Лучшее БЕСПЛАТНОЕ программное обеспечение для обнаружения вторжений в 2021 году

Безопасность - горячая тема, и это было уже довольно давно. Много лет назад системные администраторы беспокоились только о вирусах. Вирусы были настолько распространены, что открыли путь к поразительному диапазону средств защиты от вирусов. В наши дни вряд ли кто-то подумает о запуске незащищенного компьютера. Однако компьютерное вторжение или несанкционированный доступ к вашим данным со стороны злоумышленников - это «ежедневная угроза». Сети стали целью многочисленных злонамеренных хакеров, которые идут на все, чтобы получить доступ к вашим данным. Лучшая защита от этих типов угроз - система обнаружения или предотвращения вторжений. Сегодня мы рассмотрим десять лучших бесплатных инструментов для обнаружения вторжений.

Прежде чем мы начнем, мы сначала обсудим различные используемые методы обнаружения вторжений. Точно так же, как есть много способов проникновения злоумышленников в вашу сеть, существует столько же способов - а может быть, даже больше - способов их обнаружения. Затем мы обсудим две основные категории систем обнаружения вторжений: обнаружение сетевых вторжений и обнаружение вторжений на хост. Прежде чем продолжить, мы объясним разницу между обнаружением вторжений и предотвращением вторжений. И, наконец, мы дадим вам краткий обзор десяти лучших бесплатных инструментов обнаружения вторжений, которые мы смогли найти.

Методы обнаружения вторжений

В основном используются два разных метода обнаружения попыток вторжения. Он может быть основан на сигнатуре или на аномалии. Посмотрим, чем они отличаются. Обнаружение вторжений на основе сигнатур работает путем анализа данных на предмет определенных закономерностей, связанных с попытками вторжения. Это чем-то похоже на традиционные антивирусные системы, которые полагаются на определения вирусов. Эти системы будут сравнивать данные с шаблонами сигнатур вторжений для выявления попыток. Их главный недостаток заключается в том, что они не работают до тех пор, пока в программное обеспечение не будет загружена соответствующая подпись, что обычно происходит после атаки определенного количества машин.

Обнаружение вторжений на основе аномалий обеспечивает лучшую защиту от атак нулевого дня, которые происходят до того, как какое-либо программное обеспечение для обнаружения вторжений получит шанс получить надлежащий файл сигнатуры. Вместо того, чтобы пытаться распознать известные шаблоны вторжений, они будут искать аномалии. Например, они могли бы обнаружить, что кто-то несколько раз пытался получить доступ к системе с неправильным паролем, что является обычным признаком атаки методом грубой силы. Как вы уже догадались, у каждого метода обнаружения есть свои преимущества. Вот почему лучшие инструменты часто используют комбинацию обоих для лучшей защиты.

Два типа систем обнаружения вторжений

Так же, как существуют разные методы обнаружения, существуют также два основных типа систем обнаружения вторжений. В основном они различаются местом, где выполняется обнаружение вторжений, либо на уровне хоста, либо на уровне сети. Здесь опять же, у каждого есть свои преимущества, и лучшее решение - или самое безопасное - возможно, использовать оба.

Хост-системы обнаружения вторжений (HIDS)

Первый тип системы обнаружения вторжений работает на уровне хоста. Например, он может проверять различные файлы журналов на наличие каких-либо признаков подозрительной активности. Он также может работать, проверяя важные файлы конфигурации на предмет несанкционированных изменений. Это то, что сделает HIDS на основе аномалий. С другой стороны, системы на основе сигнатур будут искать те же файлы журнала и конфигурации, но будут искать конкретные известные шаблоны вторжений. Например, может быть известно, что конкретный метод вторжения работает, добавляя определенную строку в конкретный файл конфигурации, который обнаружит IDS на основе сигнатур.

Как вы могли догадаться, HIDS устанавливаются непосредственно на устройство, которое они должны защищать, поэтому вам нужно будет установить их на всех ваших компьютерах. однако в большинстве систем есть централизованная консоль, на которой вы можете управлять каждым экземпляром приложения.

Системы обнаружения сетевых вторжений (NIDS)

Системы обнаружения сетевых вторжений, или NIDS, работают на границе вашей сети, чтобы обеспечить обнаружение. Они используют те же методы, что и системы обнаружения вторжений на хост. Конечно, вместо просмотра файлов журнала и конфигурации они просматривают сетевой трафик, например запросы на подключение. Известно, что некоторые методы вторжения используют уязвимости, отправляя на узлы намеренно искаженные пакеты, заставляя их реагировать определенным образом. Системы обнаружения сетевых вторжений могут легко их обнаружить.

