Securitatea este un subiect fierbinte și a fost de ceva vreme. Cu mulți ani în urmă, virușii erau singurele preocupări ale administratorilor de sistem. Virușii erau atât de obișnuiți încât au deschis calea pentru o gamă uimitoare de instrumente de prevenire a virușilor. În zilele noastre, aproape nimeni nu s-ar gândi să ruleze un computer neprotejat. Cu toate acestea, intruziunea computerului sau accesul neautorizat la datele tale de către utilizatorii rău intenționați este „amenințarea zilei”. Rețelele au devenit ținta a numeroși hackeri rău intenționați, care vor face tot posibilul pentru a obține acces la datele dvs. Cea mai bună apărare împotriva acestor tipuri de amenințări este un sistem de detectare sau prevenire a intruziunilor. Astăzi, analizăm zece dintre cele mai bune instrumente gratuite de detectare a intruziunilor.
Înainte de a începe, vom discuta mai întâi despre diferitele metode de detectare a intruziunilor care sunt utilizate. Așa cum există multe moduri prin care intrușii pot intra în rețea, există tot atâtea moduri – poate chiar mai multe – modalități de a-i detecta. Apoi, vom discuta cele două categorii principale de sisteme de detectare a intruziunilor: detectarea intruziunilor în rețea și detectarea intruziunilor gazdă. Înainte de a continua, vom explica apoi diferențele dintre detectarea intruziunilor și prevenirea intruziunilor. Și, în sfârșit, vă vom oferi o scurtă trecere în revistă a zece dintre cele mai bune instrumente gratuite de detectare a intruziunilor pe care le-am putut găsi.
Practic, există două metode diferite utilizate pentru a detecta încercările de intruziune. Ar putea fi bazat pe semnătură sau bazat pe anomalii. Să vedem cum diferă. Detectarea intruziunilor pe bază de semnătură funcționează prin analizarea datelor pentru modele specifice care au fost asociate cu încercările de intruziune. Este oarecum ca sistemele antivirus tradiționale care se bazează pe definițiile virușilor. Aceste sisteme vor compara datele cu modelele de semnătură de intruziune pentru a identifica încercările. Principalul lor dezavantaj este că nu funcționează până când semnătura adecvată este încărcată în software, ceea ce se întâmplă de obicei după ce un anumit număr de mașini au fost atacate.
Detectarea intruziunilor bazată pe anomalii oferă o protecție mai bună împotriva atacurilor zero-day, cele care au loc înainte ca orice software de detectare a intruziunilor să aibă șansa de a obține fișierul de semnătură corespunzător. În loc să încerce să recunoască modelele de intruziune cunoscute, acestea vor căuta în schimb anomalii. De exemplu, ar detecta că cineva a încercat să acceseze un sistem cu o parolă greșită de mai multe ori, un semn comun al unui atac cu forță brută. După cum probabil ați ghicit, fiecare metodă de detectare are avantajele sale. Acesta este motivul pentru care cele mai bune instrumente vor folosi adesea o combinație a ambelor pentru cea mai bună protecție.
Așa cum există diferite metode de detectare, există și două tipuri principale de sisteme de detectare a intruziunilor. Ele diferă mai ales în locația în care se realizează detectarea intruziunilor, fie la nivel de gazdă, fie la nivel de rețea. Din nou, fiecare are avantajele sale și cea mai bună soluție – sau cea mai sigură – este posibil să le folosiți pe ambele.
Primul tip de sistem de detectare a intruziunilor operează la nivel de gazdă. Ar putea, de exemplu, să verifice diferite fișiere jurnal pentru orice semn de activitate suspectă. De asemenea, ar putea funcționa prin verificarea fișierelor de configurare importante pentru modificări neautorizate. Aceasta este ceea ce ar face HIDS-urile bazate pe anomalii. Pe de altă parte, sistemele bazate pe semnătură ar analiza aceleași fișiere de jurnal și de configurare, dar ar căuta anumite modele de intruziune cunoscute. De exemplu, o anumită metodă de intruziune poate fi cunoscută că funcționează prin adăugarea unui anumit șir la un fișier de configurare specific pe care IDS-ul bazat pe semnătură l-ar detecta.
