2021年に最高の無料侵入検知ソフトウェア

セキュリティはホットな話題であり、かなり前からあります。何年も前、システム管理者の関心事はウイルスだけでした。ウイルスは非常に一般的であったため、驚異的な範囲のウイルス防止ツールへの道を開きました。今日では、保護されていないコンピューターを実行することを考える人はほとんどいません。ただし、コンピュータへの侵入、または悪意のあるユーザーによるデータへの不正アクセスは、「脅威」です。ネットワークは、データにアクセスするために非常に長い時間を費やす、多くの悪意のあるハッカーの標的になっています。これらのタイプの脅威に対する最善の防御策は、侵入検知または防止システムです。今日、私たちは最高の無料侵入検知ツールの10をレビューしています。

始める前に、まず、使用されているさまざまな侵入検知方法について説明します。侵入者がネットワークに侵入する方法がたくさんあるのと同じように、侵入者を検出する方法も同じくらい多く、おそらくさらに多くの方法があります。次に、侵入検知システムの2つの主要なカテゴリであるネットワーク侵入検知とホスト侵入検知について説明します。先に進む前に、侵入検知と侵入防止の違いについて説明します。そして最後に、私たちが見つけた最高の無料侵入検知ツールの10の簡単なレビューを提供します。

侵入検知方法

侵入の試みを検出するために使用される基本的に2つの異なる方法があります。シグネチャベースまたはアノマリベースの可能性があります。それらがどのように異なるかを見てみましょう。署名ベースの侵入検知は、侵入の試みに関連付けられている特定のパターンのデータを分析することによって機能します。これは、ウイルス定義に依存する従来のウイルス対策システムにいくぶん似ています。これらのシステムは、データを侵入シグネチャパターンと比較して、試行を識別します。それらの主な欠点は、適切な署名がソフトウェアにアップロードされるまで機能しないことです。これは通常、特定の数のマシンが攻撃された後に発生します。

異常ベースの侵入検知は、侵入検知ソフトウェアが適切なシグニチャファイルを取得する前に発生するゼロデイ攻撃に対する保護を強化します。既知の侵入パターンを認識しようとする代わりに、これらは代わりに異常を探します。たとえば、誰かが間違ったパスワードでシステムに数回アクセスしようとしたことを検出します。これは、ブルートフォース攻撃の一般的な兆候です。ご想像のとおり、それぞれの検出方法には利点があります。これが、最高のツールが最高の保護のために両方の組み合わせを使用することが多い理由です。

2種類の侵入検知システム

さまざまな検出方法があるのと同じように、侵入検知システムにも2つの主要なタイプがあります。これらは主に、ホストレベルまたはネットワークレベルのいずれかで侵入検知が実行される場所が異なります。ここでも、それぞれに利点があり、最良の解決策、または最も安全な解決策は、おそらく両方を使用することです。

ホスト侵入検知システム（HIDS）

最初のタイプの侵入検知システムは、ホストレベルで動作します。たとえば、疑わしいアクティビティの兆候がないか、さまざまなログファイルをチェックできます。また、重要な構成ファイルに不正な変更がないかどうかを確認することでも機能します。これは、アノマリベースのHIDSが行うことです。一方、シグニチャベースのシステムは同じログファイルと構成ファイルを調べますが、特定の既知の侵入パターンを探します。たとえば、特定の侵入方法は、署名ベースのIDSが検出する特定の構成ファイルに特定の文字列を追加することで機能することがわかっている場合があります。

ご想像のとおり、HIDSは保護対象のデバイスに直接インストールされるため、すべてのコンピューターにインストールする必要があります。ただし、ほとんどのシステムには、アプリケーションの各インスタンスを制御できる集中型コンソールがあります。

ネットワーク侵入検知システム（NIDS）

ネットワーク侵入検知システム（NIDS）は、ネットワークの境界で機能して検出を実施します。これらは、ホスト侵入検知システムと同様の方法を使用します。もちろん、ログファイルや構成ファイルを探す代わりに、接続要求などのネットワークトラフィックを調べます。一部の侵入方法は、意図的に不正な形式のパケットをホストに送信し、特定の方法で反応させることにより、脆弱性を悪用することが知られています。ネットワーク侵入検知システムは、これらを簡単に検出できます。

