أفضل برنامج مجاني لكشف التسلل في عام 2020

الأمن موضوع ساخن وقد كان لفترة طويلة. قبل سنوات عديدة ، كانت الفيروسات المخاوف الوحيدة لمسؤولي النظام. كانت الفيروسات شائعة لدرجة أنها قادت الطريق لمجموعة مذهلة من أدوات الوقاية من الفيروسات. في الوقت الحاضر ، بالكاد يفكر أي شخص في تشغيل جهاز كمبيوتر غير محمي. ومع ذلك ، فإن اختراق الكمبيوتر ، أو الوصول غير المصرح به إلى بياناتك من قبل المستخدمين الضارين ، هو "التهديد دو جور". أصبحت الشبكات هدفًا للعديد من المتسللين ذوي النوايا السيئة التي ستبذل جهودًا كبيرة للوصول إلى بياناتك. أفضل دفاع لك ضد هذه الأنواع من التهديدات هو نظام كشف التسلل أو الوقاية. اليوم ، نراجع عشرة من أفضل أدوات كشف التسلل المجانية.

قبل أن نبدأ ، سنناقش أولاً طرق كشف الاختراق المختلفة المستخدمة. تمامًا كما توجد العديد من الطرق التي يمكن للمتسللين دخولها إلى شبكتك ، هناك العديد من الطرق - وربما أكثر من ذلك - طرق لاكتشافها. ثم ، سنناقش الفئتين الرئيسيتين لنظام كشف التسلل: كشف التسلل وكشف تسلل المضيف. قبل أن نواصل ، سنشرح بعد ذلك الاختلافات بين كشف التسلل ومنع الاختراق. وأخيرًا ، سنقدم لك مراجعة موجزة لعشر من أفضل أدوات كشف التسلل المجانية التي يمكن أن نجدها.

طرق كشف التسلل

هناك أساسا طريقتان مختلفتان تستخدمان للكشف عن محاولات التسلل. يمكن أن تكون قائمة على التوقيع أو على أساس الشذوذ. دعنا نرى كيف تختلف. يعمل كشف التسلل القائم على التوقيع من خلال تحليل البيانات لأنماط محددة ارتبطت بمحاولات التسلل. يشبه إلى حد ما أنظمة مكافحة الفيروسات التقليدية التي تعتمد على تعريفات الفيروسات. ستقوم هذه الأنظمة بمقارنة البيانات بأنماط توقيع التطفل لتحديد المحاولات. عيبهم الرئيسي هو أنهم لا يعملون حتى يتم تحميل التوقيع الصحيح على البرنامج الذي يحدث عادة بعد مهاجمة عدد معين من الأجهزة.

يوفر كشف التسلل المستند إلى الشذوذ حماية أفضل ضد هجمات اليوم صفر ، وتلك التي تحدث قبل أن تتاح لأي برنامج كشف التسلل فرصة الحصول على ملف التوقيع الصحيح. بدلاً من محاولة التعرف على أنماط التسلل المعروفة ، فإنها ستبحث عن حالات شاذة بدلاً من ذلك. على سبيل المثال ، سيكتشفون أن شخصًا ما حاول الوصول إلى نظام بكلمة مرور خاطئة عدة مرات ، وهي علامة شائعة على هجوم القوة الغاشمة. كما كنت قد خمنت ، لكل طريقة كشف مزاياها. هذا هو السبب في أن أفضل الأدوات غالبًا ما تستخدم مزيجًا من كليهما للحصول على أفضل حماية.

نوعان من أنظمة كشف التسلل

تمامًا مثل طرق الكشف المختلفة ، هناك أيضًا نوعان رئيسيان من أنظمة كشف التسلل. وهي تختلف في الغالب في الموقع الذي يتم فيه الكشف عن التسلل ، إما على مستوى المضيف أو على مستوى الشبكة. هنا مرة أخرى ، لكل منها مزاياه ، وربما يكون الحل الأفضل - أو الحل الأكثر أمانًا - هو استخدام كليهما.

أنظمة كشف تسلل المضيف (HIDS)

يعمل النوع الأول من نظام كشف التسلل على المستوى المضيف. يمكن ، على سبيل المثال ، التحقق من ملفات السجل المختلفة بحثًا عن أي علامة على نشاط مشبوه. يمكن أن يعمل أيضًا عن طريق التحقق من ملفات التكوين المهمة للتغييرات غير المصرح بها. هذا ما ستفعله HIDS القائمة على الشذوذ. من ناحية أخرى ، ستنظر الأنظمة القائمة على التوقيع في ملفات السجل والتكوين نفسها ولكنها ستبحث عن أنماط اقتحام معروفة محددة. على سبيل المثال ، قد يُعرف أن طريقة اقتحام معينة تعمل عن طريق إضافة سلسلة معينة إلى ملف تكوين محدد يمكن للكشف عن معرفات IDS القائمة على التوقيع.