După cum v-ați fi imaginat, HIDS-urile sunt instalate direct pe dispozitivul pe care trebuie să îl protejeze, așa că va trebui să le instalați pe toate computerele dvs. cu toate acestea, majoritatea sistemelor au o consolă centralizată unde puteți controla fiecare instanță a aplicației.
Sistemele de detectare a intruziunilor în rețea sau NIDS funcționează la granița rețelei dvs. pentru a impune detectarea. Ei folosesc metode similare ca sistemele de detectare a intruziunilor gazdă. Desigur, în loc să caute fișierele de jurnal și de configurare, ele caută trafic de rețea, cum ar fi solicitările de conexiune. Se știe că unele metode de intruziune exploatează vulnerabilitățile trimițând pachete intenționate malformate către gazde, făcându-le să reacționeze într-un anumit mod. Sistemele de detectare a intruziunilor în rețea le-ar putea detecta cu ușurință.
Unii ar argumenta că NIDS sunt mai bune decât HIDS, deoarece detectează atacurile chiar înainte de a ajunge la computerele dvs. De asemenea, sunt mai bune pentru că nu necesită instalarea de nimic pe fiecare computer pentru a le proteja eficient. Pe de altă parte, oferă puțină protecție împotriva atacurilor din interior, care, din păcate, nu sunt deloc neobișnuite. Acesta este un alt caz în care cea mai bună protecție vine din utilizarea unei combinații a ambelor tipuri de instrumente.
Există două genuri diferite de instrumente în lumea protecției împotriva intruziunilor: sisteme de detectare a intruziunilor și sisteme de prevenire a intruziunilor. Deși au un scop diferit, există adesea o suprapunere între cele două tipuri de instrumente. După cum sugerează și numele, detectarea intruziunilor va detecta încercările de intruziune și activitățile suspecte în general. Când o face, de obicei va declanșa un fel de alarmă sau notificare. Apoi revine administratorului să ia măsurile necesare pentru a opri sau bloca această încercare.
Sistemele de prevenire a intruziunilor, pe de altă parte, lucrează la oprirea intruziunilor de a se produce. Majoritatea sistemelor de prevenire a intruziunilor vor include o componentă de detectare care va declanșa anumite acțiuni ori de câte ori sunt detectate încercări de intruziune. Dar prevenirea intruziunilor poate fi și pasivă. Termenul poate fi folosit pentru a se referi la orice măsuri care sunt puse în aplicare pentru a preveni intruziunile. Ne putem gândi la măsuri precum întărirea parolei, de exemplu.
Sistemele de detectare a intruziunilor pot fi scumpe, foarte scumpe. Din fericire, există destul de multe alternative gratuite disponibile acolo. am căutat pe internet unele dintre cele mai bune instrumente software de detectare a intruziunilor. Am găsit destul de multe și suntem pe cale să trecem în revistă pe cele mai bune zece pe care le-am putut găsi.
OSSEC , care înseamnă Open Source Security, este de departe principalul sistem open-source de detectare a intruziunilor gazdei. OSSEC este deținută de Trend Micro, unul dintre cele mai importante nume în domeniul securității IT. Software-ul, când este instalat pe sisteme de operare asemănătoare Unix, se concentrează în primul rând pe fișierele de jurnal și de configurare. Acesta creează sume de control ale fișierelor importante și le validează periodic, avertizându-vă dacă se întâmplă ceva ciudat. De asemenea, va monitoriza și va prinde orice încercări ciudate de a obține acces root. Pe Windows, sistemul ține, de asemenea, un ochi pentru modificările neautorizate ale registrului.
OSSEC, fiind un sistem gazdă de detectare a intruziunilor, trebuie instalat pe fiecare computer pe care doriți să îl protejați. Totuși, va consolida informațiile de la fiecare computer protejat într-o singură consolă pentru o gestionare mai ușoară. Software-ul rulează numai pe sisteme Unix-Like, dar este disponibil un agent pentru a proteja gazdele Windows. Când sistemul detectează ceva, pe consolă este afișată o alertă și notificări sunt trimise prin e-mail.