NIDSは、コンピュータに到達する前でも攻撃を検出するため、HIDSよりも優れていると主張する人もいます。また、効果的に保護するために各コンピューターに何もインストールする必要がないため、優れています。一方、それらは、残念ながらまったく珍しいことではないインサイダー攻撃に対する保護をほとんど提供しません。これは、両方のタイプのツールを組み合わせて使用​​することで最高の保護が得られるもう1つのケースです。

侵入検知と防止

侵入防御の世界には、侵入検知システムと侵入防止システムの2つの異なるジャンルのツールがあります。それらは異なる目的を果たしますが、2つのタイプのツールの間にはしばしばいくつかの重複があります。その名前が示すように、侵入検知は一般的に侵入の試みと疑わしい活動を検出します。その場合、通常、何らかのアラームまたは通知がトリガーされます。この場合、この試行を停止またはブロックするために必要な手順を実行するのは管理者の責任です。

一方、侵入防止システムは、侵入の発生を完全に阻止するように機能します。ほとんどの侵入防止システムには、侵入の試みが検出されるたびに何らかのアクションをトリガーする検出コンポーネントが含まれています。しかし、侵入防止は受動的でもあります。この用語は、侵入を防ぐために実施されるあらゆる手順を指すために使用できます。たとえば、パスワードの強化などの対策が考えられます。

最高の無料侵入検知ツール

侵入検知システムは高価で、非常に高価になる可能性があります。幸いなことに、そこにはかなりの数の無料の選択肢があります。最高の侵入検知ソフトウェアツールのいくつかをインターネットで検索しました。かなりの数が見つかりました。見つけたベスト10を簡単に確認します。

1. OSSEC

Open Source Securityの略であるOSSECは、圧倒的に主要なオープンソースホスト侵入検知システムです。OSSECは、ITセキュリティの主要企業の1つであるトレンドマイクロが所有しています。このソフトウェアは、Unixライクなオペレーティングシステムにインストールされると、主にログファイルと構成ファイルに焦点を合わせます。重要なファイルのチェックサムを作成し、定期的に検証して、何か奇妙なことが起こった場合に警告します。また、rootアクセスを取得する際の奇妙な試みを監視してキャッチします。Windowsでは、システムは不正なレジストリの変更も監視します。

ホスト侵入検知システムであるOSSECは、保護する各コンピューターにインストールする必要があります。ただし、保護された各コンピューターからの情報を1つのコンソールに統合して、管理を容易にします。このソフトウェアはUnixライクなシステムでのみ実行されますが、Windowsホストを保護するためのエージェントを利用できます。システムが何かを検出すると、コンソールにアラートが表示され、通知が電子メールで送信されます。

2. Snort

OSSECがトップのオープンソースHIDSであったように、Snortは主要なオープンソースNIDSです。Snortは、実際には侵入検知ツール以上のものです。また、パケットスニファおよびパケットロガーでもあります。しかし、今のところ私たちが興味を持っているのは、Snortの侵入検知機能です。ファイアウォールのように、Snortはルールを使用して構成されます。基本ルールはSnortWebサイトからダウンロードして、特定のニーズに合わせてカスタマイズできます。また、Snortルールにサブスクライブして、新しい脅威が特定されたときに進化する最新のルールを常に取得できるようにすることもできます。

基本的なSnortルールは、ステルスポートスキャン、バッファオーバーフロー攻撃、CGI攻撃、SMBプローブ、OSフィンガープリントなどのさまざまなイベントを検出できます。Snortインストールで検出される内容は、インストールしたルールのみに依存します。提供される基本的なルールのいくつかは署名ベースですが、他のルールは異常ベースです。Snortを使用すると、両方の長所を活用できます

3.スリカータ

Suricataは、侵入検知および防止システムとして、また完全なネットワークセキュリティ監視エコシステムとして自身を宣伝しています。Snortに対するこのツールの最大の利点の1つは、アプリケーション層まで機能することです。これにより、ツールは、複数のパケットに分割されることにより、他のツールでは見過ごされる可能性のある脅威を検出できます。

