2021 için En İyi 7 Saldırı Önleme Sistemi (IPS)

Herkes davetsiz misafirleri evlerinden uzak tutmak ister. Aynı şekilde ve benzer nedenlerle ağ yöneticileri, izinsiz giriş yapanları yönettikleri ağların dışında tutmaya çalışırlar. Günümüz organizasyonlarının çoğunun en önemli varlıklarından biri verileridir. Birçok kötü niyetli kişinin bu verileri çalmak için büyük çaba sarf etmesi o kadar önemlidir ki. Bunu, ağlara ve sistemlere yetkisiz erişim elde etmek için çok çeşitli teknikler kullanarak yaparlar. Bu tür saldırıların sayısı son zamanlarda katlanarak arttı ve tepki olarak bunları önlemek için sistemler devreye giriyor. Bu sistemler, Saldırı Önleme Sistemleri veya IPS olarak adlandırılır. Bugün, bulabileceğimiz en iyi izinsiz giriş önleme sistemlerine bir göz atıyoruz.

İzinsiz Girişi Önleme'nin ne olduğunu daha iyi tanımlamaya çalışarak başlayacağız. Bu, elbette, izinsiz girişin ne olduğunu da tanımlamamızı gerektiriyor. Ardından, tipik olarak kullanılan farklı algılama yöntemlerini ve algılama üzerine hangi düzeltme eylemlerinin gerçekleştirildiğini keşfedeceğiz. Ardından, pasif izinsiz giriş önleme hakkında kısaca konuşacağız. Bunlar, izinsiz giriş denemelerinin sayısını büyük ölçüde azaltabilecek, uygulamaya konulabilecek statik önlemlerdir. Bunlardan bazılarının bilgisayarlarla hiçbir ilgisi olmadığını öğrenmek sizi şaşırtabilir. Ancak o zaman, hepimiz aynı sayfadayken, bulabileceğimiz en iyi İzinsiz Girişi Önleme Sistemlerinden bazılarını nihayet gözden geçirebileceğiz.

İzinsiz Girişi Önleme - Bu Ne Hakkında?

Yıllar önce, sistem yöneticilerinin tek endişesi virüslerdi. Virüsler o kadar yaygın hale geldi ki endüstri virüs koruma araçları geliştirerek tepki gösterdi. Bugün, aklı başında hiçbir ciddi kullanıcı, virüs koruması olmayan bir bilgisayarı çalıştırmayı düşünmez. Artık virüsleri pek duymasak da, izinsiz giriş veya kötü niyetli kullanıcılar tarafından verilerinize yetkisiz erişim yeni tehdittir. Verilerin genellikle bir kuruluşun en önemli varlığı olmasıyla birlikte, kurumsal ağlar, verilere erişmek için büyük çaba sarf edecek kötü niyetli bilgisayar korsanlarının hedefi haline geldi. Tıpkı virüs koruma yazılımının virüslerin yayılmasına yanıt olması gibi, İzinsiz Girişi Önleme Sistemleri de izinsiz giriş saldırılarına yanıttır.

Saldırı Önleme Sistemleri temelde iki şey yapar. İlk olarak, izinsiz giriş girişimlerini tespit ederler ve herhangi bir şüpheli aktivite tespit ettiklerinde, onu durdurmak veya engellemek için farklı yöntemler kullanırlar. İzinsiz giriş denemelerinin tespit edilmesinin iki farklı yolu vardır. İmza tabanlı algılama, ağ trafiğini ve verilerini analiz ederek ve izinsiz giriş denemeleriyle ilişkili belirli kalıpları arayarak çalışır. Bu, virüs tanımlarına dayanan geleneksel virüs koruma sistemlerine benzer. İmza tabanlı izinsiz giriş tespiti, izinsiz giriş imzalarına veya modellerine dayanır. Bu algılama yönteminin ana dezavantajı, yazılıma yüklenmesi için uygun imzalara ihtiyaç duymasıdır. Ve yeni bir saldırı yöntemi olduğunda, saldırı imzalarının güncellenmesinden önce genellikle bir gecikme olur. Bazı satıcılar güncellenmiş saldırı imzaları sağlamada çok hızlıyken, diğerleri çok daha yavaştır. İmzaların ne sıklıkta ve ne kadar hızlı güncellendiği, bir satıcı seçerken dikkate alınması gereken önemli bir faktördür.

