Toată lumea vrea să țină intrușii departe de casa lor. De asemenea, și din motive similare, administratorii de rețea se străduiesc să țină intrușii departe de rețelele pe care le administrează. Unul dintre cele mai importante atuuri ale multor organizații de astăzi sunt datele lor. Este atât de important încât mulți indivizi rău intenționați vor face tot posibilul să fure acele date. Ei fac asta folosind o gamă largă de tehnici pentru a obține acces neautorizat la rețele și sisteme. Numărul unor astfel de atacuri pare să fi crescut exponențial recent și, ca reacție, sunt puse în aplicare sisteme pentru a le preveni. Aceste sisteme se numesc sisteme de prevenire a intruziunilor sau IPS. Astăzi, aruncăm o privire la cele mai bune sisteme de prevenire a intruziunilor pe care le-am putut găsi.
Vom începe prin a încerca să definim mai bine ce este prevenirea intruziunilor. Acest lucru, desigur, presupune că vom defini și ce este intruziunea. Vom explora apoi diferitele metode de detectare care sunt utilizate în mod obișnuit și ce acțiuni de remediere sunt întreprinse la detectare. Apoi, vom vorbi pe scurt despre prevenirea intruziunilor pasive. Sunt măsuri statice care pot fi puse în aplicare care ar putea reduce drastic numărul de încercări de intruziune. S-ar putea să fii surprins să afli că unele dintre acestea nu au nicio legătură cu computerele. Abia atunci, cu toți pe aceeași pagină, vom putea, în sfârșit, să revizuim unele dintre cele mai bune sisteme de prevenire a intruziunilor pe care le-am putut găsi.
Prevenirea intruziunilor - Despre ce este vorba?
Cu ani în urmă, virușii erau aproape singurele preocupări ale administratorilor de sistem. Virușii au ajuns într-un punct în care au fost atât de obișnuiți încât industria a reacționat dezvoltând instrumente de protecție împotriva virusurilor. Astăzi, niciun utilizator serios, în stare de spirit, nu s-ar gândi să ruleze un computer fără protecție antivirus. Deși nu mai auzim prea multe despre viruși, intruziunea – sau accesul neautorizat la datele tale de către utilizatori rău intenționați – este noua amenințare. Datele fiind adesea cel mai important activ al unei organizații, rețelele corporative au devenit ținta hackerilor rău intenționați, care vor face tot posibilul pentru a obține acces la date. La fel cum software-ul de protecție împotriva virușilor a fost răspunsul la proliferarea virușilor, Intrusion Prevention Systems este răspunsul la atacurile de intruși.
Sistemele de prevenire a intruziunilor fac în esență două lucruri. În primul rând, detectează încercările de intruziune și, atunci când detectează orice activități suspecte, folosesc diferite metode pentru a o opri sau bloca. Există două moduri diferite prin care pot fi detectate încercările de intruziune. Detectarea bazată pe semnătură funcționează prin analizarea traficului de rețea și a datelor și căutând modele specifice asociate cu încercările de intruziune. Acest lucru este similar cu sistemele tradiționale de protecție împotriva virușilor care se bazează pe definițiile virușilor. Detectarea intruziunilor pe bază de semnătură se bazează pe semnături sau modele de intruziune. Principalul dezavantaj al acestei metode de detectare este că are nevoie de semnăturile adecvate pentru a fi încărcate în software. Și atunci când o nouă metodă de atac, există de obicei o întârziere înainte ca semnăturile de atac să fie actualizate. Unii furnizori sunt foarte rapidi în furnizarea de semnături de atac actualizate, în timp ce alții sunt mult mai lenți. Cât de des și cât de repede sunt actualizate semnăturile este un factor important de luat în considerare atunci când alegeți un furnizor.
Detectarea bazată pe anomalii oferă o protecție mai bună împotriva atacurilor zero-day, cele care au loc înainte ca semnăturile de detectare să aibă șansa de a fi actualizate. Procesul caută anomalii în loc să încerce să recunoască tiparele de intruziune cunoscute. De exemplu, ar fi declanșat dacă cineva ar încerca să acceseze un sistem cu o parolă greșită de mai multe ori la rând, un semn comun al unui atac de forță brută. Acesta este doar un exemplu și, de obicei, există sute de activități suspecte diferite care pot declanșa aceste sisteme. Ambele metode de detectare au avantajele și dezavantajele lor. Cele mai bune instrumente sunt cele care folosesc o combinație de analiză de semnătură și comportament pentru cea mai bună protecție.
