2021deki En İyi ÜCRETSİZ Saldırı Tespit Yazılımı

Güvenlik sıcak bir konu ve bir süredir var. Yıllar önce, sistem yöneticilerinin tek endişesi virüslerdi. Virüsler o kadar yaygındı ki, şaşırtıcı bir dizi virüs önleme aracının yolunu açtı. Günümüzde, korumasız bir bilgisayar çalıştırmayı neredeyse hiç kimse düşünmez. Ancak, bilgisayara izinsiz giriş veya kötü niyetli kullanıcılar tarafından verilerinize yetkisiz erişim "tehdit du jour" dur. Ağlar, verilerinize erişmek için büyük çaba harcayacak çok sayıda kötü niyetli bilgisayar korsanının hedefi haline geldi. Bu tür tehditlere karşı en iyi savunmanız, bir saldırı tespit veya önleme sistemidir. Bugün, en iyi on izinsiz giriş tespit aracını inceliyoruz.

Başlamadan önce, kullanımda olan farklı izinsiz giriş tespit yöntemlerini tartışacağız. Davetsiz misafirlerin ağınıza girmesinin birçok yolu olduğu gibi, onları tespit etmenin de bir o kadar, belki de daha fazla yolu vardır. Ardından, izinsiz giriş tespit sisteminin iki ana kategorisini tartışacağız: ağ izinsiz giriş tespiti ve ana bilgisayar izinsiz giriş tespiti. Devam etmeden önce, izinsiz giriş algılama ve izinsiz giriş önleme arasındaki farkları açıklayacağız. Ve son olarak, bulabileceğimiz en iyi on izinsiz giriş tespit aracının kısa bir incelemesini vereceğiz.

Saldırı Tespit Yöntemleri

Saldırı girişimlerini tespit etmek için kullanılan temel olarak iki farklı yöntem vardır. İmza tabanlı veya anomali tabanlı olabilir. Nasıl farklı olduklarını görelim. İmza tabanlı izinsiz giriş algılama, izinsiz giriş denemeleriyle ilişkilendirilmiş belirli kalıplar için verileri analiz ederek çalışır. Biraz virüs tanımlarına dayanan geleneksel antivirüs sistemlerine benziyor. Bu sistemler, girişimleri belirlemek için verileri izinsiz giriş imza modelleriyle karşılaştırır. Başlıca dezavantajları, tipik olarak belirli sayıda makineye saldırıldıktan sonra gerçekleşen yazılıma uygun imza yüklenene kadar çalışmamalarıdır.

Anormallik tabanlı izinsiz giriş tespiti, herhangi bir izinsiz giriş tespit yazılımının uygun imza dosyasını edinme şansına sahip olmadan önce gerçekleşen sıfırıncı gün saldırılarına karşı daha iyi bir koruma sağlar. Bilinen izinsiz giriş modellerini tanımaya çalışmak yerine, bunlar bunun yerine anormallikleri arayacaktır. Örneğin, birisinin bir sisteme birkaç kez yanlış bir parolayla erişmeye çalıştığını algılarlar, bu kaba kuvvet saldırısının yaygın bir işaretidir. Tahmin edebileceğiniz gibi, her algılama yönteminin avantajları vardır. Bu nedenle en iyi araçlar, en iyi koruma için genellikle her ikisinin bir kombinasyonunu kullanır.

İki Tip Saldırı Tespit Sistemi

Farklı tespit yöntemleri olduğu gibi, iki ana saldırı tespit sistemi türü de vardır. Bunlar çoğunlukla, izinsiz giriş tespitinin ana bilgisayar düzeyinde veya ağ düzeyinde gerçekleştirildiği konumda farklılık gösterir. Burada yine, her birinin avantajları vardır ve en iyi – veya en güvenli – muhtemelen her ikisini de kullanmaktır.

Host Saldırı Tespit Sistemleri (HIDS)

Birinci tür izinsiz giriş tespit sistemi, ana bilgisayar düzeyinde çalışır. Örneğin, herhangi bir şüpheli etkinlik işareti için çeşitli günlük dosyalarını kontrol edebilir. Ayrıca, önemli yapılandırma dosyalarını yetkisiz değişiklikler için kontrol ederek de çalışabilir. Anomali tabanlı HIDS'in yapacağı şey budur. Öte yandan, imza tabanlı sistemler aynı günlük ve yapılandırma dosyalarına bakar, ancak bilinen belirli izinsiz giriş modellerini arar. Örneğin, belirli bir izinsiz giriş yönteminin, imza tabanlı IDS'nin algılayacağı belirli bir yapılandırma dosyasına belirli bir dize ekleyerek çalıştığı bilinebilir.