Anormallik tabanlı algılama, algılama imzalarının güncellenme şansına sahip olmadan önce gerçekleşen sıfır gün saldırılarına karşı daha iyi koruma sağlar. Süreç, bilinen izinsiz giriş modellerini tanımaya çalışmak yerine anormallikleri arar. Örneğin, birisi arka arkaya birkaç kez yanlış parolayla bir sisteme erişmeye çalışırsa tetiklenir, bu kaba kuvvet saldırısının yaygın bir işaretidir. Bu sadece bir örnektir ve genellikle bu sistemleri tetikleyebilecek yüzlerce farklı şüpheli etkinlik vardır. Her iki algılama yönteminin de avantajları ve dezavantajları vardır. En iyi araçlar, en iyi koruma için imza ve davranış analizi kombinasyonunu kullananlardır.

İzinsiz giriş girişimini tespit etmek, onları önlemenin ilk bölümlerinden biridir. Tespit edildiğinde, İzinsiz Giriş Önleme Sistemleri, tespit edilen faaliyetleri durdurmak için aktif olarak çalışır. Bu sistemler tarafından birkaç farklı iyileştirici eylem gerçekleştirilebilir. Örneğin, kullanıcı hesaplarını askıya alabilir veya başka bir şekilde devre dışı bırakabilirler. Diğer bir tipik eylem, saldırının kaynak IP adresini engellemek veya güvenlik duvarı kurallarını değiştirmektir. Kötü amaçlı etkinlik belirli bir süreçten geliyorsa, önleme sistemi süreci sonlandırabilir. Bazı koruma süreçlerini başlatmak başka bir yaygın tepkidir ve en kötü durumlarda, olası hasarı sınırlamak için tüm sistemler kapatılabilir. Saldırı Önleme Sistemlerinin bir diğer önemli görevi de yöneticileri uyarmak, olayı kaydetmek ve şüpheli faaliyetleri bildirmektir.

Pasif Saldırı Önleme Tedbirleri

İzinsiz Giriş Önleme Sistemleri sizi çeşitli saldırı türlerine karşı koruyabilir, ancak hiçbir şey iyi, eski moda pasif izinsiz giriş önleme önlemlerini yenemez. Örneğin, güçlü parolaları zorunlu kılmak, birçok izinsiz girişe karşı korumanın mükemmel bir yoludur. Bir başka kolay koruma önlemi, ekipman varsayılan şifrelerini değiştirmektir. Kurumsal ağlarda daha az sıklıkta görülse de – duyulmamış bir şey olmasa da – yalnızca varsayılan yönetici parolalarına sahip olan İnternet ağ geçitlerini çok sık gördüm. Parolalar söz konusu olduğunda, parola eskitme, izinsiz giriş girişimlerini azaltmak için uygulanabilecek bir başka somut adımdır. Herhangi bir şifre, en iyisi bile, yeterli zaman verildiğinde sonunda kırılabilir. Parola eskitme, parolaların kırılmadan önce değiştirilmesini sağlar.

İzinsiz girişleri pasif olarak önlemek için neler yapılabileceğine dair örnekler vardı. Hangi pasif tedbirlerin alınabileceği hakkında koca bir yazı yazabiliriz ama bugünkü hedefimiz bu değil. Amacımız bunun yerine en iyi aktif İzinsiz Giriş Önleme Sistemlerinden bazılarını sunmaktır.

En İyi Saldırı Önleme Sistemleri

Listemiz, izinsiz giriş denemelerine karşı koruma sağlamak için kullanılabilecek çeşitli araçların bir karışımını içerir. Dahil edilen araçların çoğu gerçek İzinsiz Girişi Önleme Sistemleridir, ancak bu şekilde pazarlanmasa da izinsiz girişleri önlemek için kullanılabilecek araçları da dahil ediyoruz. İlk girişimiz böyle bir örnek. Hangi aracı kullanacağınız konusundaki seçiminizin, her şeyden çok, özel ihtiyaçlarınız tarafından yönlendirilmesi gerektiğini unutmayın. Öyleyse, en iyi araçlarımızın her birinin neler sunabileceğini görelim.

1. SolarWinds Günlük ve Olay Yöneticisi (ÜCRETSİZ DENEME)

SolarWinds, ağ yönetiminde iyi bilinen bir isimdir. En iyi ağ ve sistem yönetim araçlarından bazılarını yapma konusunda sağlam bir üne sahiptir. Amiral gemisi ürünü olan Ağ Performansı İzleyicisi, mevcut en iyi ağ bant genişliği izleme araçları arasında tutarlı bir şekilde puan alır. SolarWinds ayrıca her biri ağ yöneticilerinin belirli bir ihtiyacını karşılayan birçok ücretsiz aracıyla ünlüdür. Kiwi Syslog Sunucusu veya SolarWinds TFTP sunucusu, bu ücretsiz araçların iki mükemmel örneğidir.