Некоторые утверждают, что NIDS лучше, чем HIDS, поскольку они обнаруживают атаки еще до того, как они попадут на ваши компьютеры. Они также лучше, потому что не требуют установки на каждый компьютер для эффективной защиты. С другой стороны, они не обеспечивают достаточной защиты от внутренних атак, что, к сожалению, не является редкостью. Это еще один случай, когда лучшая защита достигается при использовании комбинации обоих типов инструментов.

Обнаружение вторжений против предотвращения

В мире защиты от вторжений есть два разных жанра инструментов: системы обнаружения вторжений и системы предотвращения вторжений. Хотя они служат разным целям, эти два типа инструментов часто частично совпадают. Как следует из названия, система обнаружения вторжений будет обнаруживать попытки вторжений и подозрительные действия в целом. Когда это происходит, обычно срабатывает какой-то сигнал тревоги или уведомление. Затем администратор должен предпринять необходимые шаги, чтобы остановить или заблокировать эту попытку.

С другой стороны, системы предотвращения вторжений работают над предотвращением вторжений в целом. Большинство систем предотвращения вторжений включают в себя компонент обнаружения, который запускает определенные действия при обнаружении попытки вторжения. Но предотвращение вторжений также может быть пассивным. Этот термин может использоваться для обозначения любых шагов, предпринимаемых для предотвращения вторжений. Например, можно подумать о таких мерах, как усиление защиты паролей.

Лучшие бесплатные инструменты для обнаружения вторжений

Системы обнаружения вторжений могут быть дорогими, очень дорогими. К счастью, существует довольно много бесплатных альтернатив. мы искали в Интернете одни из лучших программных средств обнаружения вторжений. Мы нашли довольно много, и мы собираемся кратко рассмотреть десять лучших, которые смогли найти.

1. OSSEC

OSSEC , что означает Open Source Security, на сегодняшний день является ведущей системой обнаружения вторжений на хост с открытым исходным кодом. OSSEC принадлежит компании Trend Micro, одной из ведущих компаний в области ИТ-безопасности. Программное обеспечение, установленное в Unix-подобных операционных системах, в первую очередь ориентировано на файлы журнала и конфигурации. Он создает контрольные суммы важных файлов и периодически проверяет их, предупреждая вас, если происходит что-то странное. Он также будет отслеживать и фиксировать любые случайные попытки получить root-доступ. В Windows система также отслеживает несанкционированные изменения реестра.

OSSEC, будучи системой обнаружения вторжений, необходимо установить на каждый компьютер, который вы хотите защитить. Однако он объединяет информацию с каждого защищенного компьютера в единую консоль для упрощения управления. Программное обеспечение работает только в Unix-подобных системах, но доступен агент для защиты хостов Windows. Когда система что-то обнаруживает, на консоли отображается предупреждение, а уведомления отправляются по электронной почте.

2. Фырканье

Подобно тому, как OSSEC был ведущим HIDS с открытым исходным кодом, Snort является ведущим NIDS с открытым исходным кодом. Snort на самом деле больше, чем инструмент обнаружения вторжений. Это также анализатор пакетов и регистратор пакетов. Но сейчас нас интересуют функции обнаружения вторжений Snort. Примерно как брандмауэр, Snort настраивается с использованием правил. Базовые правила можно загрузить с веб-сайта Snort и настроить под свои нужды. Вы также можете подписаться на правила Snort, чтобы всегда получать самые свежие из них по мере их развития по мере выявления новых угроз.

Базовые правила Snort могут обнаруживать широкий спектр событий, таких как скрытое сканирование портов, атаки переполнения буфера, атаки CGI, зонды SMB и снятие отпечатков пальцев ОС. То, что обнаруживает ваша установка Snort, зависит исключительно от установленных вами правил. Некоторые из предлагаемых основных правил основаны на сигнатуре, а другие - на аномалиях. Использование Snort может дать вам лучшее из обоих миров

3. Суриката

Suricata рекламирует себя как систему обнаружения и предотвращения вторжений и как полноценную экосистему мониторинга сетевой безопасности. Одним из главных преимуществ этого инструмента перед Snort является то, что он работает вплоть до уровня приложения. Это позволяет инструменту обнаруживать угрозы, которые могут остаться незамеченными другими инструментами, за счет разделения на несколько пакетов.