Tahmin edebileceğiniz gibi, HIDS doğrudan korumaları gereken cihaza yüklenir, bu nedenle bunları tüm bilgisayarlarınıza yüklemeniz gerekir. ancak çoğu sistemde, uygulamanın her bir örneğini kontrol edebileceğiniz merkezi bir konsol bulunur.

Ağ Saldırı Tespit Sistemleri (NIDS)

Ağa izinsiz giriş algılama sistemleri veya NIDS, algılamayı zorlamak için ağınızın sınırında çalışır. Host saldırı tespit sistemlerine benzer yöntemler kullanırlar. Tabii ki log ve konfigürasyon dosyalarına bakmak yerine, bağlantı istekleri gibi ağ trafiğine bakarlar. Bazı izinsiz giriş yöntemlerinin, ana bilgisayarlara bilerek hatalı biçimlendirilmiş paketler göndererek ve belirli bir şekilde tepki vermelerini sağlayarak güvenlik açıklarından yararlandığı bilinmektedir. Ağ saldırı tespit sistemleri bunları kolayca tespit edebilir.

Bazıları, saldırıları bilgisayarlarınıza ulaşmadan önce tespit ettikleri için NIDS'nin HIDS'den daha iyi olduğunu iddia edebilir. Ayrıca daha iyidirler çünkü onları etkili bir şekilde korumak için her bilgisayara herhangi bir şey yüklenmesini gerektirmezler. Öte yandan, ne yazık ki hiç de nadir olmayan içeriden saldırılara karşı çok az koruma sağlarlar. Bu, en iyi korumanın her iki tür aletin bir kombinasyonunu kullanmaktan geldiği başka bir durumdur.

İzinsiz Giriş Tespiti ve Önleme

İzinsiz giriş önleme dünyasında iki farklı araç türü vardır: izinsiz giriş tespit sistemleri ve izinsiz giriş önleme sistemleri. Farklı bir amaca hizmet etseler de, genellikle iki tür araç arasında bir miktar örtüşme vardır. Adından da anlaşılacağı gibi, izinsiz giriş tespiti, genel olarak izinsiz giriş girişimlerini ve şüpheli etkinlikleri tespit edecektir. Olduğunda, genellikle bir tür alarm veya bildirimi tetikler. Bu girişimi durdurmak veya engellemek için gerekli adımları atmak yöneticinin sorumluluğundadır.

İzinsiz giriş önleme sistemleri ise, izinsiz girişlerin tamamen olmasını engellemeye çalışır. Çoğu izinsiz giriş önleme sistemi, izinsiz giriş denemeleri algılandığında bazı eylemleri tetikleyecek bir algılama bileşeni içerir. Ancak izinsiz giriş önleme de pasif olabilir. Terim, izinsiz girişleri önlemek için uygulanan herhangi bir adıma atıfta bulunmak için kullanılabilir. Örneğin şifre sertleştirme gibi önlemler düşünebiliriz.

En İyi Ücretsiz İzinsiz Giriş Tespit Araçları

Saldırı tespit sistemleri pahalı, çok pahalı olabilir. Neyse ki, orada oldukça az sayıda ücretsiz alternatif var. En iyi izinsiz giriş tespit yazılım araçlarından bazıları için İnternet'te arama yaptık. Birkaç tane bulduk ve bulabildiğimiz en iyi on tanesini kısaca gözden geçirmek üzereyiz.

1. OSSEC

Açık Kaynak Güvenliği anlamına gelen OSSEC , açık ara önde gelen açık kaynaklı ana bilgisayar saldırı tespit sistemidir. OSSEC, BT güvenliğinin önde gelen isimlerinden biri olan Trend Micro'ya aittir. Yazılım, Unix benzeri işletim sistemlerine kurulduğunda, öncelikle günlük ve yapılandırma dosyalarına odaklanır. Önemli dosyaların sağlama toplamlarını oluşturur ve bunları düzenli aralıklarla doğrulayarak garip bir şey olursa sizi uyarır. Ayrıca, kök erişimi elde etmek için herhangi bir garip girişimi izleyecek ve yakalayacaktır. Windows'ta sistem ayrıca yetkisiz kayıt defteri değişikliklerini de izler.

