Beste KOSTENLOSE Intrusion Detection-Software im Jahr 2020

Sicherheit ist ein heißes Thema und das schon eine ganze Weile. Vor vielen Jahren waren Viren das einzige Problem der Systemadministratoren. Viren waren so häufig, dass sie den Weg für eine erstaunliche Reihe von Tools zur Virusprävention ebneten. Heutzutage würde kaum jemand daran denken, einen ungeschützten Computer zu betreiben. Das Eindringen von Computern oder der unbefugte Zugriff böswilliger Benutzer auf Ihre Daten ist jedoch die „Bedrohung du Jour“. Netzwerke sind zum Ziel zahlreicher Hacker mit böser Absicht geworden, die große Anstrengungen unternehmen, um Zugriff auf Ihre Daten zu erhalten. Ihre beste Verteidigung gegen diese Art von Bedrohungen ist ein Intrusion Detection- oder Prevention-System. Heute überprüfen wir zehn der besten kostenlosen Tools zur Erkennung von Eindringlingen.

Bevor wir beginnen, werden wir zunächst die verschiedenen verwendeten Intrusion Detection-Methoden diskutieren. Genauso wie es viele Möglichkeiten gibt, wie Eindringlinge in Ihr Netzwerk eindringen können, gibt es ebenso viele Möglichkeiten - vielleicht sogar noch mehr -, sie zu erkennen. Anschließend werden die beiden Hauptkategorien des Intrusion Detection-Systems erläutert: Network Intrusion Detection und Host Intrusion Detection. Bevor wir fortfahren, werden wir die Unterschiede zwischen Intrusion Detection und Intrusion Prevention erläutern. Zum Schluss geben wir Ihnen einen kurzen Überblick über zehn der besten kostenlosen Tools zur Erkennung von Eindringlingen, die wir finden konnten.

Intrusion Detection-Methoden

Grundsätzlich gibt es zwei verschiedene Methoden, um Eindringversuche zu erkennen. Es kann signaturbasiert oder anomaliebasiert sein. Mal sehen, wie sie sich unterscheiden. Die signaturbasierte Intrusion Detection analysiert Daten auf bestimmte Muster, die mit Intrusion-Versuchen in Verbindung gebracht wurden. Es ähnelt herkömmlichen Antivirensystemen, die auf Virendefinitionen basieren. Diese Systeme vergleichen Daten mit Intrusion-Signaturmustern, um Versuche zu identifizieren. Ihr Hauptnachteil ist, dass sie erst funktionieren, wenn die richtige Signatur in die Software hochgeladen wurde. Dies geschieht normalerweise, nachdem eine bestimmte Anzahl von Computern angegriffen wurde.

Die auf Anomalien basierende Intrusion Detection bietet einen besseren Schutz vor Zero-Day-Angriffen, die auftreten, bevor eine Intrusion Detection-Software die Möglichkeit hatte, die richtige Signaturdatei abzurufen. Anstatt zu versuchen, bekannte Einbruchsmuster zu erkennen, werden diese stattdessen nach Anomalien suchen. Zum Beispiel würden sie feststellen, dass jemand mehrmals versucht hat, mit einem falschen Passwort auf ein System zuzugreifen, ein häufiges Zeichen für einen Brute-Force-Angriff. Wie Sie vielleicht erraten haben, hat jede Erkennungsmethode ihre Vorteile. Aus diesem Grund verwenden die besten Werkzeuge häufig eine Kombination aus beiden, um den besten Schutz zu gewährleisten.

Zwei Arten von Intrusion Detection-Systemen

Ebenso wie es verschiedene Erkennungsmethoden gibt, gibt es auch zwei Haupttypen von Intrusion Detection-Systemen. Sie unterscheiden sich hauptsächlich in dem Ort, an dem die Intrusion Detection durchgeführt wird, entweder auf Hostebene oder auf Netzwerkebene. Auch hier hat jeder seine Vorteile und die beste Lösung - oder die sicherste - besteht möglicherweise darin, beide zu verwenden.

