrusi host gratis yang menyediakan pemeriksaan integritas file dan pemantauan/analisis file log. Selain itu, produk juga melakukan deteksi rootkit, pemantauan port, deteksi executable SUID nakal, dan proses tersembunyi. Alat ini telah dirancang untuk memantau beberapa sistem dengan berbagai sistem operasi dengan pencatatan dan pemeliharaan terpusat. Namun, Samhain juga dapat digunakan sebagai aplikasi yang berdiri sendiri di satu komputer. Samhain dapat berjalan di sistem POSIX seperti Unix Linux atau OS X. Samhain juga dapat berjalan di Windows di bawah Cygwin meskipun hanya agen pemantau dan bukan server yang telah diuji dalam konfigurasi tersebut.

Salah satu fitur paling unik Samhain adalah mode siluman yang memungkinkannya berjalan tanpa terdeteksi oleh penyerang. Terlalu sering penyusup membunuh proses deteksi yang mereka kenali, sehingga mereka tidak diperhatikan. Samhain menggunakan steganografi untuk menyembunyikan prosesnya dari orang lain. Ini juga melindungi file log pusat dan cadangan konfigurasi dengan kunci PGP untuk mencegah gangguan.

7.  Fail2Ban

Fail2Ban adalah sistem deteksi intrusi host gratis yang menarik yang juga memiliki beberapa fitur pencegahan. Alat ini beroperasi dengan memantau file log untuk kejadian mencurigakan seperti upaya login yang gagal, pencarian eksploitasi, dll. Ketika mendeteksi sesuatu yang mencurigakan, secara otomatis memperbarui aturan firewall lokal untuk memblokir alamat IP sumber dari perilaku berbahaya. Ini adalah tindakan default alat tetapi tindakan sewenang-wenang lainnya – seperti mengirim pemberitahuan email – dapat dikonfigurasi.

Sistem ini dilengkapi dengan berbagai filter bawaan untuk beberapa layanan yang paling umum seperti Apache, Courrier, SSH, FTP, Postfix dan banyak lagi. Pencegahan dilakukan dengan memodifikasi tabel firewall host. Alat ini dapat bekerja dengan Netfilter, IPtables, atau tabel hosts.deny dari TCP Wrapper. Setiap filter dapat dikaitkan dengan satu atau banyak tindakan. Bersama-sama, filter dan tindakan disebut sebagai penjara.

8. AIDE

AIDE adalah singkatan dari Advanced Intrusion Detection Environment. Sistem deteksi intrusi host gratis terutama berfokus pada deteksi rootkit dan perbandingan tanda tangan file. Ketika Anda pertama kali menginstal AIDE, itu akan mengkompilasi database data admin dari file konfigurasi sistem. Ini kemudian digunakan sebagai dasar untuk membandingkan perubahan apa pun dan akhirnya dibatalkan jika diperlukan.

AIDE menggunakan analisis berbasis tanda tangan dan berbasis anomali yang berjalan sesuai permintaan dan tidak terjadwal atau terus berjalan, Ini sebenarnya kelemahan utama produk ini. Namun, AIDE adalah alat baris perintah dan pekerjaan CRON dapat dibuat untuk menjalankannya secara berkala. Dan jika Anda menjalankannya sangat sering-seperti setiap menit atau lebih-Anda akan mendapatkan data kuasi-waktu nyata. Pada intinya, AIDE tidak lain adalah alat perbandingan data. Skrip eksternal harus dibuat untuk menjadikannya HIDS yang sebenarnya.

9.  Bawang Keamanan

Security Onion adalah binatang menarik yang dapat menghemat banyak waktu. Ini bukan hanya sistem deteksi atau pencegahan intrusi. Security Onion adalah distribusi Linux lengkap dengan fokus pada deteksi intrusi, pemantauan keamanan perusahaan, dan manajemen log. Ini mencakup banyak alat, beberapa di antaranya baru saja kami ulas. Misalnya, Security Onion memiliki Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner, dan banyak lagi. Semua ini dibundel dengan wizard penyiapan yang mudah digunakan, memungkinkan Anda untuk melindungi organisasi Anda dalam hitungan menit. Anda dapat menganggap Security Onion sebagai pisau Swiss Army untuk keamanan TI perusahaan.

Hal yang paling menarik dari alat ini adalah Anda mendapatkan semuanya dalam satu instalasi sederhana. Dan Anda mendapatkan alat deteksi intrusi jaringan dan host. Ada alat yang menggunakan pendekatan berbasis tanda tangan dan beberapa yang berbasis anomali. Distribusi ini juga menampilkan kombinasi alat berbasis teks dan GUI. Benar-benar ada campuran yang sangat baik dari semuanya. Kekurangannya, tentu saja, adalah Anda mendapatkan begitu banyak sehingga mengonfigurasi semuanya bisa memakan waktu cukup lama. Tetapi Anda tidak harus menggunakan semua alat. Anda hanya dapat memilih yang Anda sukai.

10. Sagan

Sagan sebenarnya lebih merupakan sistem analisis log daripada IDS yang sebenarnya, tetapi ia memiliki beberapa fitur mirip IDS yang menurut kami perlu dimasukkan dalam daftar kami. Alat ini dapat melihat log lokal dari sistem tempat ia diinstal, tetapi juga dapat berinteraksi dengan alat lain. Itu bisa, misalnya, menganalisis log Snort, secara efektif menambahkan beberapa fungsionalitas NIDS ke apa yang pada dasarnya adalah HIDS. Dan itu tidak hanya berinteraksi dengan Snort. Itu dapat berinteraksi dengan Suricata juga dan kompatibel dengan beberapa alat pembuat aturan seperti Oinkmaster atau Pulled Pork.

Sagan juga memiliki kemampuan eksekusi skrip yang menjadikannya sistem pencegahan intrusi yang kasar. Alat ini mungkin tidak digunakan sebagai satu-satunya pertahanan Anda terhadap penyusupan, tetapi alat ini akan menjadi komponen hebat dari sistem yang dapat menggabungkan banyak alat dengan menghubungkan peristiwa dari sumber yang berbeda.

Kesimpulan

Sistem deteksi penyusupan hanyalah salah satu dari banyak alat yang tersedia untuk membantu administrator jaringan dan sistem dalam memastikan pengoperasian yang optimal di lingkungan mereka. Salah satu alat yang dibahas di sini sangat bagus tetapi masing-masing memiliki tujuan yang sedikit berbeda. Salah satu yang akan Anda pilih akan sangat bergantung pada preferensi pribadi dan kebutuhan spesifik.