Melhor software de detecção de intrusão GRATUITO em 2021

Segurança é um tema quente e tem sido por um bom tempo. Muitos anos atrás, os vírus eram a única preocupação dos administradores de sistema. Os vírus eram tão comuns que abriram caminho para uma gama impressionante de ferramentas de prevenção de vírus. Hoje em dia, quase ninguém pensaria em operar um computador desprotegido. No entanto, a invasão do computador ou o acesso não autorizado aos seus dados por usuários mal-intencionados é a “ameaça do dia”. As redes se tornaram o alvo de vários hackers mal-intencionados que farão o possível para obter acesso aos seus dados. Sua melhor defesa contra esses tipos de ameaças é um sistema de detecção ou prevenção de intrusão. Hoje, estamos revisando dez das melhores ferramentas gratuitas de detecção de intrusão.

Antes de começar, vamos primeiro discutir os diferentes métodos de detecção de intrusão que estão em uso. Assim como existem muitas maneiras de invasores entrarem em sua rede, existem muitas maneiras - talvez até mais - de detectá-los. Em seguida, discutiremos as duas categorias principais de sistema de detecção de intrusão: detecção de intrusão de rede e detecção de intrusão de host. Antes de continuarmos, explicaremos as diferenças entre detecção de intrusão e prevenção de intrusão. E, finalmente, faremos uma breve revisão de dez das melhores ferramentas gratuitas de detecção de intrusão que podemos encontrar.

Métodos de detecção de intrusão

Existem basicamente dois métodos diferentes usados ​​para detectar tentativas de intrusão. Pode ser baseado em assinatura ou baseado em anomalia. Vamos ver como eles diferem. A detecção de intrusão baseada em assinatura funciona analisando os dados em busca de padrões específicos que foram associados a tentativas de intrusão. É mais ou menos como os sistemas antivírus tradicionais que dependem de definições de vírus. Esses sistemas irão comparar dados com padrões de assinatura de intrusão para identificar tentativas. Sua principal desvantagem é que eles não funcionam até que a assinatura apropriada seja carregada no software, o que normalmente acontece depois que um certo número de máquinas foi atacado.

A detecção de intrusão baseada em anomalia fornece uma proteção melhor contra ataques de dia zero, aqueles que acontecem antes que qualquer software de detecção de intrusão tenha a chance de adquirir o arquivo de assinatura adequado. Em vez de tentar reconhecer padrões de intrusão conhecidos, eles procurarão anomalias. Por exemplo, eles detectariam que alguém tentou acessar um sistema com uma senha errada várias vezes, um sinal comum de um ataque de força bruta. Como você deve ter adivinhado, cada método de detecção tem suas vantagens. É por isso que as melhores ferramentas geralmente usam uma combinação de ambos para a melhor proteção.

Dois tipos de sistemas de detecção de intrusão

Assim como existem diferentes métodos de detecção, também existem dois tipos principais de sistemas de detecção de intrusão. Eles diferem principalmente no local onde a detecção de intrusão é realizada, seja no nível do host ou no nível da rede. Aqui, novamente, cada um tem suas vantagens e a melhor solução - ou a mais segura - é possivelmente usar ambos.

Sistemas de detecção de invasão de host (HIDS)

O primeiro tipo de sistema de detecção de intrusão opera no nível do host. Ele poderia, por exemplo, verificar vários arquivos de log em busca de qualquer sinal de atividade suspeita. Também pode funcionar verificando arquivos de configuração importantes em busca de alterações não autorizadas. Isso é o que HIDS baseado em anomalias faria. Por outro lado, os sistemas baseados em assinatura veriam os mesmos arquivos de log e configuração, mas estariam procurando padrões de intrusão específicos conhecidos. Por exemplo, pode-se saber que um método de intrusão específico funciona adicionando uma determinada string a um arquivo de configuração específico que o IDS baseado em assinatura detectaria.

Como você poderia ter imaginado, os HIDS são instalados diretamente no dispositivo que devem proteger, portanto, você precisará instalá-los em todos os seus computadores. entretanto, a maioria dos sistemas possui um console centralizado onde você pode controlar cada instância do aplicativo.

Sistemas de detecção de intrusão de rede (NIDS)

Os sistemas de detecção de intrusão de rede, ou NIDS, trabalham na fronteira da rede para reforçar a detecção. Eles usam métodos semelhantes aos sistemas de detecção de intrusão de host. Obviamente, em vez de procurar arquivos de log e de configuração, eles procuram um tráfego de rede, como solicitações de conexão. Alguns métodos de intrusão são conhecidos por explorar vulnerabilidades, enviando pacotes propositalmente malformados para hosts, fazendo-os reagir de uma maneira particular. Os sistemas de detecção de intrusão na rede podem detectá-los facilmente.