Detectarea tentativei de intruziune este prima parte a prevenirii acestora. Odată detectate, sistemele de prevenire a intruziunilor lucrează activ la oprirea activităților detectate. Mai multe acțiuni de remediere diferite pot fi întreprinse de aceste sisteme. Ei ar putea, de exemplu, să suspende sau să dezactiveze în alt mod conturile de utilizator. O altă acțiune tipică este blocarea adresei IP sursă a atacului sau modificarea regulilor firewall-ului. Dacă activitatea rău intenționată provine dintr-un anumit proces, sistemul de prevenire ar putea ucide procesul. Pornirea unui proces de protecție este o altă reacție comună și, în cele mai rele cazuri, sisteme întregi pot fi oprite pentru a limita daune potențiale. O altă sarcină importantă a Sistemelor de prevenire a intruziunilor este alertarea administratorilor, înregistrarea evenimentului și raportarea activităților suspecte.
Măsuri de prevenire a intruziunilor pasive
În timp ce sistemele de prevenire a intruziunilor vă pot proteja împotriva numeroaselor tipuri de atacuri, nimic nu bate măsurile bune, de modă veche, de prevenire a intruziunilor pasive. De exemplu, solicitarea de parole puternice este o modalitate excelentă de a vă proteja împotriva multor intruziuni. O altă măsură ușoară de protecție este schimbarea parolelor implicite ale echipamentelor. Deși este mai puțin frecvent în rețelele corporative – deși nu este nemaiauzit – am văzut prea des gateway-uri de internet care aveau încă parola implicită de administrator. În ceea ce privește subiectul parolelor, îmbătrânirea parolei este un alt pas concret care poate fi pus în aplicare pentru a reduce încercările de intruziune. Orice parolă, chiar și cea mai bună, poate fi în cele din urmă spartă, având suficient timp. Îmbătrânirea parolelor asigură că parolele vor fi schimbate înainte de a fi sparte.
Au fost doar exemple de ceea ce se putea face pentru a preveni pasiv intruziunile. Am putea scrie o postare întreagă despre măsurile pasive care pot fi puse în aplicare, dar acesta nu este obiectivul nostru astăzi. Scopul nostru este, în schimb, să prezentăm unele dintre cele mai bune sisteme active de prevenire a intruziunilor.
Cele mai bune sisteme de prevenire a intruziunilor
Lista noastră conține o combinație de diverse instrumente care pot fi utilizate pentru a proteja împotriva tentativelor de intruziune. Majoritatea instrumentelor incluse sunt adevărate sisteme de prevenire a intruziunilor, dar includem și instrumente care, deși nu sunt comercializate ca atare, pot fi folosite pentru a preveni intruziunile. Prima noastră intrare este un astfel de exemplu. Amintiți-vă că, mai mult decât orice, alegerea instrumentului de utilizat ar trebui să fie ghidată de nevoile dvs. specifice. Deci, să vedem ce are de oferit fiecare dintre instrumentele noastre de top.
1. SolarWinds Log & Event Manager (ÎNCERCARE GRATUITĂ)
SolarWinds este un nume binecunoscut în administrarea rețelei. Se bucură de o reputație solidă pentru realizarea unora dintre cele mai bune instrumente de administrare a rețelelor și a sistemului. Produsul său emblematic, Monitorul de performanță a rețelei se înscrie în mod constant printre cele mai bune instrumente de monitorizare a lățimii de bandă a rețelei disponibile. SolarWinds este, de asemenea, renumit pentru numeroasele sale instrumente gratuite, fiecare abordând o nevoie specifică a administratorilor de rețea. Serverul Kiwi Syslog sau serverul TFTP SolarWinds sunt două exemple excelente ale acestor instrumente gratuite.
Nu lăsați numele SolarWinds Log & Event Manager să vă păcălească. Este mult mai mult decât se vede în ochi. Unele dintre caracteristicile avansate ale acestui produs îl califică drept sistem de detectare și prevenire a intruziunilor, în timp ce altele îl plasează în gama SIEM (Security Information and Event Management). Instrumentul, de exemplu, oferă corelarea evenimentelor în timp real și remedierea în timp real.
