7 أفضل أنظمة منع التطفل (IPS) لعام 2020

الكل يريد إبعاد المتسللين عن منازلهم. وبالمثل - ولأسباب مماثلة ، يسعى مسؤولو الشبكات لإبعاد المتسللين عن الشبكات التي يديرونها. البيانات هي واحدة من أهم الأصول للعديد من المنظمات اليوم هي بياناتها. من المهم جدًا أن يبذل العديد من الأفراد ذوي النوايا السيئة جهودًا كبيرة لسرقة هذه البيانات. يفعلون ذلك باستخدام مجموعة واسعة من التقنيات للوصول غير المصرح به إلى الشبكات والأنظمة. يبدو أن عدد هذه الهجمات قد ازداد بشكل كبير في الآونة الأخيرة ، وردًا على ذلك ، يتم وضع أنظمة لمنعها. تسمى هذه الأنظمة أنظمة منع التطفل ، أو IPS. اليوم ، نلقي نظرة على أفضل أنظمة منع التطفل التي يمكن أن نجدها.

سنبدأ بمحاولة تحديد ماهية منع التطفل بشكل أفضل. وهذا بالطبع يستتبع أننا سنحدد أيضًا ما هو التطفل. سنستكشف بعد ذلك طرق الكشف المختلفة التي يتم استخدامها عادةً وإجراءات الإصلاح التي يتم اتخاذها عند الكشف. ثم سنتحدث بإيجاز عن منع الاختراق السلبي. إنها تدابير ثابتة يمكن وضعها والتي يمكن أن تقلل بشكل كبير من عدد محاولات التسلل. قد تفاجأ عندما تكتشف أن بعض هؤلاء لا علاقة لهم بأجهزة الكمبيوتر. عندها فقط ، ومع وجودنا جميعًا في نفس الصفحة ، سنتمكن من مراجعة بعض من أفضل أنظمة منع التطفل التي يمكن أن نجدها.

منع التطفل - ما هو كل هذا؟

قبل سنوات ، كانت الفيروسات إلى حد كبير الشواغل الوحيدة لمسؤولي النظام. وصلت الفيروسات إلى نقطة كانت شائعة جدًا بحيث تفاعلت الصناعة من خلال تطوير أدوات الحماية من الفيروسات. اليوم ، لا يفكر أي مستخدم جاد في عقله الأيمن في تشغيل جهاز كمبيوتر بدون حماية ضد الفيروسات. في حين أننا لم نعد نسمع الكثير من الفيروسات بعد الآن ، فإن التطفل - أو الوصول غير المصرح به إلى بياناتك من قبل المستخدمين الضارين - هو التهديد الجديد. نظرًا لأن البيانات غالبًا ما تكون أهم أصول للمؤسسة ، فقد أصبحت شبكات الشركات هدفًا للمخترقين ذوي النوايا السيئة التي ستبذل جهودًا كبيرة للوصول إلى البيانات. تمامًا مثلما كان برنامج الحماية من الفيروسات هو الجواب على انتشار الفيروسات ، فإن أنظمة منع التطفل هي الإجابة على هجمات الدخيل.

تقوم أنظمة منع التسلل بأمرين بشكل أساسي. أولاً ، يكتشفون محاولات التسلل وعندما يكتشفون أي أنشطة مشبوهة ، يستخدمون طرقًا مختلفة لإيقافها أو حظرها. هناك طريقتان مختلفتان يمكن من خلالهما اكتشاف محاولات التسلل. يعمل الكشف المستند إلى التوقيع عن طريق تحليل حركة مرور البيانات والبيانات والبحث عن أنماط محددة مرتبطة بمحاولات التسلل. هذا مشابه لأنظمة الحماية من الفيروسات التقليدية التي تعتمد على تعريفات الفيروسات. يعتمد كشف التسلل المستند إلى التوقيع على توقيعات أو أنماط التطفل. العيب الرئيسي لطريقة الكشف هذه هو أنها تحتاج إلى التوقيعات المناسبة ليتم تحميلها في البرنامج. وعندما تكون طريقة الهجوم الجديدة ، عادة ما يكون هناك تأخير قبل تحديث توقيعات الهجوم. بعض البائعين سريعون جدًا في تقديم توقيعات هجوم محدثة بينما يكون الآخرون أبطأ كثيرًا. يعد عدد المرات وسرعة تحديث التوقيعات عاملاً مهمًا يجب مراعاته عند اختيار البائع.