Alguns argumentariam que os NIDS são melhores do que os HIDS, pois detectam ataques antes mesmo de eles chegarem aos seus computadores. Eles também são melhores porque não exigem que nada seja instalado em cada computador para protegê-los com eficácia. Por outro lado, eles fornecem pouca proteção contra ataques internos que, infelizmente, não são incomuns. Este é outro caso em que a melhor proteção vem do uso de uma combinação dos dois tipos de ferramentas.

Detecção de intrusão vs. prevenção

Existem dois gêneros diferentes de ferramentas no mundo da proteção contra intrusão: sistemas de detecção de intrusão e sistemas de prevenção de intrusão. Embora tenham uma finalidade diferente, geralmente há alguma sobreposição entre os dois tipos de ferramentas. Como o próprio nome indica, a detecção de intrusão detectará tentativas de intrusão e atividades suspeitas em geral. Quando isso acontecer, normalmente irá disparar algum tipo de alarme ou notificação. Fica então a cargo do administrador tomar as medidas necessárias para interromper ou bloquear essa tentativa.

Os sistemas de prevenção de intrusões, por outro lado, trabalham para impedir que as intrusões aconteçam completamente. A maioria dos sistemas de prevenção de intrusão incluirá um componente de detecção que acionará alguma ação sempre que forem detectadas tentativas de intrusão. Mas a prevenção de intrusões também pode ser passiva. O termo pode ser usado para se referir a quaisquer etapas implementadas para evitar intrusões. Podemos pensar em medidas como proteção de senha, por exemplo.

As melhores ferramentas gratuitas de detecção de intrusão

Os sistemas de detecção de intrusão podem ser caros, muito caros. Felizmente, existem algumas alternativas gratuitas disponíveis. pesquisamos na Internet algumas das melhores ferramentas de software de detecção de intrusão. Encontramos alguns e estamos prestes a revisar brevemente os dez melhores que encontramos.

1. OSSEC

OSSEC , que significa Open Source Security, é de longe o sistema líder de detecção de intrusão de host de código aberto. OSSEC é propriedade da Trend Micro, um dos principais nomes em segurança de TI. O software, quando instalado em sistemas operacionais do tipo Unix, concentra-se principalmente em arquivos de log e de configuração. Ele cria somas de verificação de arquivos importantes e os valida periodicamente, alertando você se algo estranho acontecer. Ele também monitorará e detectará quaisquer tentativas estranhas de obter acesso root. No Windows, o sistema também fica de olho em modificações não autorizadas no registro.

OSSEC, sendo um sistema de detecção de intrusão de host, precisa ser instalado em cada computador que você deseja proteger. No entanto, ele consolidará as informações de cada computador protegido em um único console para facilitar o gerenciamento. O software funciona apenas em sistemas semelhantes ao Unix, mas um agente está disponível para proteger os hosts Windows. Quando o sistema detecta algo, um alerta é exibido no console e notificações são enviadas por e-mail.

2. Snort

Assim como o OSSEC era o principal HIDS de código aberto, o Snort é o NIDS de código aberto líder. O Snort é na verdade mais do que uma ferramenta de detecção de intrusão. É também um farejador de pacotes e um registrador de pacotes. Mas o que nos interessa agora são os recursos de detecção de intrusão do Snort. Semelhante a um firewall, o Snort é configurado usando regras. As regras básicas podem ser baixadas do site do Snort e personalizadas de acordo com suas necessidades específicas. Você também pode assinar as regras do Snort para garantir que você sempre obtenha as regras mais recentes à medida que evoluem conforme novas ameaças são identificadas.

As regras básicas do Snort podem detectar uma ampla variedade de eventos, como varreduras furtivas de portas, ataques de estouro de buffer, ataques CGI, sondagens SMB e impressão digital do sistema operacional. O que sua instalação do Snort detecta depende unicamente das regras que você instalou. Algumas das regras básicas oferecidas são baseadas em assinaturas, enquanto outras são baseadas em anomalias. Usar o Snort pode dar a você o melhor dos dois mundos

3. Suricata

Suricata se anuncia como um sistema de detecção e prevenção de intrusões e um ecossistema completo de monitoramento de segurança de rede. Uma das melhores vantagens desta ferramenta sobre o Snort é que ela funciona até a camada de aplicação. Isso permite que a ferramenta detecte ameaças que poderiam passar despercebidas em outras ferramentas ao serem divididas em vários pacotes.

