Każdy chce trzymać intruzów z dala od swojego domu. Podobnie iz podobnych powodów administratorzy sieci starają się trzymać intruzów z dala od sieci, którymi zarządzają. Jednym z najważniejszych atutów wielu współczesnych organizacji są ich dane. To tak ważne, że wiele osób o złych intencjach zadaje sobie wiele trudu, aby ukraść te dane. Robią to za pomocą szerokiego wachlarza technik uzyskiwania nieautoryzowanego dostępu do sieci i systemów. Wydaje się, że liczba takich ataków ostatnio wzrosła wykładniczo, aw odpowiedzi wprowadzane są systemy, które mają im zapobiegać. Systemy te nazywane są systemami zapobiegania włamaniom lub IPS. Dzisiaj przyglądamy się najlepszym systemom zapobiegania włamaniom, jakie udało nam się znaleźć.
Zaczniemy od próby lepszego zdefiniowania, czym jest zapobieganie włamaniom. To oczywiście oznacza, że zdefiniujemy również, czym jest wtargnięcie. Następnie zbadamy różne metody wykrywania, które są zwykle używane i jakie działania naprawcze są podejmowane po wykryciu. Następnie krótko porozmawiamy o pasywnym zapobieganiu włamaniom. Są to statyczne środki, które można zastosować, co może drastycznie zmniejszyć liczbę prób włamań. Możesz być zaskoczony, gdy dowiesz się, że niektóre z nich nie mają nic wspólnego z komputerami. Dopiero wtedy, gdy wszyscy będziemy na tej samej stronie, będziemy mogli w końcu przejrzeć jedne z najlepszych systemów zapobiegania włamaniom, jakie mogliśmy znaleźć.
Zapobieganie włamaniom – o co chodzi?
Wiele lat temu wirusy były właściwie jedyną troską administratorów systemów. Wirusy dotarły do punktu, w którym były tak powszechne, że branża zareagowała opracowaniem narzędzi do ochrony przed wirusami. Dzisiaj żaden poważny użytkownik przy zdrowych zmysłach nie pomyślałby o uruchomieniu komputera bez ochrony antywirusowej. Chociaż nie słyszymy już wiele o wirusach, nowym zagrożeniem jest wtargnięcie — lub nieautoryzowany dostęp do danych przez złośliwych użytkowników. Ponieważ dane często są najważniejszym zasobem organizacji, sieci korporacyjne stały się celem hakerów o złych intencjach, którzy dołożą wszelkich starań, aby uzyskać dostęp do danych. Tak jak oprogramowanie antywirusowe było odpowiedzią na rozprzestrzenianie się wirusów, tak systemy zapobiegania włamaniom są odpowiedzią na ataki intruzów.
Systemy zapobiegania włamaniom zasadniczo robią dwie rzeczy. Po pierwsze, wykrywają próby włamań, a gdy wykryją jakiekolwiek podejrzane działania, używają różnych metod, aby je zatrzymać lub zablokować. Istnieją dwa różne sposoby wykrywania prób włamań. Wykrywanie oparte na sygnaturach działa poprzez analizę ruchu sieciowego i danych oraz wyszukiwanie określonych wzorców związanych z próbami włamań. Jest to podobne do tradycyjnych systemów ochrony przed wirusami, które opierają się na definicjach wirusów. Wykrywanie włamań oparte na sygnaturach opiera się na sygnaturach lub wzorcach włamań. Główną wadą tej metody wykrywania jest to, że wymaga ona załadowania do oprogramowania odpowiednich sygnatur. A w przypadku nowej metody ataku zwykle występuje opóźnienie, zanim sygnatury ataków zostaną zaktualizowane. Niektórzy dostawcy bardzo szybko dostarczają zaktualizowane sygnatury ataków, podczas gdy inni są znacznie wolniejsi. Częstotliwość i szybkość aktualizacji podpisów jest ważnym czynnikiem, który należy wziąć pod uwagę przy wyborze dostawcy.
Wykrywanie oparte na anomaliach zapewnia lepszą ochronę przed atakami typu zero-day, czyli tymi, które mają miejsce przed aktualizacją sygnatur wykrywania. Proces szuka anomalii zamiast prób rozpoznania znanych wzorców włamań. Na przykład zostałby wywołany, gdyby ktoś kilka razy z rzędu próbował uzyskać dostęp do systemu z błędnym hasłem, co jest powszechnym znakiem ataku brute force. To tylko przykład i zazwyczaj istnieją setki różnych podejrzanych działań, które mogą wywołać te systemy. Obie metody wykrywania mają swoje zalety i wady. Najlepsze narzędzia to te, które wykorzystują połączenie analizy sygnatur i zachowania w celu uzyskania najlepszej ochrony.