SolarWinds Log & Event Manager'ın adının sizi aldatmasına izin vermeyin . Görünenden çok daha fazlası var. Bu ürünün gelişmiş özelliklerinden bazıları, onu bir saldırı tespit ve önleme sistemi olarak nitelendirirken, diğerleri onu Güvenlik Bilgileri ve Olay Yönetimi (SIEM) aralığına koyar. Araç, örneğin, gerçek zamanlı olay korelasyonu ve gerçek zamanlı iyileştirme özelliklerine sahiptir.

• ÜCRETSİZ DENEME: SolarWinds Günlük ve Etkinlik Yöneticisi
• Resmi İndirme Bağlantısı: https://www.solarwinds.com/log-event-manager-software/registration

SolarWinds Günlüğü & Etkinlik Yöneticisi şüpheli etkinlik anlık algılama (sızma tespiti işlevselliği) ve otomatik tepkileri (Saldırı Önleme işlevi) sahiptir. Bu araç, güvenlik olayı soruşturması ve adli tıp gerçekleştirmek için de kullanılabilir. Azaltma ve uyum amaçları için kullanılabilir. Araç, HIPAA, PCI-DSS ve SOX gibi çeşitli düzenleyici çerçevelerle uyumluluğu göstermek için de kullanılabilen, denetimle kanıtlanmış raporlamaya sahiptir. Araç ayrıca dosya bütünlüğü izleme ve USB cihaz izleme özelliklerine sahiptir. Yazılımın tüm gelişmiş özellikleri, onu adının sizi inandıracağı günlük ve olay yönetim sisteminden çok entegre bir güvenlik platformu haline getirir.

SolarWinds Log & Event Manager'ın İzinsiz Girişi Önleme özellikleri, tehditler algılandığında Aktif Yanıtlar adı verilen eylemleri uygulayarak çalışır. Belirli uyarılara farklı yanıtlar bağlanabilir. Örneğin, sistem, şüpheli faaliyetler gerçekleştirdiği belirlenen bir kaynak IP adresinin ağ erişimini engellemek için güvenlik duvarı tablolarına yazabilir. Araç ayrıca kullanıcı hesaplarını askıya alabilir, süreçleri durdurabilir veya başlatabilir ve sistemleri kapatabilir. Bunların tam olarak daha önce belirlediğimiz iyileştirme eylemleri olduğunu hatırlayacaksınız.

SolarWinds Günlük ve Olay Yöneticisi için fiyatlandırma , izlenen düğümlerin sayısına göre değişir. 30 adede kadar izlenen düğüm için fiyatlar 4,585 dolardan başlar ve ürünü son derece ölçeklenebilir hale getirmek için 2500 adede kadar düğüm için lisans satın alınabilir. Ürünü bir deneme çalışmasına götürmek ve sizin için uygun olup olmadığını kendiniz görmek istiyorsanız, ücretsiz, tam özellikli 30 günlük deneme sürümü mevcuttur .

2. Splunk

Splunk , muhtemelen en popüler Saldırı Önleme Sistemlerinden biridir. Farklı özellik setlerine sahip birkaç farklı sürümde mevcuttur. Gerçek İzinsiz Girişi Önleme için ihtiyacınız olan şey Splunk Enterprise Security –veya genellikle Splunk ES olarak adlandırılır. Yazılım, sisteminizin verilerini gerçek zamanlı olarak izleyerek güvenlik açıklarını ve anormal etkinlik belirtilerini arar.

Güvenlik yanıtı, ürünün güçlü özelliklerinden biridir ve onu İzinsiz Girişi Önleme Sistemi yapan şeydir. Satıcının Adaptive Response Framework (ARF) dediği şeyi kullanır. 55'ten fazla güvenlik sağlayıcısının ekipmanıyla entegre olur ve otomatik yanıt vererek manuel görevleri hızlandırabilir. Bu kombinasyon, otomatik iyileştirme ve manuel müdahale durumunda size hızlı bir şekilde üstünlük kazanmanız için en iyi şansı verebilir. Araç, basit ve düzenli bir kullanıcı arayüzüne sahip olup, kazanan bir çözüm sunar. Diğer ilginç koruma özellikleri arasında, kullanıcı tarafından özelleştirilebilen uyarıları gösteren "Önemli Kişiler" işlevi ve kötü amaçlı etkinlikleri işaretlemek ve başka sorunları önlemek için "Varlık Araştırmacısı" yer alır.