Mas Suricata não funciona apenas na camada de aplicação. Ele também monitorará protocolos de nível inferior, como TLS, ICMP, TCP e UDP. A ferramenta também entende protocolos como HTTP, FTP ou SMB e pode detectar tentativas de intrusão ocultas em solicitações normais. Também há um recurso de extração de arquivos para permitir que os próprios administradores examinem os arquivos suspeitos.

Em termos de arquitetura, Suricata é muito bem feito e distribuirá sua carga de trabalho por vários núcleos de processador e threads para o melhor desempenho. Ele pode até mesmo descarregar parte de seu processamento na placa de vídeo. Este é um ótimo recurso em servidores, já que a placa de vídeo está quase sempre ociosa.

4. Bro Network Security Monitor

O próximo em nossa lista é um produto chamado Bro Network Security Monitor , outro sistema gratuito de detecção de intrusão de rede. Bro opera em duas fases: registro e análise de tráfego. Como Suricata, Bro opera na camada de aplicativo, permitindo uma melhor detecção de tentativas de intrusão divididas. Parece que tudo vem em pares com Bro e seu módulo de análise é composto por dois elementos. O primeiro é o mecanismo de eventos que rastreia eventos de disparo, como conexões TCP de rede ou solicitações HTTP. Os eventos são posteriormente analisados ​​por scripts de política que decidem se devem ou não acionar um alerta e lançar uma ação, tornando o Bro uma prevenção de intrusão, além de um sistema de detecção.

Bro permitirá que você rastreie atividades de HTTP, DNS e FTP, além de monitorar o tráfego SNMP. Isso é bom porque, embora o SNMP seja frequentemente usado para monitoramento de rede , não é um protocolo seguro. Bro também permite que você observe as mudanças de configuração do dispositivo e SNMP Traps. Bro pode ser instalado em Unix, Linux e OS X, mas não está disponível para Windows, talvez sua principal desvantagem.

5.  Abra WIPS NG

Open WIPS NG entrou em nossa lista principalmente porque é o único que visa especificamente redes sem fio. Open WIPS NG - onde WIPS significa Wireless Intrusion Prevention System - é uma ferramenta de código aberto que compreende três componentes principais. Em primeiro lugar, existe o sensor, que é um dispositivo burro que apenas captura o tráfego sem fio e o envia ao servidor para análise. O próximo é o servidor. Este agrega dados de todos os sensores, analisa os dados coletados e responde a ataques. É o coração do sistema. Por último, mas não menos importante, está o componente de interface, que é a GUI que você usa para gerenciar o servidor e exibir informações sobre ameaças em sua rede sem fio.

Porém, nem todo mundo gosta de Open WIPS NG. O produto é do mesmo desenvolvedor que o Aircrack NG, um farejador de pacotes sem fio e um cracker de senha que faz parte do kit de ferramentas de todos os hackers de WiFi. Por outro lado, dada a sua experiência, podemos supor que o desenvolvedor conhece bastante sobre segurança wi-fi.

6.  Samhain

Samhain é um sistema gratuito de detecção de intrusão de host que fornece verificação de integridade de arquivos e monitoramento / análise de arquivos de log. Além disso, o produto também realiza detecção de rootkit, monitoramento de porta, detecção de executáveis ​​SUID desonestos e processos ocultos. Esta ferramenta foi projetada para monitorar vários sistemas com vários sistemas operacionais com registro e manutenção centralizados. No entanto, o Samhain também pode ser usado como um aplicativo independente em um único computador. O Samhain pode ser executado em sistemas POSIX como Unix Linux ou OS X. Ele também pode ser executado no Windows no Cygwin, embora apenas o agente de monitoramento e não o servidor tenha sido testado nessa configuração.

Um dos recursos mais exclusivos do Samhain é o modo furtivo, que permite que ele seja executado sem ser detectado por eventuais invasores. Freqüentemente, os invasores eliminam os processos de detecção que reconhecem, permitindo que eles passem despercebidos. Samhain usa a esteganografia para ocultar seus processos de outras pessoas. Ele também protege seus arquivos de log centrais e backups de configuração com uma chave PGP para evitar adulteração.