Bir host saldırı tespit sistemi olan OSSEC, korumak istediğiniz her bilgisayara kurulmalıdır. Bununla birlikte, daha kolay yönetim için korunan her bilgisayardan gelen bilgileri tek bir konsolda birleştirecektir. Yazılım yalnızca Unix benzeri sistemlerde çalışır, ancak Windows ana bilgisayarlarını korumak için bir aracı mevcuttur. Sistem bir şey algıladığında konsolda bir uyarı görüntülenir ve bildirimler e-posta ile gönderilir.

2. Burundan çekme

Tıpkı OSSEC'in en iyi açık kaynaklı HIDS olması gibi, Snort da önde gelen açık kaynaklı NIDS'dir. Snort aslında bir saldırı tespit aracından daha fazlasıdır. Aynı zamanda bir paket dinleyicisi ve bir paket kaydedicidir. Ancak şimdilik ilgilendiğimiz şey Snort'un izinsiz giriş tespit özellikleri. Bir nevi güvenlik duvarı gibi olan Snort, kurallar kullanılarak yapılandırılır. Temel kurallar Snort web sitesinden indirilebilir ve özel ihtiyaçlarınıza göre özelleştirilebilir. Ayrıca, yeni tehditler tanımlandıkça en son olanları aldığınızdan emin olmak için Snort kurallarına abone olabilirsiniz.

Temel Snort kuralları, gizli bağlantı noktası taramaları, arabellek taşması saldırıları, CGI saldırıları, SMB araştırmaları ve işletim sistemi parmak izi gibi çok çeşitli olayları algılayabilir. Snort kurulumunuzun algıladığı şey, yalnızca yüklediğiniz kurallara bağlıdır. Sunulan temel kuralların bazıları imza tabanlı iken diğerleri anomali tabanlıdır. Snort'u kullanmak size her iki dünyanın da en iyisini verebilir

3. Suricata

Suricata, kendisini bir saldırı tespit ve önleme sistemi ve eksiksiz bir ağ güvenliği izleme ekosistemi olarak tanıtıyor . Bu aracın Snort'a göre en iyi avantajlarından biri, uygulama katmanına kadar çalışmasıdır. Bu, aracın birkaç pakete bölünerek diğer araçlarda fark edilmeyebilecek tehditleri algılamasını sağlar.

Ancak Suricata sadece uygulama katmanında çalışmıyor. Ayrıca TLS, ICMP, TCP ve UDP gibi daha düşük seviyeli protokolleri de izleyecektir. Araç ayrıca HTTP, FTP veya SMB gibi protokolleri anlar ve normalde normal isteklerde gizlenen izinsiz giriş girişimlerini algılayabilir. Yöneticilerin şüpheli dosyaları kendilerinin incelemesine olanak tanıyan bir dosya çıkarma özelliği de vardır.

Mimari açısından Suricata çok iyi yapılmış ve en iyi performans için iş yükünü birkaç işlemci çekirdeği ve iş parçacığına dağıtacak. Hatta işlemesinin bir kısmını grafik kartına aktarabilir. Bu, grafik kartları çoğunlukla boşta olduğundan sunucularda harika bir özelliktir.

4. Bro Ağ Güvenliği İzleyicisi

Listemizde bir sonraki , başka bir ücretsiz ağ saldırı tespit sistemi olan Bro Network Security Monitor adlı bir ürün . Bro iki aşamada çalışır: trafik kaydı ve analizi. Suricata gibi Bro da uygulama katmanında çalışarak ayrık izinsiz giriş denemelerinin daha iyi tespit edilmesini sağlar. Bro ile her şey çiftler halinde geliyor ve analiz modülü iki unsurdan oluşuyor gibi görünüyor. Birincisi, net TCP bağlantıları veya HTTP istekleri gibi tetikleyici olayları izleyen olay motorudur. Olaylar daha sonra, bir uyarıyı tetikleyip tetiklememeye ve bir eylem başlatmaya karar veren ve Bro'yu bir algılama sistemine ek olarak bir izinsiz giriş önleme yapan ilke komut dosyaları tarafından daha fazla analiz edilir.