Splunk Enterprise Security'nin fiyatlandırma bilgileri hazır değildir. Ayrıntılı bir fiyat teklifi almak için Splunk'ın satışlarıyla iletişime geçmeniz gerekecek. Bu, ücretsiz denemenin mevcut olduğu harika bir üründür.

3. Sagan

Sagan temelde ücretsiz bir saldırı tespit sistemidir. Ancak, onu İzinsiz Giriş Önleme Sistemleri kategorisine yerleştirebilecek komut dosyası yürütme yeteneklerine sahip araç. Sagan , günlük dosyalarının izlenmesi yoluyla izinsiz giriş girişimlerini tespit eder. Ayrıca birleştirebilirsiniz Sagan etmek çıkışını besleyebilir Snort ile Sagan aracını bazı ağ tabanlı saldırı tespit yetenekleri vererek. Aslında Sagan , mümkün olan en iyi koruma için çeşitli araçların özelliklerini bir araya getiren Bro veya Suricata gibi diğer birçok araçtan girdi alabilir.

Yine de Sagan'ın komut dosyası yürütme yeteneklerinde bir yakalama var . Düzeltme komut dosyalarını yazmanız gerekir. Bu araç, izinsiz girişlere karşı tek savunmanız olarak en iyi şekilde kullanılmasa da, farklı kaynaklardan gelen olayları ilişkilendirerek çeşitli araçları içeren ve size birçok ürünün en iyisini veren bir sistemin önemli bir bileşeni olabilir.

İken Sagan sadece Linux, Unix ve Mac OS üzerinde kurulabilir, onların etkinliklerini almak için Windows sistemlerinde bağlanabilir. Sagan'ın diğer ilginç özellikleri arasında IP adresi konum takibi ve dağıtılmış işleme yer alır.

4. OSSEC

Açık Kaynak Güvenliği veya OSSEC , önde gelen açık kaynaklı ana bilgisayar tabanlı Saldırı Tespit Sistemidir. İki nedenden dolayı listemize dahil ediyoruz. Popülaritesi o kadar fazladır ki, özellikle aracın belirli uyarılar tetiklendiğinde otomatik olarak gerçekleştirilen eylemleri belirlemenize izin verdiği ve ona bazı İzinsiz Girişi Önleme yetenekleri kazandırdığı düşünüldüğünde, onu dahil etmek zorunda kaldık. OSSEC , BT güvenliğinin önde gelen isimlerinden biri olan ve en iyi virüs koruma paketlerinden birinin üreticisi olan Trend Micro'ya aittir.

Unix benzeri işletim sistemlerine yüklendiğinde, yazılımın algılama motoru öncelikle günlük ve yapılandırma dosyalarına odaklanır. Önemli dosyaların sağlama toplamlarını oluşturur ve bunları periyodik olarak doğrulayarak, sizi uyaran veya garip bir şey olduğunda bir düzeltici eylemi tetikler. Ayrıca, kök erişimi elde etmek için herhangi bir anormal girişimi izleyecek ve uyaracaktır. Windows'ta sistem, kötü niyetli faaliyetlerin açıklayıcı işareti olabileceğinden, yetkisiz kayıt defteri değişikliklerine de dikkat eder. Herhangi bir algılama, merkezi konsolda görüntülenecek bir uyarıyı tetiklerken, bildirimler de e-posta ile gönderilir.

OSSEC , ana bilgisayar tabanlı bir saldırı koruma sistemidir. Bu nedenle, korumak istediğiniz her bilgisayara yüklenmesi gerekir. Ancak, merkezi bir konsol, daha kolay yönetim için korunan her bilgisayardan gelen bilgileri birleştirir. OSSEC konsolu yalnızca Unix gibi işletim sistemleri üzerinde çalışan ama bir ajan Windows hosts korumak için kullanılabilir. Alternatif olarak, Kibana veya Graylog gibi diğer araçlar, aracın ön ucu olarak kullanılabilir.

5. WIPS-NG'yi açın

Open WIPS NG'yi listemize dahil etmemiz gerekip gerekmediğinden pek emin değildik . Birazdan bunun hakkında daha fazla bilgi. Özellikle kablosuz ağları hedefleyen tek ürün olduğu için bunu yaptı. WIPS NG'yi açınWIPS, Kablosuz İzinsiz Girişi Önleme Sistemi anlamına gelir ve üç ana bileşenden oluşan açık kaynaklı bir araçtır. İlk olarak, sensör var. Bu, kablosuz trafiği yakalayan ve analiz için sunucuya gönderen aptalca bir işlemdir. Muhtemelen tahmin ettiğiniz gibi, bir sonraki bileşen sunucudur. Tüm sensörlerden gelen verileri toplar, toplanan verileri analiz eder ve saldırılara yanıt verir. Bu bileşen sistemin kalbidir. Son olarak, sunucuyu yönetmek ve kablosuz ağınızda bulunan tehditlerle ilgili bilgileri görüntülemek için kullandığınız GUI olan arabirim bileşenidir.