しかし、Suricataはアプリケーション層でのみ機能するわけではありません。また、TLS、ICMP、TCP、UDPなどの低レベルのプロトコルも監視します。このツールは、HTTP、FTP、SMBなどのプロトコルも理解し、通常のリクエストに隠された侵入の試みを検出できます。管理者が疑わしいファイルを自分で調べることができるファイル抽出機能もあります。

アーキテクチャに関しては、Suricataは非常によくできており、最高のパフォーマンスを実現するために、ワークロードを複数のプロセッサコアとスレッドに分散します。処理の一部をグラフィックカードにオフロードすることもできます。グラフィックカードがほとんどアイドリングしているため、これはサーバーの優れた機能です。

4.ブロネットワークセキュリティモニタ

次のリストは、別の無料のネットワーク侵入検知システムであるBro Network SecurityMonitorと呼ばれる製品です。Broは、トラフィックロギングと分析の2つのフェーズで動作します。Suricataと同様に、Broはアプリケーション層で動作し、分割侵入の試みをより適切に検出できるようにします。すべてがBroとペアになっていて、その分析モジュールは2つの要素で構成されているようです。1つは、ネットTCP接続やHTTP要求などのトリガーイベントを追跡するイベントエンジンです。次に、イベントは、アラートをトリガーしてアクションを開始するかどうかを決定するポリシースクリプトによってさらに分析され、検出システムに加えて侵入防止をBroに行います。

Broを使用すると、HTTP、DNS、およびFTPアクティビティを追跡したり、SNMPトラフィックを監視したりできます。SNMPはネットワーク監視によく使用されますが、安全なプロトコルではないため、これは良いことです。Broでは、デバイス構成の変更とSNMPトラップを監視することもできます。BroはUnix、Linux、およびOS Xにインストールできますが、Windowsでは使用できません。おそらくその主な欠点です。

5. WIPSNGを開きます 

Open WIPS NGがリストに載ったのは、主にワイヤレスネットワークを特に対象としているのはOpen WIPSNGだけだからです。Open WIPS NG（WIPSはWireless Intrusion Prevention Systemの略）は、3つの主要コンポーネントで構成されるオープンソースツールです。まず、ワイヤレストラフィックのみをキャプチャし、分析のためにサーバーに送信するダムデバイスであるセンサーがあります。次はサーバーです。これは、すべてのセンサーからのデータを集約し、収集したデータを分析して攻撃に対応します。それがシステムの心臓部です。最後に重要なのは、サーバーを管理し、ワイヤレスネットワーク上の脅威に関する情報を表示するために使用するGUIであるインターフェイスコンポーネントです。

ただし、誰もがOpen WIPSNGを好むわけではありません。Aircrack NGと同じ開発者からの製品である場合、すべてのWiFiハッカーのツールキットの一部であるワイヤレスパケットスニファおよびパスワードクラッカー。一方、彼の経歴を考えると、開発者はWi-Fiセキュリティについてかなり知っていると推測できます。

6. サムハイン

Samhainは、ファイルの整合性チェックとログファイルの監視/分析を提供する無料のホスト侵入検知システムです。さらに、この製品は、ルートキットの検出、ポートの監視、不正なSUID実行可能ファイルの検出、および非表示のプロセスも実行します。このツールは、集中ログとメンテナンスを備えたさまざまなオペレーティングシステムで複数のシステムを監視するように設計されています。ただし、Samhainは、1台のコンピューターでスタンドアロンアプリケーションとして使用することもできます。Samhainは、UnixLinuxやOSXなどのPOSIXシステムで実行できます。また、サーバーではなく監視エージェントのみがその構成でテストされていますが、CygwinのWindowsでも実行できます。

Samhainの最もユニークな機能の1つは、最終的な攻撃者に検出されることなく実行できるステルスモードです。侵入者が認識した検出プロセスを殺して、気付かれないようにすることがよくあります。サムハインはステガノグラフィを使用して、そのプロセスを他の人から隠しています。また、改ざんを防ぐために、中央のログファイルと構成のバックアップをPGPキーで保護します。