SolarWinds Log & Event Managerul are detectia instantanee a activitatii suspecte (o funcționalitate de detectare a intruziunilor) și răspunsurile automate (o funcționalitate de prevenire a intruziunilor). Acest instrument poate fi folosit și pentru a efectua investigații despre evenimente de securitate și criminalistică. Poate fi folosit în scopuri de atenuare și de conformitate. Instrumentul oferă raportări dovedite de audit, care pot fi, de asemenea, utilizate pentru a demonstra conformitatea cu diferite cadre de reglementare, cum ar fi HIPAA, PCI-DSS și SOX. Instrumentul are, de asemenea, monitorizarea integrității fișierelor și monitorizarea dispozitivului USB. Toate caracteristicile avansate ale software-ului îl fac mai mult o platformă de securitate integrată decât doar sistemul de gestionare a jurnalelor și a evenimentelor pe care numele său v-ar face să credeți.
Caracteristicile de prevenire a intruziunilor din SolarWinds Log & Event Manager funcționează prin implementarea acțiunilor numite Active Responses ori de câte ori sunt detectate amenințări. Diferite răspunsuri pot fi legate de alerte specifice. De exemplu, sistemul poate scrie în tabelele firewall pentru a bloca accesul la rețea al unei adrese IP sursă care a fost identificată ca efectuând activități suspecte. Instrumentul poate, de asemenea, să suspende conturile de utilizator, să oprească sau să pornească procese și să închidă sistemele. Vă veți aminti cum acestea sunt exact acțiunile de remediere pe care le-am identificat anterior.
Prețurile pentru SolarWinds Log & Event Manager variază în funcție de numărul de noduri monitorizate. Prețurile încep de la 4.585 USD pentru până la 30 de noduri monitorizate și pot fi achiziționate licențe pentru până la 2500 de noduri, făcând produsul foarte scalabil. Dacă doriți să luați produsul pentru un test de funcționare și să vedeți singur dacă este potrivit pentru dvs., este disponibilă o perioadă de încercare gratuită cu funcții complete de 30 de zile .
2. Splunk
Splunk este probabil unul dintre cele mai populare sisteme de prevenire a intruziunilor. Este disponibil în mai multe ediții diferite, cu seturi de caracteristici diferite. Splunk Enterprise Security – sau Splunk ES , așa cum este adesea numit – este ceea ce aveți nevoie pentru o adevărată prevenire a intruziunilor. Software-ul monitorizează datele sistemului dumneavoastră în timp real, căutând vulnerabilități și semne de activitate anormală.
Răspunsul de securitate este unul dintre punctele forte ale produsului și ceea ce îl face un sistem de prevenire a intruziunilor. Acesta utilizează ceea ce furnizorul numește Cadrul de răspuns adaptiv (ARF). Se integrează cu echipamente de la peste 55 de furnizori de securitate și poate efectua răspuns automat, accelerând sarcinile manuale. Această combinație, dacă remedierea automată și intervenția manuală vă poate oferi cele mai bune șanse de a câștiga rapid avantajul. Instrumentul are o interfață de utilizator simplă și neaglomerată, ceea ce reprezintă o soluție câștigătoare. Alte funcții de protecție interesante includ funcția „Notabili” care arată alerte personalizabile de utilizator și „Investigatorul de active” pentru semnalarea activităților rău intenționate și prevenirea problemelor ulterioare.
Informațiile despre prețuri Splunk Enterprise Security nu sunt ușor disponibile. Va trebui să contactați vânzările Splunk pentru a obține o ofertă detaliată. Acesta este un produs grozav pentru care este disponibilă o versiune de încercare gratuită.
3. Sagan
Sagan este practic un sistem gratuit de detectare a intruziunilor. Cu toate acestea, instrumentul care are capabilități de execuție de scripturi care îl poate plasa în categoria Sisteme de prevenire a intruziunilor. Sagan detectează încercările de intruziune prin monitorizarea fișierelor jurnal. Puteți, de asemenea, să combinați Sagan cu Snort, care își poate transmite rezultatul către Sagan, oferind instrumentului unele capacități de detectare a intruziunilor bazate pe rețea. De fapt, Sagan poate primi informații de la multe alte instrumente, cum ar fi Bro sau Suricata, combinând capacitățile mai multor instrumente pentru cea mai bună protecție posibilă.
Totuși, există o captură în ceea ce privește capacitățile de execuție a scripturilor lui Sagan . Trebuie să scrieți scripturile de remediere. Deși acest instrument ar putea să nu fie cel mai bine utilizat ca unică apărare împotriva intruziunii, ar putea fi o componentă cheie a unui sistem care încorporează mai multe instrumente prin corelarea evenimentelor din diferite surse, oferindu-vă cele mai bune dintre multe produse.