Open WIPS NG'yi listemize eklemeden önce tereddüt etmemizin ana nedeni , ne kadar iyi olursa olsun, ürünün geliştiricisini herkesin sevmemesidir . Aircrack NG ile aynı geliştiriciden, her WiFi korsanının araç setinin bir parçası olan bir kablosuz paket dinleyicisi ve şifre kırıcıdır. Bu, geliştiricinin etiği konusundaki tartışmayı açar ve bazı kullanıcıları temkinli yapar. Öte yandan, geliştiricinin geçmişi, Wi-Fi güvenliği konusundaki derin bilgisinin bir kanıtı olarak görülebilir.

6. Fail2Ban

Fail2Ban , izinsiz giriş önleme özelliklerine sahip, nispeten popüler bir ücretsiz ana bilgisayar saldırı tespit sistemidir. Yazılım, başarısız oturum açma girişimleri veya istismar aramaları gibi şüpheli olaylar için sistem günlük dosyalarını izleyerek çalışır. Sistem şüpheli bir şey tespit ettiğinde, kötü niyetli davranışın kaynak IP adresini engellemek için yerel güvenlik duvarı kurallarını otomatik olarak güncelleyerek tepki verir. Bu, elbette, yerel makinede bazı güvenlik duvarı işlemlerinin çalıştığı anlamına gelir. Bu, aracın birincil dezavantajıdır. Ancak, bazı düzeltici komut dosyalarının yürütülmesi veya e-posta bildirimlerinin gönderilmesi gibi diğer herhangi bir isteğe bağlı eylem yapılandırılabilir.

Fail2Ban , Apache, Courrier, SSH, FTP, Postfix ve çok daha fazlası gibi en yaygın hizmetlerden bazılarını kapsayan, filtreler adı verilen önceden oluşturulmuş birkaç algılama tetikleyicisi ile birlikte sağlanır. Söylediğimiz gibi, iyileştirme eylemleri, ana bilgisayarın güvenlik duvarı tablolarını değiştirerek gerçekleştirilir. Fail2Ban , Netfilter, IPtables veya TCP Wrapper'ın hosts.deny tablosunu destekler. Her filtre bir veya daha fazla eylemle ilişkilendirilebilir. Filtreler ve eylemler birlikte hapishane olarak adlandırılır.

7. Bro Ağ Güvenliği İzleyicisi

Bro Ağ Güvenliği Monitör IPS gibi işlevlere sahip başka bir ücretsiz ağ saldırı tespit sistemidir. İki aşamada çalışır, önce trafiği loglar, sonra analiz eder. Bu araç, bölünmüş izinsiz giriş denemelerinin daha iyi algılanmasını sağlayan uygulama katmanına kadar birden çok katmanda çalışır. Ürünün analiz modülü iki unsurdan oluşmaktadır. İlk öğeye Event Engine adı verilir ve amacı, TCP bağlantıları veya HTTP istekleri gibi tetikleyici olayları izlemektir. Olaylar daha sonra ikinci unsur olan İlke Komut Dosyaları tarafından analiz edilir. İlke Komut Dosyalarının işi, bir alarmın tetiklenip tetiklenmeyeceğine, bir eylemin başlatılıp başlatılmayacağına veya olayı yok saymaya karar vermektir. Bro Network Security Monitor'e IPS işlevselliğini veren bir eylemi başlatma olasılığıdır .

Bro Ağ Güvenliği Monitör bazı sınırlamalar vardır. Yalnızca HTTP, DNS ve FTP etkinliğini izleyecek ve ayrıca SNMP trafiğini de izleyecektir. Yine de bu iyi bir şey çünkü SNMP, ciddi güvenlik kusurlarına rağmen genellikle ağ izleme için kullanılıyor. SNMP, neredeyse hiç yerleşik güvenliğe sahip değildir ve şifrelenmemiş trafik kullanır. Protokol, konfigürasyonları değiştirmek için kullanılabildiğinden, kötü niyetli kullanıcılar tarafından kolaylıkla istismar edilebilir. Ürün ayrıca cihaz yapılandırma değişikliklerini ve SNMP Tuzaklarını da takip edecektir. Unix, Linux ve OS X'e kurulabilir, ancak Windows için mevcut değildir, bu belki de ana dezavantajıdır. Aksi takdirde, bu denemeye değer çok ilginç bir araçtır.