Host Intrusion Detection Systems (HIDS)

Die erste Art von Intrusion Detection-System arbeitet auf Host-Ebene. Es könnte beispielsweise verschiedene Protokolldateien auf Anzeichen verdächtiger Aktivitäten überprüfen. Es könnte auch funktionieren, indem wichtige Konfigurationsdateien auf nicht autorisierte Änderungen überprüft werden. Dies ist, was anomaliebasierte HIDS tun würden. Auf der anderen Seite würden signaturbasierte Systeme dieselben Protokoll- und Konfigurationsdateien betrachten, aber nach bestimmten bekannten Einbruchsmustern suchen. Beispielsweise kann bekannt sein, dass eine bestimmte Einbruchsmethode funktioniert, indem einer bestimmten Konfigurationsdatei eine bestimmte Zeichenfolge hinzugefügt wird, die das signaturbasierte IDS erkennen würde.

Wie Sie sich vorstellen können, werden HIDS direkt auf dem Gerät installiert, das sie schützen sollen. Sie müssen sie daher auf allen Ihren Computern installieren. Die meisten Systeme verfügen jedoch über eine zentrale Konsole, über die Sie jede Instanz der Anwendung steuern können.

Network Intrusion Detection Systems (NIDS)

Network Intrusion Detection-Systeme (NIDS) arbeiten an der Grenze Ihres Netzwerks, um die Erkennung zu erzwingen. Sie verwenden ähnliche Methoden wie Host-Intrusion-Detection-Systeme. Anstatt nach Protokoll- und Konfigurationsdateien zu suchen, sehen sie natürlich nach Netzwerkverkehr wie Verbindungsanforderungen aus. Es ist bekannt, dass einige Intrusion-Methoden Schwachstellen ausnutzen, indem sie absichtlich fehlerhafte Pakete an Hosts senden und sie auf eine bestimmte Weise reagieren lassen. Netzwerkeinbruch-Erkennungssysteme könnten diese leicht erkennen.

Einige würden argumentieren, dass NIDS besser sind als HIDS, da sie Angriffe erkennen, noch bevor sie auf Ihre Computer gelangen. Sie sind auch besser, weil auf jedem Computer nichts installiert werden muss, um sie effektiv zu schützen. Andererseits bieten sie wenig Schutz vor Insider-Angriffen, die leider keine Seltenheit sind. Dies ist ein weiterer Fall, in dem der beste Schutz durch die Verwendung einer Kombination beider Werkzeugtypen erzielt wird.

Intrusion Detection Vs Prevention

In der Welt des Intrusion Protection gibt es zwei verschiedene Arten von Tools: Intrusion Detection-Systeme und Intrusion Prevention-Systeme. Obwohl sie einem anderen Zweck dienen, gibt es häufig Überschneidungen zwischen den beiden Werkzeugtypen. Wie der Name schon sagt, erkennt die Intrusion Detection Intrusion-Versuche und verdächtige Aktivitäten im Allgemeinen. Wenn dies der Fall ist, wird normalerweise eine Art Alarm oder Benachrichtigung ausgelöst. Es ist dann Sache des Administrators, die erforderlichen Schritte zu unternehmen, um diesen Versuch zu stoppen oder zu blockieren.

Intrusion Prevention-Systeme hingegen verhindern, dass Intrusionen insgesamt auftreten. Die meisten Intrusion Prevention-Systeme enthalten eine Erkennungskomponente, die bei jeder Erkennung von Intrusion-Versuchen eine Aktion auslöst. Intrusion Prevention kann aber auch passiv sein. Der Begriff kann verwendet werden, um sich auf alle Schritte zu beziehen, die durchgeführt werden, um Eingriffe zu verhindern. Wir können uns zum Beispiel Maßnahmen wie das Härten von Passwörtern vorstellen.

Die besten kostenlosen Tools zur Erkennung von Eindringlingen

Intrusion Detection-Systeme können teuer und sehr teuer sein. Glücklicherweise gibt es einige kostenlose Alternativen. Wir haben im Internet nach einigen der besten Tools für die Erkennung von Eindringlingen gesucht. Wir haben einige gefunden und sind dabei, die besten zehn, die wir finden konnten, kurz zu überprüfen.

OSSEC, das für Open Source Security steht, ist bei weitem das führende Open-Source-Host-Intrusion-Detection-System. OSSEC gehört Trend Micro, einem der führenden Namen für IT-Sicherheit. Bei der Installation auf Unix-ähnlichen Betriebssystemen konzentriert sich die Software hauptsächlich auf Protokoll- und Konfigurationsdateien. Es erstellt Prüfsummen wichtiger Dateien und überprüft diese regelmäßig, um Sie zu benachrichtigen, wenn etwas Seltsames passiert. Es überwacht und fängt auch alle ungeraden Versuche ab, Root-Zugriff zu erhalten. Unter Windows überwacht das System auch nicht autorisierte Registrierungsänderungen.