يوفر الكشف القائم على الشذوذ حماية أفضل ضد هجمات اليوم صفر ، تلك التي تحدث قبل أن تتاح لتواقيع الكشف فرصة للتحديث. تبحث العملية عن حالات شاذة بدلاً من محاولة التعرف على أنماط التسلل المعروفة. على سبيل المثال ، قد يتم تشغيله إذا حاول شخص ما الوصول إلى نظام بكلمة مرور خاطئة عدة مرات متتالية ، وهي علامة شائعة على هجوم القوة الغاشمة. هذا مجرد مثال وهناك عادة مئات الأنشطة المختلفة المشبوهة التي يمكن أن تؤدي إلى هذه الأنظمة. كلتا طريقتين الكشف لها مزاياها وعيوبها. أفضل الأدوات هي تلك التي تستخدم مزيجًا من تحليل التوقيع والسلوك للحصول على أفضل حماية.

كشف محاولة التسلل هو الجزء الأول من منعهم. بمجرد اكتشافها ، تعمل أنظمة منع التطفل بنشاط في إيقاف الأنشطة المكتشفة. يمكن تنفيذ العديد من الإجراءات العلاجية المختلفة بواسطة هذه الأنظمة. يمكنهم ، على سبيل المثال ، تعليق حسابات المستخدمين أو إلغاء تنشيطها. إجراء نموذجي آخر هو حظر عنوان IP المصدر للهجوم أو تعديل قواعد جدار الحماية. إذا كان النشاط الضار يأتي من عملية معينة ، يمكن لنظام الوقاية أن يوقف العملية. بدء بعض عمليات الحماية هو تفاعلات شائعة أخرى ، وفي أسوأ الحالات ، يمكن إغلاق الأنظمة بأكملها للحد من الضرر المحتمل. مهمة أخرى مهمة لأنظمة منع التطفل هي تنبيه المسؤولين وتسجيل الحدث والإبلاغ عن الأنشطة المشبوهة.

تدابير منع التطفل السلبي

في حين أن أنظمة منع التطفل يمكن أن تحميك من أنواع عديدة من الهجمات ، لا شيء يتفوق على إجراءات منع التطفل السلبي القديمة الطراز. على سبيل المثال ، يعد تفويض كلمات مرور قوية طريقة ممتازة للحماية من العديد من التدخلات. إجراء آخر سهل للحماية هو تغيير كلمات مرور المعدات الافتراضية. في حين أنه أقل تكرارًا في شبكات الشركات - على الرغم من أنه لم يسمع به من قبل - إلا أنني رأيت في كثير من الأحيان بوابات الإنترنت التي لا تزال تحتوي على كلمة مرور المشرف الافتراضية. أثناء تناول كلمات المرور ، يعد تقادم كلمة المرور خطوة ملموسة أخرى يمكن وضعها لتقليل محاولات الاختراق. يمكن في النهاية اختراق أي كلمة مرور ، حتى أفضل كلمة مرور ، مع إعطاء وقت كافٍ. يضمن تقادم كلمة المرور تغيير كلمات المرور قبل اختراقها.

كانت هناك فقط أمثلة على ما يمكن القيام به لمنع التدخلات بشكل سلبي. يمكننا أن نكتب مقالة كاملة حول التدابير السلبية التي يمكن وضعها ولكن هذا ليس هدفنا اليوم. هدفنا بدلاً من ذلك هو تقديم بعض من أفضل أنظمة منع التطفل النشطة.