Bro, SNMP trafiğini izlemenin yanı sıra HTTP, DNS ve FTP etkinliğini izlemenize izin verir. Bu iyi bir şey çünkü SNMP genellikle ağ izleme için kullanılsa da güvenli bir protokol değildir. Bro ayrıca cihaz yapılandırma değişikliklerini ve SNMP Tuzaklarını izlemenizi sağlar. Bro, Unix, Linux ve OS X'e kurulabilir, ancak Windows için mevcut değildir, belki de ana dezavantajıdır.

5.  WIPS NG'yi açın

Open WIPS NG , özellikle kablosuz ağları hedefleyen tek program olduğu için listemizde yer aldı. Open WIPS NG (WIPS, Kablosuz İzinsiz Girişi Önleme Sistemi anlamına gelir), üç ana bileşenden oluşan açık kaynaklı bir araçtır. İlk olarak, yalnızca kablosuz trafiği yakalayan ve analiz için sunucuya gönderen aptal bir cihaz olan sensör var. Sıradaki sunucu. Bu, tüm sensörlerden gelen verileri toplar, toplanan verileri analiz eder ve saldırılara yanıt verir. Sistemin kalbidir. Son olarak, sunucuyu yönetmek ve kablosuz ağınızdaki tehditlerle ilgili bilgileri görüntülemek için kullandığınız GUI olan arabirim bileşenidir.

Yine de herkes Open WIPS NG'yi sevmez. Ürün, Aircrack NG ile aynı geliştiriciden, her WiFi korsanının araç setinin bir parçası olan bir kablosuz paket dinleyicisi ve şifre kırıcıysa. Öte yandan, geçmişi göz önüne alındığında, geliştiricinin Wi-Fi güvenliği hakkında biraz bilgi sahibi olduğunu varsayabiliriz.

6.  Samhain

Samhain , dosya bütünlüğü denetimi ve günlük dosyası izleme/analizi sağlayan ücretsiz bir ana bilgisayar saldırı tespit sistemidir. Ayrıca ürün, rootkit algılama, bağlantı noktası izleme, sahte SUID yürütülebilir dosyalarının algılanması ve gizli işlemler de gerçekleştirir. Bu araç, merkezi günlük kaydı ve bakım ile çeşitli işletim sistemlerine sahip birden çok sistemi izlemek için tasarlanmıştır. Ancak Samhain, tek bir bilgisayarda bağımsız bir uygulama olarak da kullanılabilir. Samhain, Unix Linux veya OS X gibi POSIX sistemlerinde çalışabilir. Cygwin altında Windows'ta da çalışabilir, ancak bu konfigürasyonda sunucu değil, yalnızca izleme aracısı test edilmiştir.

Samhain'in en benzersiz özelliklerinden biri, olası saldırganlar tarafından tespit edilmeden çalışmasına izin veren gizli modudur. Davetsiz misafirler çoğu zaman tanıdıkları algılama süreçlerini öldürerek fark edilmeden gitmelerine izin verir. Samhain, süreçlerini diğerlerinden gizlemek için steganografiyi kullanır. Ayrıca, kurcalamayı önlemek için merkezi günlük dosyalarını ve yapılandırma yedeklerini bir PGP anahtarıyla korur.

7.  Fail2Ban

Fail2Ban , bazı önleme özelliklerine de sahip olan ilginç bir ücretsiz host saldırı tespit sistemidir. Bu araç, başarısız oturum açma girişimleri, istismar aramaları vb. gibi şüpheli olaylar için günlük dosyalarını izleyerek çalışır. Şüpheli bir şey tespit ettiğinde, kötü niyetli davranışın kaynak IP adresini engellemek için yerel güvenlik duvarı kurallarını otomatik olarak günceller. Bu, aracın varsayılan eylemidir, ancak e-posta bildirimleri göndermek gibi diğer herhangi bir isteğe bağlı eylem yapılandırılabilir.

Sistem, Apache, Courrier, SSH, FTP, Postfix ve çok daha fazlası gibi en yaygın hizmetlerden bazıları için önceden oluşturulmuş çeşitli filtrelerle birlikte gelir. Önleme, ana bilgisayarın güvenlik duvarı tablolarını değiştirerek gerçekleştirilir. Araç Netfilter, IPtables veya TCP Wrapper'ın hosts.deny tablosuyla çalışabilir. Her filtre bir veya daha fazla eylemle ilişkilendirilebilir. Filtreler ve eylemler birlikte hapishane olarak adlandırılır.