كما كنت تتخيل ، يتم تثبيت HIDS مباشرة على الجهاز الذي تهدف إلى حمايته ، لذا ستحتاج إلى تثبيتها على جميع أجهزة الكمبيوتر الخاصة بك. ومع ذلك ، تحتوي معظم الأنظمة على وحدة تحكم مركزية حيث يمكنك التحكم في كل مثيل من التطبيق.

أنظمة كشف التسلل إلى الشبكة (NIDS)

تعمل أنظمة كشف التسلل أو NIDS على حدود شبكتك لفرض الكشف. يستخدمون طرقًا مشابهة لأنظمة كشف تسلل المضيف. بالطبع ، بدلاً من البحث هي ملفات السجل والتكوين ، فإنها تبحث عن حركة مرور الشبكة مثل طلبات الاتصال. من المعروف أن بعض طرق الاختراق تستغل نقاط الضعف من خلال إرسال حزم مشوهة عن قصد إلى المضيفين ، مما يجعلها تتفاعل بطريقة معينة. يمكن أن تكشف أنظمة كشف التسلل إلى الشبكة بسهولة.

قد يجادل البعض بأن NIDS أفضل من HIDS حيث يكتشفون الهجمات حتى قبل وصولهم إلى أجهزة الكمبيوتر الخاصة بك. كما أنها أفضل لأنها لا تتطلب تثبيت أي شيء على كل جهاز كمبيوتر لحمايتها بشكل فعال. من ناحية أخرى ، فهي توفر القليل من الحماية ضد الهجمات الداخلية التي للأسف ليست غير شائعة على الإطلاق. هذه حالة أخرى حيث تأتي أفضل حماية من استخدام مزيج من كلا النوعين من الأدوات.

كشف التسلل مقابل الوقاية

هناك نوعان مختلفان من الأدوات في عالم الحماية من الاختراق: أنظمة كشف التسلل وأنظمة منع الاختراق. على الرغم من أنها تخدم غرضًا مختلفًا ، إلا أنه غالبًا ما يكون هناك بعض التداخل بين نوعي الأدوات. كما يوحي اسمه ، فإن كشف التسلل سيكشف عن محاولات التسلل والأنشطة المشبوهة بشكل عام. عندما يفعل ذلك ، فإنه عادة ما يؤدي إلى نوع من التنبيه أو الإخطار. ومن ثم يعود الأمر للمسؤول لاتخاذ الخطوات اللازمة لإيقاف أو منع هذه المحاولة.

من ناحية أخرى ، تعمل أنظمة منع التطفل على وقف التطفل من الحدوث تمامًا. ستشمل معظم أنظمة منع التطفل مكونًا للكشف سيؤدي إلى بعض الإجراءات كلما تم اكتشاف محاولات التسلل. ولكن يمكن أن يكون منع التطفل سلبيًا أيضًا. يمكن استخدام المصطلح للإشارة إلى أي خطوات يتم وضعها لمنع التطفل. يمكننا التفكير في تدابير مثل تصلب كلمة المرور ، على سبيل المثال.

أفضل أدوات كشف التسلل المجانية

يمكن أن تكون أنظمة كشف التسلل باهظة الثمن ومكلفة للغاية. لحسن الحظ ، هناك عدد قليل من البدائل المجانية المتاحة. لقد بحثنا على الإنترنت عن بعض أفضل أدوات برمجيات كشف التسلل. لقد وجدنا عددًا قليلًا ونحن على وشك مراجعة أفضل عشرة نتائج يمكننا العثور عليها بإيجاز.

OSSEC، وهو اختصار لـ Open Source Security ، هو إلى حد بعيد نظام الكشف عن تسلل المضيف المفتوح المصدر الرائد. شركة OSSEC مملوكة لشركة Trend Micro ، أحد الأسماء الرائدة في مجال أمن تكنولوجيا المعلومات. يركز البرنامج ، عند تثبيته على أنظمة تشغيل تشبه Unix ، بشكل أساسي على ملفات التسجيل والتكوين. يقوم بإنشاء مجموعات اختبارية للملفات المهمة والتحقق منها بشكل دوري ، وينبهك في حالة حدوث شيء غريب. ستراقب أيضًا وتلتقط أي محاولات غريبة للوصول إلى الجذر. في نظام التشغيل Windows ، يراقب النظام أيضًا تعديلات التسجيل غير المصرح بها.