OSSEC, ein Host-Intrusion-Detection-System, muss auf jedem Computer installiert werden, den Sie schützen möchten. Es vereinfacht jedoch Informationen von jedem geschützten Computer in einer einzigen Konsole, um die Verwaltung zu vereinfachen. Die Software läuft nur auf Unix-ähnlichen Systemen, es steht jedoch ein Agent zum Schutz von Windows-Hosts zur Verfügung. Wenn das System etwas erkennt, wird eine Warnung auf der Konsole angezeigt und Benachrichtigungen werden per E-Mail gesendet.

Genau wie OSSEC das Top-Open-Source-HIDS war, Schnauben ist das führende Open-Source-NIDS. Snort ist eigentlich mehr als ein Tool zur Erkennung von Eindringlingen. Es ist auch ein Paketschnüffler und einen Paketlogger. Was uns jedoch vorerst interessiert, sind die Intrusion Detection-Funktionen von Snort. Ähnlich wie eine Firewall wird Snort mithilfe von Regeln konfiguriert. Grundregeln können von der Snort-Website heruntergeladen und an Ihre spezifischen Anforderungen angepasst werden. Sie können auch Snort-Regeln abonnieren, um sicherzustellen, dass Sie immer die neuesten Regeln erhalten, wenn neue Bedrohungen erkannt werden.

Die grundlegenden Snort-Regeln können eine Vielzahl von Ereignissen erkennen, z. B. Stealth-Port-Scans, Pufferüberlauf-Angriffe, CGI-Angriffe, SMB-Tests und Betriebssystem-Fingerabdrücke. Was Ihre Snort-Installation erkennt, hängt ausschließlich davon ab, welche Regeln Sie installiert haben. Einige der angebotenen Grundregeln basieren auf Signaturen, andere auf Anomalien. Mit Snort können Sie das Beste aus beiden Welten genießen

Suricata bewirbt sich als System zur Erkennung und Verhinderung von Eindringlingen und als komplettes Ökosystem zur Überwachung der Netzwerksicherheit. Einer der besten Vorteile dieses Tools gegenüber Snort besteht darin, dass es bis zur Anwendungsschicht funktioniert. Auf diese Weise kann das Tool Bedrohungen erkennen, die in anderen Tools unbemerkt bleiben könnten, indem es auf mehrere Pakete aufgeteilt wird.

Suricata funktioniert jedoch nicht nur auf der Anwendungsebene. Es überwacht auch Protokolle niedrigerer Ebenen wie TLS, ICMP, TCP und UDP. Das Tool versteht auch Protokolle wie HTTP, FTP oder SMB und kann Eindringversuche erkennen, die in ansonsten normalen Anforderungen verborgen sind. Es gibt auch eine Funktion zum Extrahieren von Dateien, mit der Administratoren verdächtige Dateien selbst untersuchen können.

In Bezug auf die Architektur ist Suricata sehr gut verarbeitet und verteilt seine Arbeitslast auf mehrere Prozessorkerne und Threads, um die beste Leistung zu erzielen. Es kann sogar einen Teil seiner Verarbeitung auf die Grafikkarte verlagern. Dies ist eine großartige Funktion auf Servern, da ihre Grafikkarte meistens im Leerlauf läuft.

Als nächstes steht auf unserer Liste ein Produkt namens Bro Netzwerksicherheitsmonitor, ein weiteres kostenloses System zur Erkennung von Netzwerkeinbrüchen. Bro arbeitet in zwei Phasen: Verkehrsprotokollierung und Analyse. Wie Suricata arbeitet Bro auf der Anwendungsebene und ermöglicht so eine bessere Erkennung von Split-Intrusion-Versuchen. Es scheint, als ob alles paarweise mit Bro zusammenkommt und sein Analysemodul aus zwei Elementen besteht. Die erste ist die Ereignis-Engine, die auslösende Ereignisse wie Netz-TCP-Verbindungen oder HTTP-Anforderungen verfolgt. Die Ereignisse werden dann durch Richtlinienskripte weiter analysiert, die entscheiden, ob eine Warnung ausgelöst und eine Aktion gestartet werden soll oder nicht, wodurch Bro zusätzlich zu einem Erkennungssystem zu einer Intrusion Prevention wird.

