Най-добрият БЕЗПЛАТЕН софтуер за откриване на проникване през 2020 г.

Сигурността е гореща тема и това е от доста време. Преди много години вирусите бяха единствените притеснения на системните администратори. Вирусите бяха толкова разпространени, че водеха по пътя към изумителния набор от инструменти за превенция на вируси. В днешно време едва ли някой би се сетил да работи с незащитен компютър. Въпреки това, компютърната намеса или неоторизиран достъп до вашите данни от злонамерени потребители са „заплахата за пътуване“. Мрежите се превърнаха в цел на многобройни злонамерени хакери, които ще достигнат до голяма степен, за да получат достъп до вашите данни. Най-добрата ви защита срещу тези видове заплахи е система за откриване или предотвратяване на проникване. Днес разглеждаме десет от най-добрите безплатни инструменти за откриване на проникване.

Преди да започнем, първо ще обсъдим различните методи за откриване на проникване, които се използват. Точно както има много начини натрапници да влязат във вашата мрежа, има също толкова много начини - може би дори повече - начини да ги откриете. След това ще обсъдим двете основни категории на система за откриване на проникване: мрежово откриване на проникване и откриване на проникване на проникване. Преди да продължим, след това ще обясним разликите между откриването на проникване и предотвратяването на проникване. И накрая, ще ви дадем кратък преглед на десет от най-добрите безплатни инструменти за откриване на проникване, които можем да намерим.

Методи за откриване на проникване

По принцип има два различни метода, използвани за откриване на опити за проникване. Може да бъде на базата на подпис или на аномалия. Нека да видим как се различават. Базираното на подпис откриване на проникване работи чрез анализ на данни за конкретни модели, които са били свързани с опити за проникване. Това е донякъде като традиционните антивирусни системи, които разчитат на дефинициите на вируса. Тези системи ще сравняват данните с моделите на подписване на проникване, за да идентифицират опити. Основният им недостатък е, че те не работят, докато не бъде качен подходящият подпис към софтуера, което обикновено се случва след атака на определен брой машини.

Базираното на аномалията откриване на проникване осигурява по-добра защита срещу атаки с нулев ден, онези, които се случват преди всеки софтуер за откриване на проникване да има шанс да придобие подходящия файл за подпис. Вместо да се опитват да разпознаят известни модели на проникване, те вместо това ще търсят аномалии. Например, те ще открият, че някой се опита да влезе в система с грешна парола няколко пъти, често срещан признак за груба атака. Както може би се досещате, всеки метод за откриване има своите предимства. Ето защо най-добрите инструменти често използват комбинация от двете за най-добра защита.

Два вида системи за откриване на проникване

Точно както има различни методи за откриване, има и два основни типа системи за откриване на проникване. Те се различават най-вече по мястото, където се извършва откриване на проникване, или на ниво хост, или на ниво мрежа. Тук отново всеки има своите предимства и най-доброто решение - или най-сигурното - е възможно да се използват и двете.

Системи за разпознаване на проникване от хост (HIDS)

Първият тип система за откриване на проникване работи на ниво хост. Например, той може да проверява различни файлове на журнали за признаци на подозрителна активност. Той може също да работи, като проверява важни конфигурационни файлове за неоторизирани промени. Ето какво би направил HIDS на базата на аномалия. От друга страна, системите, базирани на подписи, биха разгледали едни и същи файлове на регистрация и конфигурация, но биха търсили конкретни известни модели на проникване. Например, може да се знае, че даден метод за нахлуване работи чрез добавяне на определен низ към определен конфигурационен файл, който IDS на базата на подпис би открил.

Както можехте да си представите, HIDS се инсталират директно на устройството, което са предназначени да защитават, така че ще трябва да ги инсталирате на всичките си компютри. Въпреки това, повечето системи имат централизирана конзола, където можете да контролирате всеки екземпляр на приложението.

Мрежови системи за откриване на проникване (NIDS)

Мрежовите системи за откриване на прониквания или NIDS работят на границата на вашата мрежа, за да наложат откриването. Те използват подобни методи като хост системи за откриване на проникване. Разбира се, вместо да търсят журнали и конфигурационни файлове, те изглеждат като мрежов трафик, като заявки за връзка. Известно е, че някои методи за проникване използват уязвимости, като изпращат нарочно неправилно оформени пакети до хостове, карайки ги да реагират по определен начин. Мрежовите системи за откриване на прониквания лесно биха могли да ги открият.