OSSEC ، كونه نظامًا لكشف تسلل المضيف ، يجب تثبيته على كل جهاز كمبيوتر تريد حمايته. ومع ذلك ، سيتم دمج المعلومات من كل كمبيوتر محمي في وحدة تحكم واحدة لتسهيل الإدارة. يعمل البرنامج فقط على أنظمة تشبه Unix ولكن يتوفر وكيل لحماية مضيفي Windows. عندما يكتشف النظام شيئًا ما ، يتم عرض تنبيه على وحدة التحكم ويتم إرسال الإشعارات عبر البريد الإلكتروني.

تمامًا مثل OSSEC كان أعلى HIDS مفتوح المصدر ، الشخير هي NIDS الرائدة مفتوحة المصدر. Snort هو في الواقع أكثر من مجرد أداة للكشف عن التطفل. إنها أيضًا علبة الشم ومسجل الحزم. لكن ما يهمنا الآن هو ميزات كشف التسلل لـ Snort. إلى حد ما مثل جدار الحماية ، يتم تكوين Snort باستخدام القواعد. يمكن تنزيل القواعد الأساسية من موقع Snort وتخصيصها لاحتياجاتك الخاصة. يمكنك أيضًا الاشتراك في قواعد Snort لضمان حصولك دائمًا على أحدث القواعد أثناء تطورها عند تحديد التهديدات الجديدة.

يمكن لقواعد Snort الأساسية اكتشاف مجموعة متنوعة من الأحداث مثل عمليات مسح منفذ التسلل ، وهجمات تجاوز سعة المخزن المؤقت ، وهجمات CGI ، وتحقيقات SMB ، وبصمة نظام التشغيل. يعتمد ما يكتشفه تثبيت Snort فقط على القواعد التي قمت بتثبيتها. بعض القواعد الأساسية المقدمة تعتمد على التوقيع بينما البعض الآخر يعتمد على الشذوذ. يمكن أن يمنحك استخدام Snort أفضل ما في العالمين

سوريكاتا تعلن عن نفسها على أنها نظام كشف ومنع التسلل وكمنظمة متكاملة لرصد أمن الشبكات. واحدة من أفضل مزايا هذه الأداة على Snort هي أنها تعمل على طول الطريق حتى طبقة التطبيق. يتيح هذا للأداة اكتشاف التهديدات التي يمكن أن تمر دون أن يلاحظها أحد في الأدوات الأخرى عن طريق تقسيمها على عدة حزم.

لكن Suricata لا تعمل فقط في طبقة التطبيق. سيراقب أيضًا بروتوكول المستوى الأدنى مثل TLS و ICMP و TCP و UDP. تفهم الأداة أيضًا بروتوكولات مثل HTTP أو FTP أو SMB ويمكنها اكتشاف محاولات التطفل المخفية في الطلبات العادية. هناك أيضًا إمكانية لاستخراج الملفات للسماح للمشرفين بفحص الملفات المريبة بأنفسهم.

من ناحية الهندسة المعمارية ، تم تصميم Suricata بشكل جيد للغاية وسوف تقوم بتوزيع عبء عملها على العديد من نوى المعالج والخيوط للحصول على أفضل أداء. يمكنه حتى تفريغ بعض معالجته إلى بطاقة الرسومات. هذه ميزة رائعة على الخوادم حيث إن بطاقة الجرافيكس الخاصة بها معطلة في الغالب.

التالي على قائمتنا منتج يسمى إخوانه مراقب شبكة الأمن، نظام كشف تسلل مجاني آخر. يعمل Bro على مرحلتين: تسجيل حركة المرور وتحليلها. مثل Suricata ، يعمل Bro في طبقة التطبيق ، مما يسمح باكتشاف أفضل لمحاولات الانقسام. يبدو أن كل شيء يأتي في أزواج مع Bro ووحدة التحليل الخاصة به تتكون من عنصرين. الأول هو محرك الأحداث الذي يتتبع الأحداث المشغلة مثل اتصالات TCP الصافية أو طلبات HTTP. ثم يتم تحليل الأحداث من خلال النصوص البرمجية للسياسة التي تقرر ما إذا كان سيتم تشغيل تنبيه أو إطلاق إجراء ما ، مما يجعل Bro منعًا للاقتحام بالإضافة إلى نظام الكشف.