La fel cum OSSEC a fost topul HIDS open-source, Snort este liderul NIDS open-source. Snort este de fapt mai mult decât un instrument de detectare a intruziunilor. Este, de asemenea, un sniffer de pachete și un înregistrator de pachete. Dar ceea ce ne interesează momentan sunt caracteristicile de detectare a intruziunilor lui Snort. Oarecum ca un firewall, Snort este configurat folosind reguli. Regulile de bază pot fi descărcate de pe site-ul web Snort și personalizate în funcție de nevoile dumneavoastră specifice. De asemenea, vă puteți abona la regulile Snort pentru a vă asigura că le primiți întotdeauna cele mai recente pe măsură ce evoluează pe măsură ce sunt identificate noi amenințări.
Regulile de bază Snort pot detecta o mare varietate de evenimente, cum ar fi scanări de porturi ascunse, atacuri de depășire a tamponului, atacuri CGI, sonde SMB și amprentarea sistemului de operare. Ceea ce detectează instalarea dvs. Snort depinde numai de regulile pe care le-ați instalat. Unele dintre regulile de bază oferite sunt bazate pe semnături, în timp ce altele sunt bazate pe anomalii. Folosirea Snort vă poate oferi tot ce este mai bun din ambele lumi
Suricata se face reclamă ca un sistem de detectare și prevenire a intruziunilor și ca un ecosistem complet de monitorizare a securității rețelei. Unul dintre cele mai bune avantaje ale acestui instrument față de Snort este că funcționează până la nivelul aplicației. Acest lucru permite instrumentului să detecteze amenințările care ar putea trece neobservate în alte instrumente, fiind împărțite în mai multe pachete.
Dar Suricata nu funcționează doar la nivelul aplicației. De asemenea, va monitoriza protocolul de nivel inferior, cum ar fi TLS, ICMP, TCP și UDP. Instrumentul înțelege, de asemenea, protocoale precum HTTP, FTP sau SMB și poate detecta încercările de intruziune ascunse în solicitările altfel normale. Există, de asemenea, o capacitate de extragere a fișierelor pentru a permite administratorilor să examineze ei înșiși fișierele suspecte.
Din punct de vedere arhitectural, Suricata este foarte bine realizat și își va distribui volumul de lucru pe mai multe nuclee de procesor și fire de execuție pentru cea mai bună performanță. Poate chiar să descarce o parte din procesarea sa pe placa grafică. Aceasta este o caracteristică excelentă pe servere, deoarece placa lor grafică este în cea mai mare parte inactivă.
Următorul pe lista noastră este un produs numit Bro Network Security Monitor , un alt sistem gratuit de detectare a intruziunilor în rețea. Bro operează în două faze: înregistrarea traficului și analiza. La fel ca Suricata, Bro operează la nivelul aplicației, permițând o mai bună detectare a încercărilor de intruziune divizată. Se pare că totul vine în perechi cu Bro și modulul său de analiză este format din două elemente. Primul este motorul de evenimente care urmărește evenimentele care declanșează, cum ar fi conexiunile TCP net sau solicitările HTTP. Evenimentele sunt apoi analizate în continuare prin scripturi de politică care decid dacă să declanșeze sau nu o alertă și să lanseze o acțiune, făcând din Bro o prevenire a intruziunilor pe lângă un sistem de detectare.
Bro vă va permite să urmăriți activitatea HTTP, DNS și FTP, precum și să monitorizați traficul SNMP. Acesta este un lucru bun deoarece, deși SNMP este adesea folosit pentru monitorizarea rețelei , nu este un protocol sigur. Bro vă permite, de asemenea, să urmăriți modificările configurației dispozitivului și capcanele SNMP. Bro poate fi instalat pe Unix, Linux și OS X, dar nu este disponibil pentru Windows, poate principalul său dezavantaj.
Open WIPS NG a ajuns pe lista noastră în principal pentru că este singurul care vizează în mod specific rețelele wireless. Open WIPS NG – unde WIPS înseamnă Wireless Intrusion Prevention System – este un instrument open source care cuprinde trei componente principale. În primul rând, există senzorul care este un dispozitiv prost care captează doar traficul wireless și îl trimite la server pentru analiză. Urmează serverul. Acesta adună datele de la toți senzorii, analizează datele adunate și răspunde la atacuri. Este inima sistemului. Nu în ultimul rând, este componenta de interfață, care este interfața grafică pe care o utilizați pentru a gestiona serverul și pentru a afișa informații despre amenințările din rețeaua dvs. wireless.