Wykrywanie próby włamania jest jedną z pierwszych części ich zapobiegania. Po wykryciu systemy zapobiegania włamaniom aktywnie pracują nad zatrzymaniem wykrytych działań. Systemy te mogą podjąć kilka różnych działań naprawczych. Mogą na przykład zawiesić lub w inny sposób dezaktywować konta użytkowników. Innym typowym działaniem jest blokowanie źródłowego adresu IP ataku lub modyfikowanie reguł zapory. Jeśli złośliwa aktywność pochodzi z określonego procesu, system zapobiegania może go zabić. Inną częstą reakcją jest rozpoczęcie pewnego procesu ochrony, aw najgorszych przypadkach całe systemy mogą zostać zamknięte, aby ograniczyć potencjalne uszkodzenia. Kolejnym ważnym zadaniem Intrusion Prevention Systems jest ostrzeganie administratorów, rejestrowanie zdarzenia i zgłaszanie podejrzanych działań.
Środki pasywnego zapobiegania włamaniom
Chociaż systemy zapobiegania włamaniom mogą chronić Cię przed wieloma rodzajami ataków, nic nie przebije dobrych, staromodnych pasywnych środków zapobiegania włamaniom. Na przykład narzucanie silnych haseł to doskonały sposób ochrony przed wieloma włamaniami. Innym łatwym środkiem ochrony jest zmiana domyślnych haseł sprzętowych. Chociaż jest to rzadsze w sieciach korporacyjnych — chociaż nie jest to niespotykane — zbyt często widziałem bramy internetowe, które nadal miały domyślne hasło administratora. Jeśli chodzi o hasła, starzenie się haseł to kolejny konkretny krok, który można zastosować w celu ograniczenia prób włamań. Każde hasło, nawet najlepsze, może w końcu zostać złamane, jeśli wystarczy mu wystarczająco dużo czasu. Starzenie się haseł zapewnia, że hasła zostaną zmienione, zanim zostaną złamane.
Były tylko przykłady tego, co można zrobić, aby biernie zapobiegać włamaniom. Moglibyśmy napisać cały post o tym, jakie pasywne środki można wprowadzić, ale nie jest to dzisiaj naszym celem. Naszym celem jest zamiast tego przedstawienie jednych z najlepszych aktywnych systemów zapobiegania włamaniom.
Najlepsze systemy zapobiegania włamaniom
Nasza lista zawiera zestaw różnych narzędzi, które można wykorzystać do ochrony przed próbami włamań. Większość dołączonych narzędzi to prawdziwe systemy zapobiegania włamaniom, ale dołączamy również narzędzia, które, mimo że nie są reklamowane jako takie, mogą być używane do zapobiegania włamaniom. Nasz pierwszy wpis jest jednym z takich przykładów. Pamiętaj, że przede wszystkim przy wyborze narzędzia należy kierować się konkretnymi potrzebami. Zobaczmy więc, co ma do zaoferowania każde z naszych najlepszych narzędzi.
1. Dziennik SolarWinds i menedżer zdarzeń (BEZPŁATNA PRÓBNA)
SolarWinds to dobrze znana nazwa w administracji sieciowej. Cieszy się solidną reputacją dzięki jednemu z najlepszych narzędzi do administrowania siecią i systemem. Jej flagowy produkt, Network Performance Monitor, konsekwentnie plasuje się wśród najlepszych dostępnych narzędzi do monitorowania przepustowości sieci. SolarWinds słynie również z wielu darmowych narzędzi, z których każde odpowiada na specyficzne potrzeby administratorów sieci. Serwer Kiwi Syslog lub serwer SolarWinds TFTP to dwa doskonałe przykłady tych bezpłatnych narzędzi.
Nie daj się zwieść nazwie SolarWinds Log & Event Manager . Jest w tym znacznie więcej niż na pierwszy rzut oka. Niektóre zaawansowane funkcje tego produktu kwalifikują go jako system wykrywania i zapobiegania włamaniom, podczas gdy inne umieszczają go w gamie informacji o zabezpieczeniach i zarządzania zdarzeniami (SIEM). Narzędzie oferuje na przykład korelację zdarzeń w czasie rzeczywistym i naprawę w czasie rzeczywistym.