Но Suricata работает не только на уровне приложений. Он также будет отслеживать протоколы более низкого уровня, такие как TLS, ICMP, TCP и UDP. Инструмент также понимает такие протоколы, как HTTP, FTP или SMB, и может обнаруживать попытки вторжения, скрытые в обычных запросах. Также есть возможность извлечения файлов, позволяющая администраторам самостоятельно проверять подозрительные файлы.

С точки зрения архитектуры Suricata очень хорошо сделана и будет распределять свою рабочую нагрузку по нескольким ядрам процессора и потокам для достижения наилучшей производительности. Он даже может переложить часть своей обработки на видеокарту. Это отличная функция для серверов, поскольку их видеокарта в основном простаивает.

4. Монитор сетевой безопасности Bro

Следующим в нашем списке идет продукт под названием Bro Network Security Monitor , еще одна бесплатная система обнаружения сетевых вторжений. Bro работает в два этапа: регистрация трафика и анализ. Как и Suricata, Bro работает на уровне приложений, что позволяет лучше обнаруживать попытки вторжения. Кажется, что все идет в паре с Bro, и его модуль анализа состоит из двух элементов. Первый - это механизм событий, который отслеживает запускающие события, такие как сетевые TCP-соединения или HTTP-запросы. Затем события дополнительно анализируются сценариями политики, которые решают, запускать ли предупреждение и запускать действие, что делает Bro средством предотвращения вторжений в дополнение к системе обнаружения.

Bro позволит вам отслеживать активность HTTP, DNS и FTP, а также отслеживать трафик SNMP. Это хорошо, потому что, хотя SNMP часто используется для мониторинга сети , это небезопасный протокол. Bro также позволяет отслеживать изменения конфигурации устройства и ловушки SNMP. Bro можно установить в Unix, Linux и OS X, но он недоступен для Windows, что, возможно, является его основным недостатком.

5.  Откройте WIPS NG.

Open WIPS NG попал в наш список главным образом потому, что он единственный, специально предназначенный для беспроводных сетей. Open WIPS NG, где WIPS означает Wireless Intrusion Prevention System, представляет собой инструмент с открытым исходным кодом, состоящий из трех основных компонентов. Во-первых, это датчик, который представляет собой простое устройство, которое только захватывает беспроводной трафик и отправляет его на сервер для анализа. Далее идет сервер. Он собирает данные со всех датчиков, анализирует собранные данные и реагирует на атаки. Это сердце системы. И последнее, но не менее важное - это компонент интерфейса, который представляет собой графический интерфейс, который вы используете для управления сервером и отображения информации об угрозах в вашей беспроводной сети.

Однако не всем нравится Open WIPS NG. Этот продукт от того же разработчика, что и Aircrack NG, представляет собой сниффер беспроводных пакетов и взломщик паролей, который является частью набора инструментов каждого хакера WiFi. С другой стороны, учитывая его предысторию, можно предположить, что разработчик неплохо разбирается в безопасности Wi-Fi.

6.  Самайн

Samhain - это бесплатная система обнаружения вторжений на хост, которая обеспечивает проверку целостности файлов и мониторинг / анализ файлов журналов. Кроме того, продукт также выполняет обнаружение руткитов, мониторинг портов, обнаружение ложных исполняемых файлов SUID и скрытых процессов. Этот инструмент был разработан для мониторинга нескольких систем с различными операционными системами с централизованной регистрацией и обслуживанием. Однако Samhain также можно использовать как отдельное приложение на одном компьютере. Samhain может работать в системах POSIX, таких как Unix Linux или OS X. Он также может работать в Windows под Cygwin, хотя в этой конфигурации был протестирован только агент мониторинга, а не сервер.

Одной из самых уникальных особенностей Samhain является его скрытый режим, который позволяет ему работать, не будучи обнаруженным возможными злоумышленниками. Слишком часто злоумышленники уничтожают распознаваемые ими процессы обнаружения, что позволяет им оставаться незамеченными. Samhain использует стеганографию, чтобы скрыть свои процессы от других. Он также защищает свои центральные файлы журналов и резервные копии конфигурации с помощью ключа PGP для предотвращения взлома.