أفضل أنظمة منع التطفل

تحتوي قائمتنا على مزيج من الأدوات المختلفة التي يمكن استخدامها للحماية من محاولات التسلل. معظم الأدوات المضمنة هي أنظمة منع التطفل الحقيقية ، لكننا نضمّن أيضًا الأدوات التي يمكن استخدامها ، في حين لا يتم تسويقها على هذا النحو ، لمنع التطفل. دخولنا الأول هو أحد هذه الأمثلة. تذكر أنه ، أكثر من أي شيء آخر ، يجب أن يسترشد اختيارك للأداة التي تستخدمها بما هي احتياجاتك الخاصة. لذا ، دعنا نرى ما تقدمه كل واحدة من أفضل أدواتنا.

SolarWinds هو اسم معروف في إدارة الشبكة. تتمتع بسمعة راسخة لعمل بعض من أفضل أدوات إدارة الشبكة والنظام. المنتج الرئيسي ، مراقب أداء الشبكة يسجل باستمرار بين أفضل أدوات مراقبة عرض النطاق الترددي للشبكة المتاحة. تشتهر SolarWinds أيضًا بالعديد من الأدوات المجانية ، كل منها يعالج حاجة محددة لمسؤولي الشبكة. يعد Kiwi Syslog Server أو خادم SolarWinds TFTP مثالين ممتازين لهذه الأدوات المجانية.

لا تدع مدير سجل الأحداث الشمسية و SolarWindsاسم يخدعك. هناك ما هو أكثر بكثير مما تراه العين. بعض الميزات المتقدمة لهذا المنتج تؤهله كنظام للكشف عن التطفل والوقاية منه بينما يضعه البعض الآخر في نطاق معلومات الأمان وإدارة الأحداث (SIEM). الأداة ، على سبيل المثال ، تتميز ارتباط الحدث في الوقت الحقيقي ومعالجة في الوقت الحقيقي.

• تجربة مجانية: مدير سجل الأحداث الشمسية و SolarWinds
• رابط التنزيل الرسمي: https://www.solarwinds.com/log-event-manager-software/registration

ال مدير سجل الأحداث الشمسية و SolarWinds تفتخر بالكشف الفوري عن نشاط مشبوه (وظيفة كشف التسلل) وردود آلية (وظيفة منع التسلل). يمكن أيضًا استخدام هذه الأداة لإجراء تحقيق في الأحداث الأمنية والطب الشرعي. يمكن استخدامه لأغراض التخفيف والامتثال. تحتوي الأداة على تقارير مثبتة للتدقيق والتي يمكن استخدامها أيضًا لإثبات التوافق مع الأطر التنظيمية المختلفة مثل HIPAA و PCI-DSS و SOX. تحتوي الأداة أيضًا على مراقبة تكامل الملفات ومراقبة جهاز USB. جميع الميزات المتقدمة للبرنامج تجعله نظامًا أساسيًا متكاملًا للأمان أكثر من مجرد نظام إدارة السجلات والأحداث الذي قد يؤدي اسمه إلى تصديقه.

ملامح منع التسلل مدير سجل الأحداث الشمسية و SolarWinds يعمل من خلال تنفيذ إجراءات تسمى الاستجابات النشطة كلما تم الكشف عن التهديدات. يمكن ربط الاستجابات المختلفة بتنبيهات محددة. على سبيل المثال ، يمكن للنظام الكتابة إلى جداول جدار الحماية لحظر وصول الشبكة إلى عنوان IP المصدر الذي تم تحديده على أنه يؤدي أنشطة مشبوهة. يمكن للأداة أيضًا تعليق حسابات المستخدمين ، وإيقاف أو بدء العمليات ، وإغلاق الأنظمة. ستذكر كيف أن هذه هي إجراءات التصحيح التي حددناها من قبل.