سيتيح لك Bro تتبع نشاط HTTP و DNS و FTP بالإضافة إلى مراقبة حركة مرور SNMP. هذا أمر جيد لأنه ، بينما يستخدم SNMP غالبًا شبكة الرصد، ليس بروتوكول آمن. يتيح لك Bro أيضًا مشاهدة تغييرات تكوين الجهاز وفخاخ SNMP. يمكن تثبيت Bro على أنظمة Unix و Linux و OS X ولكنه غير متاح لنظام التشغيل Windows ، وربما عيبه الرئيسي.

افتح WIPS NG جعلتها في قائمتنا بشكل رئيسي لأنها الوحيدة التي تستهدف الشبكات اللاسلكية على وجه التحديد. Open WIPS NG - حيث يشير WIPS إلى نظام منع التطفل اللاسلكي - هو أداة مفتوحة المصدر تضم ثلاثة مكونات رئيسية. أولاً ، هناك جهاز استشعار وهو جهاز غبي لا يلتقط سوى حركة المرور اللاسلكية ويرسله إلى الخادم للتحليل. التالي هو الخادم. يقوم هذا بتجميع البيانات من جميع أجهزة الاستشعار ، وتحليل البيانات التي تم جمعها والرد على الهجمات. إنه قلب النظام. أخيرًا وليس آخرًا ، هو مكون الواجهة وهو GUI الذي تستخدمه لإدارة الخادم وعرض معلومات حول التهديدات على شبكتك اللاسلكية.

لا يحب الجميع Open WIPS NG. المنتج إذا كان من نفس مطور Aircrack NG عبارة عن أداة تشفير وحزم لاسلكية لكلمة مرور تشكّل جزءًا من مجموعة أدوات كل مخترق شبكة WiFi. من ناحية أخرى ، نظرًا لخلفيته ، يمكننا أن نفترض أن المطور يعرف الكثير عن أمان Wi-Fi.

Samhain هو نظام مجاني لكشف تسلل المضيف الذي يوفر فحص تكامل الملف ومراقبة / تحليل ملف السجل. بالإضافة إلى ذلك ، يقوم المنتج أيضًا بإجراء الكشف عن الجذور الخفية ومراقبة المنفذ والكشف عن الملفات التنفيذية SUID المارقة والعمليات المخفية. تم تصميم هذه الأداة لمراقبة أنظمة متعددة مع أنظمة تشغيل مختلفة مع تسجيل مركزي وصيانة. ومع ذلك ، يمكن أيضًا استخدام Samhain كتطبيق مستقل على جهاز كمبيوتر واحد. يمكن تشغيل Samhain على أنظمة POSIX مثل Unix Linux أو OS X. يمكن أيضًا تشغيله على Windows ضمن Cygwin على الرغم من أنه تم اختبار عامل المراقبة فقط وليس الخادم في هذا التكوين.

واحدة من أكثر ميزات Samhain الفريدة هي وضع التخفي الذي يسمح لها بالعمل دون أن يكتشفها المهاجمون المحتملون. في كثير من الأحيان يقتل المتسللون عمليات الكشف التي يتعرفون عليها ، مما يسمح لهم بالمرور دون أن يلاحظها أحد. يستخدم Samhain إخفاء المعلومات لإخفاء عملياته عن الآخرين. كما أنه يحمي ملفات السجل المركزية والنسخ الاحتياطي للتكوين باستخدام مفتاح PGP لمنع التلاعب.

Fail2Ban نظام مثير للاهتمام لكشف تسلل المضيف يحتوي أيضًا على بعض ميزات الوقاية. تعمل هذه الأداة من خلال مراقبة ملفات السجل بحثًا عن الأحداث المشبوهة مثل محاولات تسجيل الدخول الفاشلة وعمليات البحث عن الثغرات وغيرها عندما تكتشف شيئًا مريبًا ، تقوم تلقائيًا بتحديث قواعد جدار الحماية المحلية لحظر عنوان IP المصدر للسلوك الضار. هذا هو الإجراء الافتراضي للأداة ولكن يمكن تكوين أي إجراء تعسفي آخر - مثل إرسال إشعارات بالبريد الإلكتروني.

يأتي النظام مع العديد من الفلاتر المعدة مسبقًا لبعض الخدمات الأكثر شيوعًا مثل Apache و Courrier و SSH و FTP و Postfix وغيرها الكثير. يتم تنفيذ الوقاية عن طريق تعديل جداول جدار الحماية للمضيف. يمكن أن تعمل الأداة مع Netfilter أو IPtables أو جدول hosts.deny لـ TCP Wrapper. يمكن إقران كل مرشح بواحد أو أكثر من الإجراءات. يُشار إلى الفلاتر والإجراءات معًا باسم السجن.