8. YARDIMCI

AIDE , Advanced Intrusion Detection Environment'ın kısaltmasıdır. Ücretsiz ana bilgisayar izinsiz giriş tespit sistemi, temel olarak rootkit tespiti ve dosya imzası karşılaştırmalarına odaklanır. AIDE'yi ilk kurduğunuzda, sistemin yapılandırma dosyalarından bir yönetici verisi veritabanı derler. Bu daha sonra herhangi bir değişikliğin karşılaştırılabileceği ve gerektiğinde geri alınabileceği bir temel olarak kullanılır.

AIDE, isteğe bağlı olarak çalıştırılan ve programlanmayan veya sürekli çalışmayan hem imza tabanlı hem de anomali tabanlı analiz kullanır. Bu aslında bu ürünün ana dezavantajıdır. Ancak, AIDE bir komut satırı aracıdır ve düzenli aralıklarla çalıştırmak için bir CRON işi oluşturulabilir. Ve çok sık çalıştırırsanız – örneğin her dakika veya daha fazla – yarı gerçek zamanlı veriler alırsınız. AIDE özünde bir veri karşılaştırma aracından başka bir şey değildir. Gerçek bir HIDS yapmak için harici komut dosyaları oluşturulmalıdır.

9.  Güvenlik Soğanı

Security Onion , size çok zaman kazandırabilecek ilginç bir canavardır. Bu sadece bir saldırı tespit veya önleme sistemi değildir. Security Onion, izinsiz giriş tespiti, kurumsal güvenlik izleme ve günlük yönetimine odaklanan eksiksiz bir Linux dağıtımıdır. Bazıları az önce gözden geçirdiğimiz birçok araç içerir. Örneğin Security Onion, Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner ve daha fazlasına sahiptir. Tüm bunlar, kuruluşunuzu dakikalar içinde korumanıza olanak tanıyan, kullanımı kolay bir kurulum sihirbazıyla birlikte gelir. Security Onion'u kurumsal BT güvenliğinin İsviçre Çakısı olarak düşünebilirsiniz.

Bu araçla ilgili en ilginç şey, her şeyi tek bir basit kurulumda elde etmenizdir. Hem ağ hem de ana bilgisayar izinsiz giriş algılama araçlarına sahip olursunuz. İmza tabanlı bir yaklaşım kullanan araçlar var ve bazıları anormallik tabanlı. Dağıtım ayrıca metin tabanlı ve GUI araçlarının bir kombinasyonunu da içeriyor. Gerçekten her şeyin mükemmel bir karışımı var. Dezavantajı, elbette, o kadar çok şey elde etmenizdir ki, hepsini yapılandırmak biraz zaman alabilir. Ancak tüm araçları kullanmak zorunda değilsiniz. Sadece tercih ettiklerinizi seçebilirsiniz.

10. Sagan

Sagan aslında gerçek bir IDS'den çok bir günlük analiz sistemidir, ancak listemize dahil edilmesini garanti ettiğini düşündüğümüz bazı IDS benzeri özelliklere sahiptir. Bu araç, kurulu olduğu sistemin yerel günlüklerini izleyebilir ancak diğer araçlarla da etkileşime girebilir. Örneğin, Snort'un günlüklerini analiz edebilir ve esasen bir HIDS olana bazı NIDS işlevselliğini etkili bir şekilde ekleyebilir. Ve sadece Snort ile etkileşime girmeyecek. Suricata ile de etkileşime girebilir ve Oinkmaster veya Pulled Pork gibi çeşitli kural oluşturma araçlarıyla uyumludur.

Sagan ayrıca, onu kaba bir izinsiz giriş önleme sistemi yapan komut dosyası yürütme yeteneklerine sahiptir. Bu araç muhtemelen izinsiz girişlere karşı tek savunmanız olarak kullanılmayabilir, ancak farklı kaynaklardan gelen olayları ilişkilendirerek birçok aracı birleştirebilen bir sistemin harika bir bileşeni olacaktır.

Çözüm

İzinsiz giriş tespit sistemleri, ağ ve sistem yöneticilerine ortamlarının en iyi şekilde çalışmasını sağlamada yardımcı olmak için mevcut birçok araçtan sadece biridir . Burada tartışılan araçlardan herhangi biri mükemmeldir ancak her birinin biraz farklı bir amacı vardır. Seçeceğiniz kişi büyük ölçüde kişisel tercihlere ve özel ihtiyaçlara bağlı olacaktır.