Някои биха спорили, че NIDS са по-добри от HIDS, тъй като откриват атаки още преди да стигнат до вашите компютри. Освен това са по-добри, тъй като не изискват да се инсталира нещо на всеки компютър, за да ги защити ефективно. От друга страна, те осигуряват малка защита срещу вътрешни атаки, които за съжаление изобщо не са рядкост. Това е друг случай, при който най-добрата защита идва от използването на комбинация от двата типа инструменти.

Предотвратяване на проникване срещу предотвратяване

Има два различни жанра инструменти в света за защита от проникване: системи за откриване на проникване и системи за предотвратяване на проникване. Въпреки че те обслужват различна цел, често има припокриване между двата типа инструменти. Както подсказва името му, откриването на проникване ще открие опити за проникване и изобщо съмнителни дейности. Когато го направи, той обикновено задейства някаква аларма или известие. След това администраторът трябва да предприеме необходимите стъпки, за да спре или блокира този опит.

Системите за предотвратяване на нахлуване, от друга страна, работят, за да спрат въобще да се натрапват. Повечето системи за предотвратяване на проникване ще включват компонент за откриване, който ще задейства някои действия винаги, когато бъдат открити опити за проникване. Но предотвратяването на проникване също може да бъде пасивно. Терминът може да се използва за обозначаване на всички стъпки, които са направени за предотвратяване на посегателства. Можем да мислим за мерки като например втвърдяване с парола.

Най-добрите безплатни инструменти за откриване на проникване

Системите за откриване на проникване могат да бъдат скъпи, много скъпи. За щастие, има доста свободни алтернативи на разположение там. потърсихме в интернет някои от най-добрите софтуерни инструменти за откриване на проникване. Намерихме доста и скоро ще прегледаме накратко най-добрите десет, които можем да намерим.

OSSEC, което означава защита с отворен код, е най-голямата водеща система за откриване на проникване с отворен код. OSSEC е собственост на Trend Micro, едно от водещите имена в ИТ сигурността. Софтуерът, когато е инсталиран на операционни системи, подобни на Unix, се фокусира предимно върху лог и конфигурационни файлове. Той създава контролни суми от важни файлове и периодично ги валидира, като ви предупреждава, ако се случи нещо странно. Той ще следи и ще улавя всякакви странни опити за получаване на root достъп. В Windows системата също следи за неоторизирани промени в системния регистър.

OSSEC, като система за откриване на проникване в хост, трябва да бъде инсталирана на всеки компютър, който искате да защитите. Той обаче ще консолидира информация от всеки защитен компютър в една конзола за по-лесно управление. Софтуерът работи само на Unix-Like системи, но е наличен агент за защита на хостовете на Windows. Когато системата открие нещо, на конзолата се показва предупреждение, а известията се изпращат по имейл.

Точно както OSSEC беше топ HDS с отворен код, сумтене е водещият NIDS с отворен код. Snort всъщност е нещо повече от инструмент за откриване на проникване. Също е пакетиране и логгер за пакети. Но това, което ни интересува засега, са функциите за откриване на проникване на Snort. Донякъде като защитна стена, Snort се конфигурира с помощта на правила. Основните правила могат да бъдат изтеглени от уебсайта на Snort и адаптирани към вашите специфични нужди. Можете също така да се абонирате за правила на Snort, за да сте сигурни, че винаги получавате най-новите, докато те се развиват с идентифициране на нови заплахи.

Основните правила на Snort могат да открият голямо разнообразие от събития като сканиране на скрит порт, атаки на преливане на буфер, CGI атаки, SMB сонди и отпечатване на ОС. Това, което открива вашата инсталация Snort, зависи единствено от правилата, които сте инсталирали. Някои от основните предлагани правила са базирани на подпис, докато други са базирани на аномалия. Използването на Snort може да ви даде най-доброто от двата свята

Suricata се рекламира като система за откриване и предотвратяване на проникване и като цялостна екосистема за наблюдение на сигурността на мрежата. Едно от най-добрите предимства на този инструмент пред Snort е, че той работи до целия слой на приложението. Това позволява на инструмента да открива заплахи, които могат да останат незабелязани в други инструменти, като се разделят на няколко пакета.