SolarWinds Log & Event Manager oferuje natychmiastowe wykrycie podejrzanej aktywności (grupy funkcyjne wykrywania włamań) oraz automatycznych odpowiedzi (e funkcjonalność zapobieganie włamaniom). To narzędzie może być również używane do badania zdarzeń związanych z bezpieczeństwem i kryminalistyki. Może być używany do celów łagodzenia i zapewniania zgodności. Narzędzie zawiera sprawdzone podczas audytów raportowanie, które można również wykorzystać do wykazania zgodności z różnymi ramami regulacyjnymi, takimi jak HIPAA, PCI-DSS i SOX. Narzędzie ma również monitorowanie integralności plików i monitorowanie urządzeń USB. Wszystkie zaawansowane funkcje oprogramowania sprawiają, że jest ono bardziej zintegrowaną platformą bezpieczeństwa niż tylko systemem zarządzania dziennikami i zdarzeniami, w który można by uwierzyć dzięki jego nazwie.
Funkcje zapobiegania włamaniom w SolarWinds Log & Event Manager działają poprzez wdrażanie akcji zwanych Aktywnymi odpowiedziami w przypadku wykrycia zagrożeń. Różne odpowiedzi można powiązać z określonymi alertami. Na przykład system może zapisywać tabele zapory, aby zablokować dostęp sieciowy do źródłowego adresu IP, który został zidentyfikowany jako wykonujący podejrzane działania. Narzędzie może również zawieszać konta użytkowników, zatrzymywać lub uruchamiać procesy oraz zamykać systemy. Przypominasz sobie, jak dokładnie to są działania naprawcze, które zidentyfikowaliśmy wcześniej.
Ceny SolarWinds Log & Event Manager różnią się w zależności od liczby monitorowanych węzłów. Ceny zaczynają się od 4585 USD za maksymalnie 30 monitorowanych węzłów, a licencje na maksymalnie 2500 węzłów można kupić, dzięki czemu produkt jest wysoce skalowalny. Jeśli chcesz przetestować produkt i przekonać się, czy jest dla Ciebie odpowiedni, dostępna jest bezpłatna, w pełni funkcjonalna 30-dniowa wersja próbna .
2. Splunk
Splunk jest prawdopodobnie jednym z najpopularniejszych systemów zapobiegania włamaniom. Jest dostępny w kilku różnych edycjach z różnymi zestawami funkcji. Splunk Enterprise Security – lub Splunk ES , jak to często się nazywa – jest tym, czego potrzebujesz do prawdziwego zapobiegania włamaniom. Oprogramowanie monitoruje dane systemu w czasie rzeczywistym, wyszukując luki w zabezpieczeniach i oznaki nieprawidłowej aktywności.
Reakcja na bezpieczeństwo jest jedną z mocnych stron produktu i sprawia, że jest to system zapobiegania włamaniom. Używa tego, co dostawca nazywa Adaptive Response Framework (ARF). Integruje się ze sprzętem ponad 55 dostawców zabezpieczeń i może wykonywać zautomatyzowane reakcje, przyspieszając wykonywanie zadań ręcznych. Ta kombinacja, jeśli zautomatyzowana naprawa i ręczna interwencja może dać największe szanse na szybkie zdobycie przewagi. Narzędzie ma prosty i przejrzysty interfejs użytkownika, dzięki czemu jest zwycięskim rozwiązaniem. Inne interesujące funkcje ochrony obejmują funkcję „Notables”, która wyświetla alerty, które można dostosować do własnych potrzeb, oraz „Asset Investigator” do oznaczania złośliwych działań i zapobiegania dalszym problemom.
Informacje o cenach Splunk Enterprise Security nie są łatwo dostępne. Aby uzyskać szczegółową wycenę, musisz skontaktować się z działem sprzedaży Splunk. To świetny produkt, dla którego dostępna jest bezpłatna wersja próbna.
3. Sagan
Sagan to w zasadzie darmowy system wykrywania włamań. Jednak narzędzie, które ma możliwości wykonywania skryptów, które może umieścić go w kategorii Intrusion Prevention Systems. Sagan wykrywa próby włamań poprzez monitorowanie plików dziennika. Możesz także połączyć Sagan z Snortem, który może przekazać swoje dane wyjściowe Saganowi, dając narzędziu pewne możliwości wykrywania włamań w sieci. W rzeczywistości Sagan może otrzymywać informacje z wielu innych narzędzi, takich jak Bro lub Suricata, łącząc możliwości kilku narzędzi w celu uzyskania najlepszej możliwej ochrony.
Jest jednak pewien haczyk w możliwościach wykonywania skryptów Sagana . Musisz napisać skrypty naprawcze. Chociaż to narzędzie może nie być najlepiej wykorzystywane jako jedyna ochrona przed włamaniami, może być kluczowym elementem systemu, który zawiera kilka narzędzi, korelując zdarzenia z różnych źródeł, dając Ci to, co najlepsze z wielu produktów.