Mit Bro können Sie HTTP-, DNS- und FTP-Aktivitäten verfolgen sowie den SNMP-Verkehr überwachen. Dies ist eine gute Sache, da SNMP häufig für verwendet wird NetzwerküberwachungEs ist kein sicheres Protokoll. Mit Bro können Sie auch Änderungen an der Gerätekonfiguration und SNMP-Traps beobachten. Bro kann unter Unix, Linux und OS X installiert werden, ist jedoch für Windows nicht verfügbar, was möglicherweise den Hauptnachteil darstellt.

Öffnen Sie WIPS NG hat es auf unsere Liste geschafft, hauptsächlich weil es das einzige ist, das speziell auf drahtlose Netzwerke abzielt. Open WIPS NG - wobei WIPS für Wireless Intrusion Prevention System steht - ist ein Open Source-Tool, das drei Hauptkomponenten umfasst. Erstens gibt es den Sensor, ein dummes Gerät, das nur den drahtlosen Verkehr erfasst und zur Analyse an den Server sendet. Als nächstes kommt der Server. Dieser sammelt Daten von allen Sensoren, analysiert die gesammelten Daten und reagiert auf Angriffe. Es ist das Herz des Systems. Last but not least ist die Schnittstellenkomponente die GUI, mit der Sie den Server verwalten und Informationen zu Bedrohungen in Ihrem drahtlosen Netzwerk anzeigen.

Nicht jeder mag Open WIPS NG. Das Produkt stammt vom selben Entwickler wie Aircrack NG und ist ein drahtloser Paket-Sniffer und Passwort-Cracker, der Teil des Toolkits jedes WiFi-Hackers ist. Andererseits können wir angesichts seines Hintergrunds davon ausgehen, dass der Entwickler einiges über die Wi-Fi-Sicherheit weiß.

Samhain ist ein kostenloses Host-Intrusion-Detection-System, das die Überprüfung der Dateiintegrität und die Überwachung / Analyse von Protokolldateien ermöglicht. Darüber hinaus führt das Produkt die Rootkit-Erkennung, die Portüberwachung, die Erkennung unerwünschter ausführbarer SUID-Dateien und versteckte Prozesse durch. Dieses Tool wurde entwickelt, um mehrere Systeme mit verschiedenen Betriebssystemen mit zentraler Protokollierung und Wartung zu überwachen. Samhain kann jedoch auch als eigenständige Anwendung auf einem einzelnen Computer verwendet werden. Samhain kann auf POSIX-Systemen wie Unix Linux oder OS X ausgeführt werden. Es kann auch unter Windows unter Cygwin ausgeführt werden, obwohl in dieser Konfiguration nur der Überwachungsagent und nicht der Server getestet wurde.

Eine der einzigartigsten Funktionen von Samhain ist der Stealth-Modus, mit dem er ausgeführt werden kann, ohne von möglichen Angreifern erkannt zu werden. Zu oft töten Eindringlinge Erkennungsprozesse, die sie erkennen, und lassen sie unbemerkt. Samhain benutzt Steganographie, um seine Prozesse vor anderen zu verbergen. Es schützt auch seine zentralen Protokolldateien und Konfigurationssicherungen mit einem PGP-Schlüssel, um Manipulationen zu verhindern.

Fail2Ban ist ein interessantes kostenloses Host-Intrusion-Detection-System, das auch einige Präventionsfunktionen bietet. Dieses Tool überwacht Protokolldateien auf verdächtige Ereignisse wie fehlgeschlagene Anmeldeversuche, Ausnutzungssuchen usw. Wenn etwas Verdächtiges erkannt wird, werden die lokalen Firewall-Regeln automatisch aktualisiert, um die Quell-IP-Adresse des böswilligen Verhaltens zu blockieren. Dies ist die Standardaktion des Tools, aber jede andere willkürliche Aktion, z. B. das Senden von E-Mail-Benachrichtigungen, kann konfiguriert werden.

Das System verfügt über verschiedene vorgefertigte Filter für einige der gängigsten Dienste wie Apache, Courrier, SSH, FTP, Postfix und viele mehr. Die Vorbeugung erfolgt durch Ändern der Firewall-Tabellen des Hosts. Das Tool kann mit Netfilter, IPtables oder der Tabelle hosts.deny von TCP Wrapper arbeiten. Jeder Filter kann einer oder mehreren Aktionen zugeordnet werden. Filter und Aktionen werden zusammen als Gefängnis bezeichnet.