În timp ce Sagan poate fi instalat numai pe Linux, Unix și Mac OS, se poate conecta la sistemele Windows pentru a obține evenimentele lor. Alte caracteristici interesante ale Sagan includ urmărirea locației adresei IP și procesarea distribuită.
4. OSSEC
Open Source Security , sau OSSEC , este unul dintre cele mai importante sisteme open-source de detectare a intruziunilor bazate pe gazdă. Îl includem pe lista noastră din două motive. Popularitatea sa este de așa natură încât a trebuit să-l includem, mai ales având în vedere că instrumentul vă permite să specificați acțiuni care sunt efectuate automat ori de câte ori sunt declanșate anumite alerte, oferindu-i unele capacități de prevenire a intruziunilor. OSSEC este deținut de Trend Micro, unul dintre cele mai importante nume în domeniul securității IT și producător al uneia dintre cele mai bune suite de protecție împotriva virusurilor.
Când este instalat pe sisteme de operare asemănătoare Unix, motorul de detectare al software-ului se concentrează în primul rând pe fișierele de jurnal și de configurare. Acesta creează sume de control ale fișierelor importante și le verifică periodic, avertizându-vă sau declanșând o acțiune de remediere ori de câte ori se întâmplă ceva ciudat. De asemenea, va monitoriza și va alerta cu privire la orice încercare anormală de a obține acces root. Pe Windows, sistemul ține, de asemenea, un ochi pentru modificările neautorizate ale registrului, deoarece acestea ar putea fi semnul indicator al activității rău intenționate. Orice detectare va declanșa o alertă care va fi afișată pe consola centralizată, în timp ce notificările vor fi trimise și prin e-mail.
OSSEC este un sistem de protecție împotriva intruziunilor bazat pe gazdă. Ca atare, trebuie să fie instalat pe fiecare computer pe care doriți să îl protejați. Cu toate acestea, o consolă centralizată consolidează informațiile de la fiecare computer protejat pentru o gestionare mai ușoară. OSSEC Consola rulează numai pe sistemele de operare de tip Unix , dar un agent este disponibil pentru a proteja gazde Windows. Alternativ, alte instrumente, cum ar fi Kibana sau Graylog, pot fi folosite ca front-end al instrumentului.
5. Deschideți WIPS-NG
Nu eram prea siguri dacă ar trebui să includem Open WIPS NG pe lista noastră. Mai multe despre asta într-o clipă. A făcut-o în principal pentru că este unul dintre singurele produse care vizează în mod special rețelele wireless. Deschideți WIPS NG– unde WIPS înseamnă Wireless Intrusion Prevention System – este un instrument open source care este format din trei componente principale. În primul rând, există senzorul. Acesta este un proces prost care pur și simplu captează traficul wireless și îl trimite la server pentru analiză. După cum probabil ați ghicit, următoarea componentă este serverul. Agregează datele de la toți senzorii, analizează datele adunate și răspunde la atacuri. Această componentă este inima sistemului. Nu în ultimul rând, este componenta de interfață, care este interfața grafică pe care o utilizați pentru a gestiona serverul și pentru a afișa informații despre amenințările găsite în rețeaua dvs. wireless.
Motivul principal pentru care am ezitat înainte de a include Open WIPS NG pe lista noastră este că, oricât de bun este, nu tuturor le place dezvoltatorul produsului. Este de la același dezvoltator ca și Aircrack NG, un sniffer wireless de pachete și un spartor de parole care face parte din setul de instrumente al fiecărui hacker WiFi. Acest lucru deschide dezbaterea asupra eticii dezvoltatorului și îi face pe unii utilizatori să fie precauți. Pe de altă parte, background-ul dezvoltatorului poate fi văzut ca o dovadă a cunoștințelor sale profunde despre securitatea Wi-Fi.
6. Fail2Ban
Fail2Ban este un sistem de detectare a intruziunilor gazdă gratuit, relativ popular, cu funcții de prevenire a intruziunilor. Software-ul funcționează prin monitorizarea fișierelor jurnal de sistem pentru evenimente suspecte, cum ar fi încercările eșuate de conectare sau căutările de exploatare. Când sistemul detectează ceva suspect, reacționează actualizând automat regulile paravanului de protecție local pentru a bloca adresa IP sursă a comportamentului rău intenționat. Acest lucru, desigur, implică faptul că un anumit proces firewall rulează pe mașina locală. Acesta este principalul dezavantaj al instrumentului. Cu toate acestea, orice altă acțiune arbitrară, cum ar fi executarea unui script de remediere sau trimiterea de notificări prin e-mail, poate fi configurată.