7.  Fail2Ban

Fail2Ban - это интересная бесплатная система обнаружения вторжений на хост, которая также имеет некоторые функции предотвращения. Этот инструмент работает, отслеживая файлы журнала на предмет подозрительных событий, таких как неудачные попытки входа в систему, поиск эксплойтов и т. Д. Когда он обнаруживает что-то подозрительное, он автоматически обновляет правила локального брандмауэра, чтобы заблокировать исходный IP-адрес злонамеренного поведения. Это действие инструмента по умолчанию, но можно настроить любое другое произвольное действие, например отправку уведомлений по электронной почте.

Система поставляется с различными встроенными фильтрами для некоторых из наиболее распространенных сервисов, таких как Apache, Courrier, SSH, FTP, Postfix и многих других. Предотвращение осуществляется путем изменения таблиц брандмауэра хоста. Инструмент может работать с Netfilter, IPtables или таблицей hosts.deny TCP Wrapper. Каждый фильтр может быть связан с одним или несколькими действиями. Вместе фильтры и действия называются тюрьмой.

8. ПОМОЩНИК

AIDE - это аббревиатура от Advanced Intrusion Detection Environment. Система обнаружения вторжений на бесплатный хост в основном ориентирована на обнаружение руткитов и сравнение сигнатур файлов. При первоначальной установке AIDE он соберет базу данных администратора из файлов конфигурации системы. Затем это используется как базовый уровень, с которым можно сравнивать любые изменения и, в конечном итоге, откатывать их, если это необходимо.

AIDE использует анализ как на основе сигнатур, так и на основе аномалий, который выполняется по запросу, а не по расписанию или непрерывно. На самом деле это главный недостаток этого продукта. Однако AIDE - это инструмент командной строки, и можно создать задание CRON для его запуска через регулярные промежутки времени. И если вы запускаете его очень часто - например, каждую минуту или около того - вы будете получать данные в квазиреальном времени. По своей сути AIDE - не что иное, как инструмент сравнения данных. Чтобы сделать его настоящим HIDS, необходимо создать внешние скрипты.

9.  Лук безопасности

Security Onion - интересный зверь, который может сэкономить вам много времени. Это не просто система обнаружения или предотвращения вторжений. Security Onion - это полный дистрибутив Linux, ориентированный на обнаружение вторжений, мониторинг безопасности предприятия и управление журналами. Он включает в себя множество инструментов, некоторые из которых мы только что рассмотрели. Например, в Security Onion есть Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner и другие. Все это связано с простым в использовании мастером настройки, позволяющим защитить вашу организацию за считанные минуты. Вы можете думать о Security Onion как о швейцарском армейском ноже корпоративной ИТ-безопасности.

Самым интересным в этом инструменте является то, что вы получаете все за одну простую установку. И вы получаете инструменты обнаружения вторжений как в сеть, так и на хост. Есть инструменты, использующие подход на основе сигнатур, а некоторые - на основе аномалий. В дистрибутиве также есть сочетание текстовых инструментов и инструментов с графическим интерфейсом. Это действительно отличное сочетание всего. Недостатком, конечно же, является то, что вы получаете так много, что настройка всего этого может занять некоторое время. Но необязательно использовать все инструменты. Вы можете выбрать только те, которые вам нравятся.

10. Саган

На самом деле Sagan - это скорее система анализа журналов, чем настоящая IDS, но у нее есть некоторые функции, подобны�� IDS, которые, как мы думали, оправдывают ее включение в наш список. Этот инструмент может просматривать локальные журналы системы, в которой он установлен, но он также может взаимодействовать с другими инструментами. Например, он может анализировать журналы Snort, эффективно добавляя некоторые функции NIDS к тому, что по сути является HIDS. И он не будет просто взаимодействовать с Snort. Он также может взаимодействовать с Suricata и совместим с несколькими инструментами построения правил, такими как Oinkmaster или Pulled Pork.

Sagan также имеет возможности выполнения сценариев, что делает его грубой системой предотвращения вторжений. Этот инструмент вряд ли может использоваться в качестве единственной защиты от вторжений, но он будет отличным компонентом системы, которая может включать в себя множество инструментов путем сопоставления событий из разных источников.

Вывод

Системы обнаружения вторжений - лишь один из многих инструментов, доступных для помощи сетевым и системным администраторам в обеспечении оптимальной работы своей среды. Любой из обсуждаемых здесь инструментов превосходен, но у каждого из них немного разная цель. Тот, который вы выберете, во многом будет зависеть от личных предпочтений и конкретных потребностей.