Но Suricata не работи само на приложния слой. Той също така ще следи протокол от по-ниско ниво като TLS, ICMP, TCP и UDP. Инструментът също така разбира протоколи като HTTP, FTP или SMB и може да открие опити за проникване, скрити в иначе нормални заявки. Има и възможност за извличане на файлове, за да може администраторите сами да проверяват подозрителни файлове.

Архитектурно, Suricata е много добре направен и той ще разпредели работното си натоварване в няколко процесорни ядра и нишки за най-добро представяне. Той дори може да разтовари част от обработката си на графичната карта. Това е чудесна функция на сървърите, тъй като тяхната графична карта е предимно на празен ход.

Следващ в нашия списък е продукт, наречен the Бро монитор за мрежова сигурност, друга безплатна система за откриване на проникване в мрежа. Bro работи в две фази: регистриране на трафика и анализ. Подобно на Suricata, Bro работи на слоя на приложението, което позволява по-добро откриване на опити за разделяне на сплит. Изглежда, че всичко идва в двойка с Bro и неговият модул за анализ е съставен от два елемента. Първият е двигателят на събитията, който проследява задействащи събития като мрежови TCP връзки или HTTP заявки. След това събитията се анализират допълнително чрез скриптове на политики, които решават дали да се задейства сигнал или да се предприеме действие, превръщайки Bro в превенция на проникване в допълнение към система за откриване.

Bro ще ви позволи да проследявате HTTP, DNS и FTP активност, както и да следите SNMP трафика. Това е добро нещо, защото, докато SNMP често се използва за мрежов мониторинг, не е защитен протокол. Bro също ви позволява да гледате промени в конфигурацията на устройството и SNMP капани. Bro може да бъде инсталиран в Unix, Linux и OS X, но не е наличен за Windows, може би основният му недостатък.

Отворете WIPS NG го направи в нашия списък главно защото е единствената, която е насочена конкретно към безжичните мрежи. Open WIPS NG - където WIPS означава безжична система за предотвратяване на проникване - е инструмент с отворен код, който се състои от три основни компонента. Първо, има сензор, който е тъпо устройство, което улавя само безжичен трафик и го изпраща на сървъра за анализ. Следва сървърът. Този агрегира данни от всички сензори, анализира събраните данни и реагира на атаки. Тя е сърцето на системата. Не на последно място е интерфейсният компонент, който е GUI, който използвате за управление на сървъра и показване на информация за заплахите във вашата безжична мрежа.

Не всеки обаче харесва Open WIPS NG. Продуктът, ако е от същия разработчик като Aircrack NG, безжичен снайпер за пакети и кракер за пароли, който е част от инструментариума на всеки хакер за WiFi. От друга страна, предвид неговия произход, можем да предположим, че разработчикът знае доста за Wi-Fi сигурността.

Samhain е безплатна система за откриване на проникване на проникване, която осигурява проверка на целостта на файловете и наблюдение / анализ на файловете в журнала. В допълнение, продуктът също така извършва откриване на rootkit, мониторинг на пристанища, откриване на измамни изпълними SUID изпълнения и скрити процеси. Този инструмент е създаден за наблюдение на множество системи с различни операционни системи с централизирана сеч и поддръжка. Въпреки това, Samhain може да се използва и като самостоятелно приложение на един компютър. Samhain може да работи на POSIX системи като Unix Linux или OS X. Той може да работи и в Windows под Cygwin, въпреки че в тази конфигурация е тестван само мониторинг агентът, а не сървърът.

Една от най-уникалните характеристики на Samhain е неговият стелт режим, който му позволява да работи без да бъде открит от евентуални нападатели. Твърде често натрапниците убиват процесите на откриване, които разпознават, което им позволява да останат незабелязани. Samhain използва стеганография, за да скрие процесите си от другите. Той също така защитава своите централни лог файлове и архивиране на конфигурация с PGP ключ, за да предотврати подправяне.