Chociaż Sagan można zainstalować tylko w systemach Linux, Unix i Mac OS, może łączyć się z systemami Windows, aby uzyskać dostęp do wydarzeń. Inne interesujące funkcje Sagana obejmują śledzenie lokalizacji adresu IP i przetwarzanie rozproszone.
4. OSSEC
Open Source Security lub OSSEC to jeden z wiodących systemów wykrywania włamań opartych na hostach typu open source. Umieściliśmy go na naszej liście z dwóch powodów. Jego popularność jest tak duża, że musieliśmy go uwzględnić, zwłaszcza biorąc pod uwagę, że narzędzie pozwala określić akcje, które są wykonywane automatycznie po wywołaniu określonych alertów, dając mu pewne możliwości zapobiegania włamaniom. OSSEC należy do firmy Trend Micro, jednej z wiodących marek w dziedzinie bezpieczeństwa IT i twórcy jednego z najlepszych pakietów ochrony antywirusowej.
Po zainstalowaniu w systemach operacyjnych typu Unix silnik wykrywania oprogramowania koncentruje się głównie na plikach dziennika i konfiguracji. Tworzy sumy kontrolne ważnych plików i okresowo je weryfikuje, ostrzegając lub uruchamiając działania naprawcze, gdy wydarzy się coś dziwnego. Będzie również monitorować i ostrzegać o wszelkich nietypowych próbach uzyskania dostępu do roota. W systemie Windows system śledzi również nieautoryzowane modyfikacje rejestru, ponieważ mogą one być oznaką złośliwej aktywności. Każde wykrycie wywoła alert, który zostanie wyświetlony na konsoli centralnej, a powiadomienia będą również wysyłane e-mailem.
OSSEC to oparty na hoście system ochrony przed włamaniami. W związku z tym musi być zainstalowany na każdym komputerze, który chcesz chronić. Jednak scentralizowana konsola konsoliduje informacje z każdego chronionego komputera w celu łatwiejszego zarządzania. OSSEC konsola działa tylko w systemach operacyjnych Unix-like, ale środek jest dostępny dla ochrony hosty Windows. Alternatywnie, inne narzędzia, takie jak Kibana lub Graylog, mogą być używane jako front-end narzędzia.
5. Otwórz WIPS-NG
Nie byliśmy pewni, czy na naszej liście powinniśmy uwzględnić Open WIPS NG . Więcej o tym za chwilę. Udało się to głównie dlatego, że jest to jeden z niewielu produktów, które są przeznaczone specjalnie dla sieci bezprzewodowych. Otwórz WIPS NG– gdzie WIPS oznacza Wireless Intrusion Prevention System – to narzędzie typu open source, które składa się z trzech głównych komponentów. Po pierwsze, jest czujnik. Jest to głupi proces, który po prostu przechwytuje ruch bezprzewodowy i wysyła go do serwera w celu analizy. Jak zapewne się domyślasz, kolejnym komponentem jest serwer. Agreguje dane ze wszystkich czujników, analizuje zebrane dane i reaguje na ataki. Ten komponent jest sercem systemu. Ostatnim, ale nie mniej ważnym elementem jest interfejs, czyli GUI, którego używasz do zarządzania serwerem i wyświetlania informacji o zagrożeniach znalezionych w Twojej sieci bezprzewodowej.
Głównym powodem, dla którego zawahaliśmy się przed umieszczeniem Open WIPS NG na naszej liście, jest to, że choć jest on dobry, nie każdemu podoba się programista produktu. Jest to ten sam programista, co Aircrack NG, bezprzewodowy sniffer pakietów i łamacz haseł, który jest częścią zestawu narzędzi każdego hakera WiFi. To otwiera debatę na temat etyki dewelopera i sprawia, że niektórzy użytkownicy są ostrożni. Z drugiej strony doświadczenie programisty może być postrzegane jako świadectwo jego głębokiej wiedzy na temat bezpieczeństwa Wi-Fi.
6. Fail2Ban
Fail2Ban to stosunkowo popularny darmowy system wykrywania włamań do hosta z funkcjami zapobiegania włamaniom. Oprogramowanie działa poprzez monitorowanie plików dziennika systemowego pod kątem podejrzanych zdarzeń, takich jak nieudane próby logowania lub poszukiwanie exploitów. Gdy system wykryje coś podejrzanego, zareaguje, automatycznie aktualizując lokalne reguły zapory, aby zablokować źródłowy adres IP złośliwego zachowania. To oczywiście oznacza, że jakiś proces zapory działa na komputerze lokalnym. To jest główna wada narzędzia. Można jednak skonfigurować dowolną inną arbitralną akcję, taką jak wykonanie skryptu naprawczego lub wysyłanie powiadomień e-mail.