التسعير لل مدير سجل الأحداث الشمسية و SolarWinds يختلف بناءً على عدد العقد التي تتم مراقبتها. تبدأ الأسعار من 4585 دولارًا لما يصل إلى 30 عُقدة مراقبة وتراخيص لما يصل إلى 2500 عُقدة يمكن شراؤها مما يجعل المنتج قابلاً للتطوير بدرجة كبيرة. إذا كنت ترغب في أخذ المنتج لإجراء اختبار وتحقق بنفسك إذا كان ذلك مناسبًا لك ، تتوفر تجربة مجانية كاملة الميزات لمدة 30 يومًا.

2. شلل

شلل هو على الأرجح أحد أشهر أنظمة منع التطفل. وهي متوفرة في العديد من الإصدارات المختلفة التي تحتوي على مجموعات ميزات مختلفة. Splunk Enterprise Security-أو Splunk ES، كما يطلق عليه غالبًا - هو ما تحتاجه لمنع الاختراق الحقيقي. يراقب البرنامج بيانات نظامك في الوقت الفعلي ، ويبحث عن نقاط الضعف وعلامات النشاط غير الطبيعي.

تعد الاستجابة الأمنية إحدى البدلات القوية للمنتج وما يجعله نظامًا لمنع التطفل. ويستخدم ما يسميه البائع إطار الاستجابة التكيفي (ARF). يندمج مع معدات من أكثر من 55 بائع أمن ويمكنه أداء استجابة آلية ، وتسريع المهام اليدوية. هذا المزيج إذا كان العلاج الآلي والتدخل اليدوي يمكن أن يمنحك أفضل الفرص لكسب اليد العليا بسرعة. تحتوي الأداة على واجهة مستخدم بسيطة ومرتبة ، مما يجعلها حلًا ناجحًا. تشمل ميزات الحماية الأخرى المثيرة للاهتمام وظيفة "Notables" التي تُظهر للمستخدم إمكانية تخصيصها التنبيهات و "باحث الأصول" لوضع علامة على الأنشطة الضارة ومنع المزيد مشاكل.

Splunk Enterprise Securityمعلومات التسعير غير متاحة بسهولة. ستحتاج إلى الاتصال بمبيعات Splunk للحصول على عرض أسعار مفصل. هذا منتج رائع يتوفر له إصدار تجريبي مجاني.

3. ساجان

ساجان هو في الأساس نظام كشف التسلل المجاني. ومع ذلك ، فإن الأداة التي لديها إمكانيات تنفيذ البرنامج النصي والتي يمكن وضعها في فئة أنظمة منع التطفل. ساجان يكتشف محاولات التسلل من خلال مراقبة ملفات السجل. يمكنك أيضًا الدمج ساجان مع Snort الذي يمكن أن يغذي ناتجه ساجان مما يمنح الأداة بعض إمكانات اكتشاف الاختراق القائمة على الشبكة. في الحقيقة، ساجان يمكن الحصول على مدخلات من العديد من الأدوات الأخرى مثل Bro أو Suricata ، والجمع بين قدرات العديد من الأدوات لتوفير أفضل حماية ممكنة.

هناك صيد ساجانقدرات تنفيذ البرنامج النصي ، على الرغم. يجب عليك كتابة البرامج النصية للعلاج. على الرغم من أن هذه الأداة قد لا تستخدم بشكل أفضل كدفاعك الوحيد ضد التطفل ، إلا أنها قد تكون مكونًا رئيسيًا في نظام يدمج العديد من الأدوات من خلال ربط الأحداث من مصادر مختلفة ، مما يمنحك الأفضل من بين العديد منتجات.

في حين ساجان يمكن تثبيته فقط على Linux و Unix و Mac OS ، ويمكنه الاتصال بأنظمة Windows للحصول على الأحداث الخاصة بهم. تشمل الميزات الأخرى المثيرة للاهتمام في Sagan تتبع موقع عنوان IP والمعالجة الموزعة.