Fail2Ban е интересна безплатна система за откриване на проникване на проникване, която също има някои функции за предотвратяване. Този инструмент работи чрез наблюдение на лог файлове за съмнителни събития като неуспешни опити за влизане, търсения на експлоатации и т.н. Когато открие нещо подозрително, той автоматично актуализира правилата за локална защитна стена, за да блокира изходния IP адрес на злонамереното поведение. Това е по подразбиране действие на инструмента, но всяко друго произволно действие - като изпращане на известия по имейл - може да бъде конфигурирано.

Системата се предлага с различни предварително изградени филтри за някои от най-често срещаните услуги като Apache, Courrier, SSH, FTP, Postfix и много други. Предотвратяването се извършва чрез промяна на таблиците на защитната стена на хоста. Инструментът може да работи с Netfilter, IPtables или таблицата hosts.deny на TCP Wrapper. Всеки филтър може да бъде свързан с едно или много действия. Заедно филтрите и действията са посочени като затвор.

AIDE е съкращение за Advanced Intusion Detection Environment. Системата за откриване на безплатни прониквания на хост основно се фокусира върху откриването на rootkit и сравненията на подписи на файлове. Когато първоначално инсталирате AIDE, той ще компилира база данни с администраторски данни от конфигурационните файлове на системата. След това той се използва като основна линия, с която всяка промяна може да бъде сравнена и евентуално върната назад, ако е необходимо.

AIDE използва анализ на базата на подписи и аномалия, който се изпълнява при поискване и не се планира или непрекъснато работи. Това всъщност е основният недостатък на този продукт. AIDE обаче е инструмент на командния ред и може да се създаде CRON задача, която да го изпълнява на редовни интервали. И ако го стартирате много често - като всяка минута или около - ще получите квази-данни в реално време. В основата си AIDE не е нищо друго освен инструмент за сравнение на данни. Трябва да бъдат създадени външни скриптове, за да се превърнат в истински HIDS.

Сигурност лук е интересен звяр, който може да ви спести много време. Това не е само система за откриване или предотвратяване на проникване. Security Onion е цялостна дистрибуция на Linux с акцент върху откриването на проникване, мониторинга на сигурността на предприятието и управлението на журнала. Тя включва много инструменти, някои от които току-що прегледахме. Например, Security Onion има Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner и други. Всичко това е в комплект с лесен за използване съветник за настройка, който ви позволява да защитите вашата организация в рамките на минути. Можете да мислите за Security Onion като нож на швейцарската армия на ИТ сигурността на предприятието.

Най-интересното при този инструмент е, че получавате всичко в една проста инсталация. И вие получавате както мрежови, така и инструменти за откриване на проникване в хост. Има инструменти, които използват подход, базиран на подпис, и някои, които се базират на аномалия. Разпределението включва също комбинация от текстови и GUI инструменти. Наистина има отлична комбинация от всичко. Недостатъкът, разбира се, е, че получавате толкова много, че конфигурирането му да отнеме известно време. Но не е нужно да използвате всички инструменти. Можете да изберете само тези, които предпочитате.

Сейгън всъщност е по-скоро система за анализ на лога, отколкото истинска IDS, но има някои функции, подобни на IDS, които според нас гарантират включването й в нашия списък. Този инструмент може да гледа локалните регистрационни файлове на системата, където е инсталиран, но може да взаимодейства и с други инструменти. Той може, например, да анализира дневниците на Snort, ефективно добавяйки някои функции на NIDS към това, което всъщност е HIDS. И няма да взаимодейства само със Snort. Той може да взаимодейства и със Suricata и е съвместим с няколко инструмента за изграждане на правила като Oinkmaster или Pulled Pork.

Sagan също има възможности за изпълнение на скриптове, което го прави груба система за предотвратяване на проникване. Този инструмент може да не се използва като ваша единствена защита срещу проникване, но ще бъде чудесен компонент на система, която може да включва много инструменти, като корелира събитията от различни източници.

заключение

Системите за откриване на проникване са само една от многото налични инструменти за подпомагане на мрежовите и системните администратори за осигуряване на оптимална работа на тяхната среда. Всеки от инструментите, обсъдени тук, са отлични, но всеки има малко по-различно предназначение. Този, който ще изберете, до голяма степен ще зависи от личните предпочитания и конкретни нужди.