مساعد هو اختصار لبيئة كشف التسلل المتقدم. يركز نظام كشف تسلل المضيف المجاني بشكل أساسي على الكشف عن الجذور الخفية ومقارنات توقيع الملفات. عند تثبيت AIDE مبدئيًا ، سيجمع قاعدة بيانات لبيانات المسؤول من ملفات تهيئة النظام. يتم استخدام هذا بعد ذلك كخط أساس يمكن مقارنة أي تغيير مقابله والتراجع عنه إذا لزم الأمر.

يستخدم AIDE كلاً من التحليل المستند إلى التوقيع والتحليل الشاذ والذي يتم تشغيله عند الطلب وليس مجدولًا أو قيد التشغيل المستمر ، وهذا في الواقع هو العيب الرئيسي لهذا المنتج. ومع ذلك ، فإن AIDE هي أداة سطر أوامر ويمكن إنشاء مهمة CRON لتشغيلها على فترات منتظمة. وإذا قمت بتشغيله بشكل متكرر للغاية - مثل كل دقيقة أو نحو ذلك - فستحصل على بيانات شبه آنية. في جوهرها ، AIDE ليست سوى أداة لمقارنة البيانات. يجب إنشاء نصوص خارجية لجعلها HIDS حقيقية.

البصل الأمن هو وحش مثير للاهتمام يمكن أن يوفر لك الكثير من الوقت. هذا ليس مجرد نظام للكشف عن التسلل أو الوقاية. Security Onion هو توزيع Linux كامل مع التركيز على كشف التسلل ، ومراقبة أمن المؤسسة ، وإدارة السجلات. يتضمن العديد من الأدوات ، قمنا بمراجعة بعضها. على سبيل المثال ، يحتوي Security Onion على Elasticsearch و Logstash و Kibana و Snort و Suricata و Bro و OSSEC و Sguil و Squert و NetworkMiner والمزيد. كل هذا يأتي مع معالج إعداد سهل الاستخدام ، مما يسمح لك بحماية مؤسستك في غضون دقائق. يمكنك التفكير في Security Onion باعتباره سكين الجيش السويسري لأمن تكنولوجيا المعلومات للمؤسسات.

الشيء الأكثر إثارة للاهتمام حول هذه الأداة هو أنك تحصل على كل شيء في تثبيت واحد بسيط. ويمكنك الحصول على أدوات كشف التسلل والشبكة والمضيف. هناك أدوات تستخدم نهجًا قائمًا على التوقيع وبعضها يعتمد على الشذوذ. يتميز التوزيع أيضًا بمزيج من الأدوات النصية وأدوات واجهة المستخدم الرسومية. هناك مزيج ممتاز حقًا من كل شيء. العيب ، بالطبع ، هو أنك تحصل على الكثير مما يجعل تكوينه كله يستغرق بعض الوقت. ولكن ليس عليك استخدام جميع الأدوات. يمكنك اختيار فقط تلك التي تفضلها.

ساجان هو في الواقع أكثر من نظام تحليل سجل من IDS حقيقي ولكن يحتوي على بعض الميزات المشابهة لـ IDS التي اعتقدنا أنها تبرر إدراجها في قائمتنا. يمكن لهذه الأداة مشاهدة السجلات المحلية للنظام حيث تم تثبيته ولكن يمكنها أيضًا التفاعل مع الأدوات الأخرى. يمكن ، على سبيل المثال ، تحليل سجلات Snort ، وإضافة بعض وظائف NIDS بشكل فعال لما هو في الأساس HIDS. ولن يتفاعل فقط مع Snort. يمكن أن يتفاعل مع Suricata أيضًا وهو متوافق مع العديد من أدوات بناء القواعد مثل Oinkmaster أو Pulled Pork.

لدى Sagan أيضًا إمكانات تنفيذ البرنامج النصي مما يجعلها نظامًا لمنع الاختراق. من المحتمل ألا يتم استخدام هذه الأداة كدفاعك الوحيد ضد التطفل ، ولكنها ستكون مكونًا رائعًا في النظام الذي يمكن أن يتضمن العديد من الأدوات من خلال ربط الأحداث من مصادر مختلفة.

استنتاج

أنظمة كشف التسلل هي واحدة فقط من العديد من الأنظمة الأدوات المتاحة لمساعدة مسؤولي الشبكة والنظام في ضمان التشغيل الأمثل لبيئتهم. أي من الأدوات التي تمت مناقشتها هنا ممتازة ولكن لكل منها غرض مختلف قليلاً. سيعتمد الخيار الذي تختاره إلى حد كبير على التفضيل الشخصي والاحتياجات المحددة.