4. OSSEC

أمان المصدر المفتوحأو OSSEC، هو أحد أنظمة كشف التسلل الرائدة والمفتوحة المصدر. ندرجه في قائمتنا لسببين. شعبيتها لدرجة أنه كان علينا تضمينها ، خاصة بالنظر إلى أن الأداة تتيح لك تحديد الإجراءات التي يتم تنفيذها تلقائيًا عند تشغيل تنبيهات محددة ، مما يمنحها بعض إمكانات منع التطفل. OSSEC مملوكة لـ Trend Micro ، أحد الأسماء الرائدة في أمن تكنولوجيا المعلومات وصانع واحد من أفضل أجنحة الحماية من الفيروسات.

عند التثبيت على أنظمة تشغيل تشبه Unix ، يركز محرك الكشف الخاص بالبرنامج بشكل أساسي على ملفات التسجيل والتكوين. يقوم بإنشاء مجموعات اختبارية للملفات المهمة والتحقق منها بشكل دوري ، لتنبيهك أو تشغيل إجراء علاجي كلما حدث شيء غريب. سيراقب أيضًا وينبه في أي محاولة غير طبيعية للوصول إلى الجذر. في نظام التشغيل Windows ، يراقب النظام أيضًا تعديلات السجل غير المصرح بها حيث يمكن أن تكون علامة تروي عن نشاط ضار. سيؤدي أي اكتشاف إلى تشغيل تنبيه سيتم عرضه على وحدة التحكم المركزية بينما سيتم أيضًا إرسال الإشعارات عبر البريد الإلكتروني.

OSSEC هو نظام حماية ضد الاختراق. على هذا النحو ، يجب تثبيته على كل جهاز كمبيوتر تريد حمايته. ومع ذلك ، تقوم وحدة التحكم المركزية بدمج المعلومات من كل كمبيوتر محمي لتسهيل إدارتها. ال OSSEC لا تعمل وحدة التحكم إلا على أنظمة تشغيل Unix-like ولكن يتوفر وكيل لحماية مضيفي Windows. بدلاً من ذلك ، يمكن استخدام أدوات أخرى مثل Kibana أو Graylog كواجهة أمامية للأداة.

5. افتح WIPS-NG

لم نكن متأكدين مما إذا كان ينبغي لنا تضمينها افتح WIPS NG في قائمتنا. المزيد عنه في لحظة. لقد صنعته بشكل أساسي لأنه واحد من المنتج الوحيد الذي يستهدف الشبكات اللاسلكية على وجه التحديد. افتح WIPS NG- حيث يشير WIPS إلى نظام منع التطفل اللاسلكي - هو أداة مفتوحة المصدر مصنوعة من ثلاثة مكونات رئيسية. أولاً ، يوجد المستشعر. هذه عملية غبية تلتقط ببساطة حركة المرور اللاسلكية وترسلها إلى الخادم لتحليلها. كما توقعت على الأرجح ، المكون التالي هو الخادم. يجمع البيانات من جميع أجهزة الاستشعار ، ويحلل البيانات التي تم جمعها ويستجيب للهجمات. هذا المكون هو قلب النظام. أخيرًا وليس آخرًا ، هو مكون الواجهة وهو GUI الذي تستخدمه لإدارة الخادم وعرض معلومات حول التهديدات الموجودة على شبكتك اللاسلكية.

السبب الرئيسي لترددنا قبل تضمينه افتح WIPS NG على قائمتنا أنه ، كما هو جيد ، لا يحب الجميع مطور المنتج. إنه من نفس مطور Aircrack NG ، وهو عبارة عن أداة تشفير وحزم لاسلكية لكلمات السر التي تعد جزءًا من مجموعة أدوات كل مخترق شبكة WiFi. هذا يفتح النقاش حول أخلاقيات المطور ويجعل بعض المستخدمين قلقين. من ناحية أخرى ، يمكن اعتبار خلفية المطور بمثابة شهادة على معرفته العميقة بأمان Wi-Fi.