Totuși, nu tuturor le place Open WIPS NG. Produsul este de la același dezvoltator ca și Aircrack NG, un sniffer wireless de pachete și un spartor de parole care face parte din setul de instrumente al fiecărui hacker WiFi. Pe de altă parte, având în vedere trecutul său, putem presupune că dezvoltatorul știe destul de multe despre securitatea Wi-Fi.
Samhain este un sistem gratuit de detectare a intruziunilor gazdă, care oferă verificarea integrității fișierelor și monitorizarea/analiza fișierelor jurnal. În plus, produsul efectuează, de asemenea, detectarea rootkit-urilor, monitorizarea portului, detectarea executabilelor SUID necinstite și procese ascunse. Acest instrument a fost conceput pentru a monitoriza mai multe sisteme cu diverse sisteme de operare cu înregistrare și întreținere centralizate. Cu toate acestea, Samhain poate fi folosit și ca aplicație autonomă pe un singur computer. Samhain poate rula pe sisteme POSIX precum Unix Linux sau OS X. Poate rula și pe Windows sub Cygwin, deși doar agentul de monitorizare și nu serverul a fost testat în acea configurație.
Una dintre caracteristicile cele mai unice ale lui Samhain este modul său stealth, care îi permite să ruleze fără a fi detectat de eventualii atacatori. Prea des intrușii ucid procesele de detectare pe care le recunosc, permițându-le să treacă neobservați. Samhain folosește steganografia pentru a-și ascunde procesele de alții. De asemenea, își protejează fișierele jurnal centrale și backup-urile de configurare cu o cheie PGP pentru a preveni manipularea.
Fail2Ban este un sistem interesant gratuit de detectare a intruziunilor gazdă, care are și unele funcții de prevenire. Acest instrument funcționează prin monitorizarea fișierelor jurnal pentru evenimente suspecte, cum ar fi încercări eșuate de conectare, căutări de exploatare etc. Când detectează ceva suspect, actualizează automat regulile paravanului de protecție local pentru a bloca adresa IP sursă a comportamentului rău intenționat. Aceasta este acțiunea implicită a instrumentului, dar orice altă acțiune arbitrară, cum ar fi trimiterea de notificări prin e-mail, poate fi configurată.
Sistemul vine cu diverse filtre pre-construite pentru unele dintre cele mai comune servicii, cum ar fi Apache, Courrier, SSH, FTP, Postfix și multe altele. Prevenirea se realizează prin modificarea tabelelor firewall ale gazdei. Instrumentul poate funcționa cu Netfilter, IPtables sau tabelul hosts.deny al TCP Wrapper. Fiecare filtru poate fi asociat cu una sau mai multe acțiuni. Împreună, filtrele și acțiunile sunt denumite închisoare.
AIDE este un acronim pentru Advanced Intrusion Detection Environment. Sistemul gratuit de detectare a intruziunilor gazdă se concentrează în principal pe detectarea rootkit-urilor și pe compararea semnăturilor fișierelor. Când instalați inițial AIDE, acesta va compila o bază de date cu date de administrare din fișierele de configurare ale sistemului. Aceasta este apoi folosită ca o bază de referință față de care orice modificare poate fi comparată și, în cele din urmă, poate fi anulată dacă este necesar.
AIDE folosește atât analize bazate pe semnături, cât și analize bazate pe anomalii, care sunt executate la cerere și nu sunt programate sau rulează continuu. Acesta este de fapt principalul dezavantaj al acestui produs. Cu toate acestea, AIDE este un instrument de linie de comandă și un job CRON poate fi creat pentru al rula la intervale regulate. Și dacă îl rulați foarte frecvent, cum ar fi în fiecare minut sau cam așa ceva, veți obține date cvasi-real în timp. În esență, AIDE nu este altceva decât un instrument de comparare a datelor. Trebuie create scripturi externe pentru a face din acesta un adevărat HIDS.
Security Onion este o fiară interesantă care vă poate economisi mult timp. Acesta nu este doar un sistem de detectare sau prevenire a intruziunilor. Security Onion este o distribuție Linux completă, cu accent pe detectarea intruziunilor, monitorizarea securității întreprinderii și gestionarea jurnalelor. Include multe instrumente, dintre care unele tocmai le-am revizuit. De exemplu, Security Onion are Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner și multe altele. Toate acestea sunt la pachet cu un asistent de configurare ușor de utilizat, permițându-vă să vă protejați organizația în câteva minute. Vă puteți gândi la Security Onion ca la cuțitul elvețian al securității IT pentru întreprinderi.