Fail2Ban este furnizat cu mai multe declanșatoare de detectare prefabricate numite filtre, care acoperă unele dintre cele mai comune servicii, cum ar fi Apache, Courrier, SSH, FTP, Postfix și multe altele. După cum am spus, acțiunile de remediere sunt realizate prin modificarea tabelelor firewall ale gazdei. Fail2Ban acceptă Netfilter, IPtables sau tabelul hosts.deny din TCP Wrapper. Fiecare filtru poate fi asociat cu una sau mai multe acțiuni. Împreună, filtrele și acțiunile sunt denumite închisoare.
7. Bro Network Security Monitor
Security Monitor Bro rețea este un alt sistem liber de rețea de detectare a intruziunilor cu IPS-ca funcționalitate. Funcționează în două faze, mai întâi înregistrează traficul și apoi îl analizează. Acest instrument operează la mai multe straturi până la stratul de aplicație, ceea ce ține cont de o mai bună detectare a încercărilor de intruziune divizată. Modulul de analiză a produsului este alcătuit din două elemente. Primul element se numește Event Engine și scopul său este urmărirea evenimentelor care declanșează, cum ar fi conexiunile TCP sau solicitările HTTP. Evenimentele sunt apoi analizate de Policy Scripts, al doilea element. Sarcina Scripturilor de politici este să decidă dacă declanșează o alarmă, lansează o acțiune sau ignoră evenimentul. Este posibilitatea de a lansa o acțiune care oferă Bro Network Security Monitor funcționalitatea IPS.
Security Monitor Bro Rețeaua are unele limitări. Acesta va urmări doar activitatea HTTP, DNS și FTP și va monitoriza, de asemenea, traficul SNMP. Acesta este totuși un lucru bun, deoarece SNMP este adesea folosit pentru monitorizarea rețelei, în ciuda defectelor sale grave de securitate. SNMP are aproape deloc securitate încorporată și utilizează trafic necriptat. Și, deoarece protocolul poate fi folosit pentru a modifica configurațiile, ar putea fi exploatat cu ușurință de utilizatorii rău intenționați. Produsul va urmări, de asemenea, modificările configurației dispozitivului și capcanele SNMP. Poate fi instalat pe Unix, Linux și OS X, dar nu este disponibil pentru Windows, ceea ce este probabil principalul său dezavantaj. În caz contrar, acesta este un instrument foarte interesant care merită încercat.
IIS, prescurtare pentru Internet Information Services, este un server web de la Microsoft, utilizat frecvent în gestionarea site-urilor web și aplicațiilor.
Piața software-ului de management al rețelei este foarte aglomerată. Scurtă-ți căutarea urmând recomandările noastre cu privire la cele mai bune instrumente de gestionare a rețelei.
Măsurile de ping pot fi folosite în beneficiul dumneavoastră în multe moduri. Citiți mai departe în timp ce discutăm despre cum și vă prezentăm cele mai bune 10 instrumente de scanare Ping pe care le puteți găsi.
Site-urile web sunt importante și trebuie monitorizate îndeaproape în mod constant pentru performanță adecvată. Iată câteva dintre cele mai bune instrumente pentru monitorizarea site-urilor web.
Iată o privire la unele dintre cele mai bune instrumente de implementare a software-ului pentru a ușura durerea de a gestiona orice număr de mașini
sFlow este un protocol de analiză a fluxului care este încorporat în numeroase dispozitive de rețea. Analizăm primii cinci cei mai buni colectori și analizoare sFlow gratuite.
Pentru a vă ajuta să alegeți cel potrivit, am introdus cele mai bune instrumente de monitorizare a infrastructurii fără agent și vă oferim o revizuire rapidă a fiecăruia.
Cu Linux devenind din ce în ce mai popular în centrele de date, am analizat monitorizarea lățimii de bandă pe Linux și, de asemenea, revizuim cele mai bune instrumente.
Securitatea e-mailului este o sarcină importantă a furnizorilor de servicii gestionate. Am analizat SolarWinds Mail Assure, unul dintre cele mai bune instrumente în acest scop.
Dacă sunteți un utilizator avansat de Windows, probabil că știți și înțelegeți cum efectuarea diferitelor operațiuni pe computerul dvs. poate avea mai mult decât o singură abordare și