6. Fail2Ban

Fail2Ban نظام كشف التسلل المجاني للمضيف شائعًا نسبيًا مع ميزات منع الاختراق. يعمل البرنامج عن طريق مراقبة ملفات سجل النظام للأحداث المشبوهة مثل محاولات تسجيل الدخول الفاشلة أو محاولات استغلال. عندما يكتشف النظام شيئًا مريبًا ، فإنه يتفاعل من خلال تحديث قواعد جدار الحماية المحلية تلقائيًا لحظر عنوان IP المصدر للسلوك الضار. وهذا بالطبع يعني أن بعض عمليات جدار الحماية تعمل على الجهاز المحلي. هذا هو العيب الأساسي للأداة. ومع ذلك ، يمكن تكوين أي إجراء تعسفي آخر - مثل تنفيذ بعض البرامج النصية التصحيحية أو إرسال إشعارات البريد الإلكتروني.

Fail2Ban يتم تزويده بعدة مشغلات كشف مسبقة الصنع تسمى عوامل التصفية ، والتي تغطي بعض الخدمات الأكثر شيوعًا مثل Apache و Courrier و SSH و FTP و Postfix وغيرها الكثير. كما قلنا ، يتم تنفيذ إجراءات التصحيح عن طريق تعديل جداول جدار الحماية للمضيف. Fail2Ban يدعم Netfilter أو IPtables أو جدول hosts.deny لـ TCP Wrapper. يمكن إقران كل مرشح بواحد أو أكثر من الإجراءات. يُشار إلى الفلاتر والإجراءات معًا باسم السجن.

7. إخوانه مراقب شبكة الأمن

ال إخوانه مراقب شبكة الأمن هو نظام آخر مجاني لكشف التسلل مع وظيفة تشبه IPS. يعمل على مرحلتين ، يقوم أولاً بتسجيل حركة المرور ثم يقوم بتحليلها. تعمل هذه الأداة في طبقات متعددة حتى طبقة التطبيق والتي تمثل الكشف عن محاولات التسلل المقسمة بشكل أفضل. تتكون وحدة تحليل المنتج من عنصرين. العنصر الأول يسمى Event Engine والغرض منه هو تتبع الأحداث المشغلة مثل اتصالات TCP أو طلبات HTTP. ثم يتم تحليل الأحداث بواسطة نصوص السياسة ، العنصر الثاني. تتمثل مهمة نصوص السياسة في تحديد ما إذا كان سيتم تشغيل المنبه أو إطلاق إجراء أو تجاهل الحدث. إنها إمكانية إطلاق العمل الذي يعطي إخوانه مراقب شبكة الأمن وظائف IPS.

ال إخوانه مراقب شبكة الأمن لديها بعض القيود. سيتتبع فقط نشاط HTTP و DNS و FTP وسيراقب أيضًا حركة مرور SNMP. هذا شيء جيد ، على الرغم من ذلك ، لأن SNMP غالبًا ما يستخدم لمراقبة الشبكة على الرغم من العيوب الأمنية الخطيرة. بالكاد يحتوي SNMP على أي أمان مضمن ويستخدم حركة مرور غير مشفرة. وبما أنه يمكن استخدام البروتوكول لتعديل التكوينات ، فيمكن بسهولة استغلاله من قبل المستخدمين الضارين. سيراقب المنتج أيضًا تغييرات تكوين الجهاز وفخاخ SNMP. يمكن تثبيته على Unix و Linux و OS X ولكنه غير متاح لـ Windows ، والذي ربما يكون عيبه الرئيسي. خلاف ذلك ، هذه أداة مثيرة للاهتمام للغاية تستحق المحاولة.