Cel mai interesant lucru despre acest instrument este că obțineți totul într-o singură instalare simplă. Și obțineți atât instrumente de detectare a intruziunilor de rețea, cât și de gazdă. Există instrumente care folosesc o abordare bazată pe semnătură și unele care se bazează pe anomalii. Distribuția include, de asemenea, o combinație de instrumente bazate pe text și GUI. Există într-adevăr un amestec excelent de toate. Dezavantajul, desigur, este că obțineți atât de mult încât configurarea totul poate dura ceva timp. Dar nu trebuie să folosiți toate instrumentele. Le poți alege doar pe cele pe care le preferi.
Sagan este, de fapt, mai mult un sistem de analiză a jurnalelor decât un IDS adevărat, dar are unele caracteristici asemănătoare IDS despre care credeam că justifică includerea lui pe lista noastră. Acest instrument poate urmări jurnalele locale ale sistemului în care este instalat, dar poate interacționa și cu alte instrumente. Ar putea, de exemplu, să analizeze jurnalele lui Snort, adăugând efectiv unele funcționalități NIDS la ceea ce este în esență un HIDS. Și nu va interacționa doar cu Snort. Poate interacționa și cu Suricata și este compatibil cu mai multe instrumente de construire a regulilor, cum ar fi Oinkmaster sau Pulled Pork.
Sagan are, de asemenea, capabilități de execuție a scripturilor, ceea ce îl face un sistem brut de prevenire a intruziunilor. Este posibil ca acest instrument să nu fie folosit ca unică apărare împotriva intruziunii, dar va fi o componentă excelentă a unui sistem care poate încorpora multe instrumente prin corelarea evenimentelor din diferite surse.
Sistemele de detectare a intruziunilor sunt doar unul dintre numeroasele instrumente disponibile pentru a ajuta administratorii de rețea și de sistem să asigure funcționarea optimă a mediului lor. Oricare dintre instrumentele discutate aici sunt excelente, dar fiecare are un scop ușor diferit. Cel pe care îl veți alege va depinde în mare măsură de preferințele personale și de nevoile specifice.
IIS, prescurtare pentru Internet Information Services, este un server web de la Microsoft, utilizat frecvent în gestionarea site-urilor web și aplicațiilor.
Piața software-ului de management al rețelei este foarte aglomerată. Scurtă-ți căutarea urmând recomandările noastre cu privire la cele mai bune instrumente de gestionare a rețelei.
Măsurile de ping pot fi folosite în beneficiul dumneavoastră în multe moduri. Citiți mai departe în timp ce discutăm despre cum și vă prezentăm cele mai bune 10 instrumente de scanare Ping pe care le puteți găsi.
Site-urile web sunt importante și trebuie monitorizate îndeaproape în mod constant pentru performanță adecvată. Iată câteva dintre cele mai bune instrumente pentru monitorizarea site-urilor web.
Iată o privire la unele dintre cele mai bune instrumente de implementare a software-ului pentru a ușura durerea de a gestiona orice număr de mașini
sFlow este un protocol de analiză a fluxului care este încorporat în numeroase dispozitive de rețea. Analizăm primii cinci cei mai buni colectori și analizoare sFlow gratuite.
Pentru a vă ajuta să alegeți cel potrivit, am introdus cele mai bune instrumente de monitorizare a infrastructurii fără agent și vă oferim o revizuire rapidă a fiecăruia.
Cu Linux devenind din ce în ce mai popular în centrele de date, am analizat monitorizarea lățimii de bandă pe Linux și, de asemenea, revizuim cele mai bune instrumente.
Securitatea e-mailului este o sarcină importantă a furnizorilor de servicii gestionate. Am analizat SolarWinds Mail Assure, unul dintre cele mai bune instrumente în acest scop.
Dacă sunteți un utilizator avansat de Windows, probabil că știți și înțelegeți cum efectuarea diferitelor operațiuni pe computerul dvs. poate avea mai mult decât o singură abordare și