BERATER ist eine Abkürzung für Advanced Intrusion Detection Environment. Das kostenlose Intrusion Detection-System für Hosts konzentriert sich hauptsächlich auf die Rootkit-Erkennung und den Vergleich von Dateisignaturen. Bei der Erstinstallation von AIDE wird eine Datenbank mit Verwaltungsdaten aus den Konfigurationsdateien des Systems kompiliert. Dies wird dann als Basis verwendet, mit der jede Änderung verglichen und bei Bedarf zurückgesetzt werden kann.

AIDE verwendet sowohl signaturbasierte als auch anomaliebasierte Analysen, die bei Bedarf ausgeführt werden und nicht geplant oder kontinuierlich ausgeführt werden. Dies ist der Hauptnachteil dieses Produkts. AIDE ist jedoch ein Befehlszeilentool, und es kann ein CRON-Job erstellt werden, um ihn in regelmäßigen Abständen auszuführen. Und wenn Sie es sehr häufig ausführen - beispielsweise jede Minute oder so - erhalten Sie quasi Echtzeitdaten. AIDE ist im Kern nichts anderes als ein Datenvergleichstool. Externe Skripte müssen erstellt werden, damit es sich um echte HIDS handelt.

Sicherheitszwiebel ist ein interessantes Tier, das Ihnen viel Zeit sparen kann. Dies ist nicht nur ein System zur Erkennung oder Verhinderung von Eindringlingen. Security Onion ist eine vollständige Linux-Distribution mit den Schwerpunkten Intrusion Detection, Enterprise Security Monitoring und Log Management. Es enthält viele Tools, von denen einige gerade überprüft wurden. Zum Beispiel hat Security Onion Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner und mehr. All dies wird mit einem benutzerfreundlichen Einrichtungsassistenten gebündelt, mit dem Sie Ihre Organisation innerhalb von Minuten schützen können. Sie können sich Security Onion als das Schweizer Taschenmesser für Unternehmens-IT-Sicherheit vorstellen.

Das Interessanteste an diesem Tool ist, dass Sie alles in einer einfachen Installation erhalten. Außerdem erhalten Sie Tools zur Erkennung von Netzwerk- und Host-Eindringlingen. Es gibt Tools, die einen signaturbasierten Ansatz verwenden, und einige, die auf Anomalien basieren. Die Distribution bietet auch eine Kombination aus textbasierten und GUI-Tools. Es gibt wirklich eine exzellente Mischung aus allem. Der Nachteil ist natürlich, dass Sie so viel bekommen, dass die Konfiguration alles eine Weile dauern kann. Sie müssen jedoch nicht alle Tools verwenden. Sie können nur die auswählen, die Sie bevorzugen.

Sagan ist eigentlich eher ein Protokollanalysesystem als ein echtes IDS, aber es hat einige IDS-ähnliche Funktionen, von denen wir glaubten, dass sie die Aufnahme in unsere Liste rechtfertigen. Dieses Tool kann die lokalen Protokolle des Systems überwachen, auf dem es installiert ist, kann aber auch mit anderen Tools interagieren. Es könnte zum Beispiel die Protokolle von Snort analysieren und effektiv einige NIDS-Funktionen zu dem hinzufügen, was im Wesentlichen ein HIDS ist. Und es interagiert nicht nur mit Snort. Es kann auch mit Suricata interagieren und ist mit verschiedenen Tools zur Regelerstellung wie Oinkmaster oder Pulled Pork kompatibel.

Sagan verfügt auch über Skriptausführungsfunktionen, die es zu einem groben System zur Verhinderung von Eindringlingen machen. Dieses Tool wird wahrscheinlich nicht als alleinige Verteidigung gegen Eindringen verwendet, ist jedoch eine hervorragende Komponente eines Systems, das viele Tools enthalten kann, indem Ereignisse aus verschiedenen Quellen korreliert werden.

Fazit

Intrusion Detection-Systeme sind nur eines von vielen Werkzeuge zur Verfügung Unterstützung von Netzwerk- und Systemadministratoren bei der Sicherstellung des optimalen Betriebs ihrer Umgebung. Alle hier diskutierten Tools sind ausgezeichnet, aber jedes hat einen etwas anderen Zweck. Die Auswahl hängt weitgehend von Ihren persönlichen Vorlieben und spezifischen Bedürfnissen ab.