7.  Fail2Ban

Fail2Banは、いくつかの防止機能も備えた興味深い無料のホスト侵入検知システムです。このツールは、ログイン試行の失敗、エクスプロイトシークなどの疑わしいイベントについてログファイルを監視することで動作します。疑わしいものを検出すると、ローカルファイアウォールルールを自動的に更新して、悪意のある動作の送信元IPアドレスをブロックします。これはツールのデフォルトのアクションですが、電子メール通知の送信など、その他の任意のアクションを構成できます。

システムには、Apache、Courrier、SSH、FTP、Postfixなどの最も一般的なサービス用のさまざまなビルド済みフィルターが付属しています。防止は、ホストのファイアウォールテーブルを変更することによって実行されます。このツールは、Netfilter、IPtables、またはTCPWrapperのhosts.denyテーブルで動作します。各フィルターは、1つまたは複数のアクションに関連付けることができます。これらを合わせて、フィルターとアクションはジェイルと呼ばれます。

8.補佐官

AIDEは、Advanced Intrusion DetectionEnvironmentの頭字語です。無料のホスト侵入検知システムは、主にルートキットの検出とファイル署名の比較に重点を置いています。AIDEを最初にインストールすると、システムの構成ファイルから管理データのデータベースがコンパイルされます。これは、変更を比較し、必要に応じて最終的にロールバックできるベースラインとして使用されます。

AIDEは、オンデマンドで実行され、スケジュールされていない、または継続的に実行されていない署名ベースの分析と異常ベースの分析の両方を使用します。これが実際にはこの製品の主な欠点です。ただし、AIDEはコマンドラインツールであり、CRONジョブを作成して定期的に実行することができます。また、1分ごとなど、非常に頻繁に実行すると、準リアルタイムのデータが得られます。本質的に、AIDEはデータ比較ツールに他なりません。真のHIDSにするには、外部スクリプトを作成する必要があります。

9. セキュリティオニオン

セキュリティオニオンはあなたに多くの時間を節約することができる面白い獣です。これは単なる侵入検知または防止システムではありません。Security Onionは、侵入検知、エンタープライズセキュリティ監視、およびログ管理に重点を置いた完全なLinuxディストリビューションです。多くのツールが含まれており、そのうちのいくつかはレビューしたばかりです。たとえば、Security Onionには、Elasticsearch、Logstash、Kibana、Snort、Suricata、Bro、OSSEC、Sguil、Squert、NetworkMinerなどがあります。これらすべてが使いやすいセットアップウィザードにバンドルされているため、組織を数分で保護できます。セキュリティオニオンは、エンタープライズITセキュリティのスイスアーミーナイフと考えることができます。

このツールの最も興味深い点は、1回の簡単なインストールですべてを取得できることです。また、ネットワークとホストの両方の侵入検知ツールを利用できます。署名ベースのアプローチを使用するツールと、異常ベースのツールがあります。このディストリビューションには、テキストベースのツールとGUIツールの組み合わせも含まれています。本当にすべての素晴らしい組み合わせがあります。もちろん、欠点は、すべてを構成するのに時間がかかるほど多くのことを取得することです。ただし、すべてのツールを使用する必要はありません。好きなものだけ選ぶことができます。

10.セーガン

Saganは、実際には実際のIDSというよりもログ分析システムですが、リストに含める必要があると思われるIDSのような機能がいくつかあります。このツールは、インストールされているシステムのローカルログを監視できますが、他のツールと対話することもできます。たとえば、Snortのログを分析して、本質的にHIDSであるものにいくつかのNIDS機能を効果的に追加することができます。そして、それはSnortと相互作用するだけではありません。Suricataとも相互作用でき、OinkmasterやPulledPorkなどのいくつかのルール構築ツールと互換性があります。

Saganにはスクリプト実行機能もあり、大雑把な侵入防止システムになっています。このツールは、侵入に対する唯一の防御としては使用されない可能性がありますが、さまざまなソースからのイベントを相互に関連付けることにより、多くのツールを組み込むことができるシステムの優れたコンポーネントになります。

結論

侵入検知システムは、ネットワークおよびシステム管理者が環境の最適な運用を確保するのを支援するために利用できる多くのツールの1つにすぎません。ここで説明するツールはどれも優れていますが、それぞれの目的は少し異なります。あなたが選ぶものは、個人的な好みと特定のニーズに大きく依存します。