Fail2Ban jest dostarczany z kilkoma gotowymi wyzwalaczami wykrywania zwanymi filtrami, obejmującymi niektóre z najpopularniejszych usług, takich jak Apache, Courrier, SSH, FTP, Postfix i wiele innych. Jak powiedzieliśmy, działania naprawcze są realizowane poprzez modyfikację tabel zapory hosta. Fail2Ban obsługuje Netfilter, IPtables lub tabelę hosts.deny w TCP Wrapper. Każdy filtr może być powiązany z jedną lub wieloma akcjami. Razem filtry i akcje określane są jako więzienie.
7. Monitor bezpieczeństwa sieci Bro
Security Monitor Bro Network to kolejny darmowy system wykrywania włamań sieciowych IPS-Like funkcjonalności. Działa w dwóch fazach, najpierw rejestruje ruch, a następnie go analizuje. To narzędzie działa na wielu warstwach aż do warstwy aplikacji, co zapewnia lepsze wykrywanie prób podziału włamań. Moduł analizy produktu składa się z dwóch elementów. Pierwszym elementem jest Event Engine, a jego celem jest śledzenie zdarzeń wyzwalających, takich jak połączenia TCP czy żądania HTTP. Zdarzenia są następnie analizowane przez skrypty polityk, drugi element. Zadaniem skryptów strategii jest podjęcie decyzji, czy wyzwolić alarm, uruchomić akcję, czy zignorować zdarzenie. Jest to możliwość uruchomienia akcji, która daje Bro Network Security Monitorowi funkcjonalność IPS.
Security Monitor Bro Sieć ma pewne ograniczenia. Będzie tylko śledzić aktywność HTTP, DNS i FTP, a także monitorować ruch SNMP. Jest to jednak dobra rzecz, ponieważ SNMP jest często używany do monitorowania sieci pomimo poważnych wad bezpieczeństwa. SNMP prawie nie ma wbudowanych zabezpieczeń i używa nieszyfrowanego ruchu. A ponieważ protokół może być używany do modyfikowania konfiguracji, może być łatwo wykorzystany przez złośliwych użytkowników. Produkt będzie również śledził zmiany konfiguracji urządzenia i pułapki SNMP. Można go zainstalować w systemach Unix, Linux i OS X, ale nie jest dostępny dla systemu Windows, co być może jest jego główną wadą. W przeciwnym razie jest to bardzo ciekawe narzędzie, które warto wypróbować.
Rynek oprogramowania do zarządzania siecią jest bardzo zatłoczony. Skróć wyszukiwanie, postępując zgodnie z naszymi zaleceniami dotyczącymi najlepszych narzędzi do zarządzania siecią.
Ping sweeps można wykorzystać na wiele sposobów. Czytaj dalej, gdy omawiamy, jak i przedstawiamy 10 najlepszych narzędzi do wyszukiwania pingów, jakie możesz znaleźć.
Strony internetowe są ważne i muszą być stale ściśle monitorowane pod kątem odpowiedniej wydajności. Oto niektóre z najlepszych narzędzi do monitorowania stron internetowych.
Oto spojrzenie na niektóre z najlepszych narzędzi do wdrażania oprogramowania, które ułatwiają zarządzanie dowolną liczbą komputerów
sFlow to protokół analizy przepływu wbudowany w wiele urządzeń sieciowych. Oceniamy pięć najlepszych darmowych kolektorów i analizatorów sFlow.
Aby pomóc Ci wybrać właściwe, wprowadziliśmy najlepsze narzędzia do monitorowania infrastruktury bez agentów i zapewniliśmy szybki przegląd każdego z nich.
Bezpieczeństwo poczty e-mail jest ważnym zadaniem dostawców usług zarządzanych. Dokonaliśmy przeglądu SolarWinds Mail Assure, jednego z najlepszych narzędzi do tego celu.
Jeśli jesteś zaawansowanym użytkownikiem systemu Windows, prawdopodobnie wiesz i rozumiesz, jak wykonywanie różnych operacji na komputerze może mieć więcej niż jedno podejście i
Opóźnienie wydaje się być wrogiem numer jeden sieci. Te narzędzia do pomiaru opóźnień nauczą, jak testować opóźnienia w celu wykrywania, lokalizowania i rozwiązywania problemów.
Monitor sieci Windows wymaga narzędzi o ograniczonych wymaganiach. Dzisiaj przyjrzeliśmy się najlepszym narzędziom do monitorowania sieci dla systemu Windows 10.