7.  Fail2Ban

Fail2Ban é um sistema de detecção de intrusão de host gratuito interessante que também possui alguns recursos de prevenção. Essa ferramenta opera monitorando arquivos de log em busca de eventos suspeitos, como tentativas de login malsucedidas, buscas de exploits, etc. Quando detecta algo suspeito, ele atualiza automaticamente as regras de firewall locais para bloquear o endereço IP de origem do comportamento malicioso. Esta é a ação padrão da ferramenta, mas qualquer outra ação arbitrária - como o envio de notificações por email - pode ser configurada.

O sistema vem com vários filtros predefinidos para alguns dos serviços mais comuns, como Apache, Courrier, SSH, FTP, Postfix e muitos mais. A prevenção é realizada modificando as tabelas de firewall do host. A ferramenta pode funcionar com Netfilter, IPtables ou a tabela hosts.deny do TCP Wrapper. Cada filtro pode ser associado a uma ou várias ações. Juntos, filtros e ações são chamados de prisão.

8. AIDE

AIDE é um acrônimo para Advanced Intrusion Detection Environment. O sistema de detecção de intrusão de host gratuito concentra-se principalmente na detecção de rootkit e comparações de assinatura de arquivo. Quando você instala o AIDE pela primeira vez, ele compila um banco de dados de dados administrativos dos arquivos de configuração do sistema. Isso é então usado como uma linha de base contra a qual qualquer mudança pode ser comparada e eventualmente revertida, se necessário.

O AIDE usa análises baseadas em assinaturas e em anomalias, que são executadas sob demanda e não programadas ou executadas continuamente. Esta é, na verdade, a principal desvantagem deste produto. No entanto, AIDE é uma ferramenta de linha de comando e um trabalho CRON pode ser criado para executá-lo em intervalos regulares. E se você executá-lo com muita frequência, como a cada minuto ou mais, você obterá dados quase em tempo real. Em sua essência, AIDE nada mais é que uma ferramenta de comparação de dados. Scripts externos devem ser criados para torná-lo um verdadeiro HIDS.

9.  Cebola Segurança

Security Onion é um animal interessante que pode economizar muito tempo. Este não é apenas um sistema de detecção ou prevenção de intrusão. Security Onion é uma distribuição Linux completa com foco em detecção de intrusão, monitoramento de segurança corporativa e gerenciamento de log. Inclui muitas ferramentas, algumas das quais acabamos de revisar. Por exemplo, Security Onion tem Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner e muito mais. Tudo isso vem com um assistente de configuração fácil de usar, permitindo que você proteja sua organização em minutos. Você pode pensar no Security Onion como o canivete suíço da segurança de TI corporativa.

O mais interessante sobre essa ferramenta é que você obtém tudo em uma instalação simples. E você obtém ferramentas de detecção de intrusão de rede e de host. Existem ferramentas que usam uma abordagem baseada em assinatura e algumas que são baseadas em anomalias. A distribuição também apresenta uma combinação de ferramentas baseadas em texto e GUI. Há realmente uma excelente mistura de tudo. A desvantagem, claro, é que você obtém tanto que configurar tudo pode demorar um pouco. Mas você não precisa usar todas as ferramentas. Você pode escolher apenas aqueles que preferir.

10. Sagan

O Sagan é, na verdade, mais um sistema de análise de log do que um verdadeiro IDS, mas possui alguns recursos semelhantes aos do IDS que julgamos justificar sua inclusão em nossa lista. Esta ferramenta pode monitorar os logs locais do sistema onde está instalada, mas também pode interagir com outras ferramentas. Ele poderia, por exemplo, analisar os logs do Snort, adicionando efetivamente algumas funcionalidades do NIDS ao que é essencialmente um HIDS. E não vai interagir apenas com o Snort. Ele também pode interagir com Suricata e é compatível com várias ferramentas de construção de regras, como Oinkmaster ou Carne de Porco Empurrada.

Sagan também possui recursos de execução de script, tornando-o um sistema de prevenção de intrusões rudimentar. Essa ferramenta provavelmente não será usada como sua única defesa contra intrusões, mas será um ótimo componente de um sistema que pode incorporar muitas ferramentas, correlacionando eventos de diferentes fontes.

Conclusão

Os sistemas de detecção de intrusão são apenas uma das muitas ferramentas disponíveis para ajudar os administradores de rede e sistema a garantir a operação ideal de seu ambiente. Todas as ferramentas discutidas aqui são excelentes, mas cada uma tem uma finalidade ligeiramente diferente. O que você escolherá dependerá muito das preferências pessoais e necessidades específicas.