Sistemas de detección de intrusos basados ​​en red: 5 mejores herramientas de NIDS para usar

Parece que todos estos días están preocupados por la seguridad. Tiene sentido al considerar la importancia de la ciberdelincuencia. Las organizaciones son blanco de piratas informáticos que intentan robar sus datos o causarles otros daños. Una forma de proteger su entorno de TI contra estos ataques es mediante el uso de las herramientas y sistemas correctos. A menudo, la primera línea de defensa está en el perímetro de la red en forma de sistemas de detección de intrusiones basados ​​en red o NIDS. Estos sistemas analizan el tráfico que ingresa a su red desde Internet para detectar cualquier actividad sospechosa y alertarlo de inmediato. Los NIDS son tan populares y hay tantos disponibles que encontrar el mejor para sus necesidades puede ser un desafío. Para ayudarte, hemos reunido esta lista de algunos de los mejores sistemas de detección de intrusiones basados ​​en red.

Comenzaremos nuestro viaje observando los diferentes tipos de sistema de detección de intrusiones. Esencialmente, hay dos tipos: basados ​​en red y basados ​​en host. Explicaremos sus diferencias. Los sistemas de detección de intrusos también difieren en el método de detección que utilizan. Algunos de ellos utilizan un enfoque basado en la firma, mientras que otros confían en el análisis de comportamiento. Las mejores herramientas usan una combinación de ambos métodos de detección. El mercado está saturado con sistemas de detección y prevención de intrusos. Exploraremos en qué se diferencian y en qué se parecen, ya que es importante comprender la distinción. Finalmente, revisaremos los mejores sistemas de detección de intrusiones basados ​​en la red y presentaremos sus características más importantes.

Detección de intrusiones de red frente a host

Los sistemas de detección de intrusiones son de uno de dos tipos. Ambos comparten un objetivo idéntico: detectar rápidamente los intentos de intrusión o actividades sospechosas que pueden conducir a intentos de intrusión, pero difieren en la ubicación del punto de aplicación que se refiere a dónde está la detección realizado. Cada tipo de herramienta de detección de intrusos tiene ventajas y desventajas. No existe un consenso real sobre cuál es preferible. Algunos juran por un tipo, mientras que otros solo confían en el otro. Ambos probablemente tengan razón. La mejor solución, o la más segura, es probablemente una que combine ambos tipos.

Sistemas de detección de intrusiones en red (NIDS)

El primer tipo de sistema de detección de intrusiones se llama Sistema de detección de intrusiones de red o NIDS. Estos sistemas funcionan en el límite de la red para exigir la detección. Interceptan y examinan el tráfico de la red, buscando actividades sospechosas que puedan indicar un intento de intrusión y también buscando patrones de intrusión conocidos. Los intrusos a menudo intentan explotar vulnerabilidades conocidas de varios sistemas, por ejemplo, enviando paquetes mal formados a los hosts, haciéndolos reaccionar de una manera particular que les permite ser violados. Un sistema de detección de intrusiones en la red probablemente detectará este tipo de intento de intrusión.

Algunos sostienen que los sistemas de detección de intrusiones en la red son mejores que su contraparte basada en host, ya que pueden detectar ataques incluso antes de que lleguen a sus sistemas. Algunos también tienden a preferirlos porque no requieren instalar nada en cada host para protegerlos de manera efectiva. Por otro lado, proporcionan poca protección contra los ataques internos que desafortunadamente no son poco comunes. Para ser detectado, el intento de intrusión de un atacante debe pasar por el NIDS, lo que rara vez hace cuando se origina desde adentro. Cualquier tecnología tiene pros y contras y, en el caso específico de la detección de intrusos, nada le impide usar ambos tipos de herramientas para la máxima protección.

Sistemas de detección de intrusiones de host (HIDS)

Los sistemas de detección de intrusiones de host (HIDS) funcionan a nivel de host; podrías haberlo adivinado por su nombre. Por ejemplo, monitorearán varios archivos de registro y revistas en busca de signos de actividad sospechosa. Otra forma en que pueden detectar intentos de intrusión es verificando los archivos de configuración del sistema en busca de cambios no autorizados. También pueden examinar estos mismos archivos para patrones de intrusión conocidos específicos. Por ejemplo, se puede saber que un método de intrusión particular funciona agregando un determinado parámetro a un archivo de configuración específico. Un buen sistema de detección de intrusiones basado en host lo captaría.

Aunque su nombre podría llevarlo a pensar que todos los HIDS están instalados directamente en el dispositivo que deben proteger, no es necesariamente el caso. Algunos deberán instalarse en todas sus computadoras, mientras que otros solo requerirán la instalación de un agente local. Algunos incluso hacen todo su trabajo de forma remota sin agente. No importa cómo operen, la mayoría de los HIDS tienen una consola centralizada donde puede controlar cada instancia de la aplicación y ver todos los resultados.

Métodos de detección de intrusiones

Los sistemas de detección de intrusos no solo difieren según el punto de aplicación, sino que también difieren según el método que utilizan para detectar los intentos de intrusión. Algunos están basados ​​en firmas, mientras que otros están basados ​​en anomalías. Los primeros funcionan analizando datos para patrones específicos que se han asociado con intentos de intrusión. Esto es similar a los sistemas de protección antivirus tradicionales que se basan en definiciones de virus. La detección de intrusiones basada en firmas se basa en firmas o patrones de intrusión. Comparan los datos capturados con las firmas de intrusión para identificar los intentos de intrusión. Por supuesto, no funcionarán hasta que se cargue la firma adecuada en el software, lo que a veces solo puede ocurrir después de un cierto número de máquinas han sido atacadas y los editores de firmas de intrusión han tenido tiempo de publicar nuevas actualizaciones paquetes Algunos proveedores son bastante rápidos, mientras que otros solo pudieron reaccionar días después. Este es el principal inconveniente de este método de detección.

La detección de intrusiones basada en anomalías proporciona una mejor protección contra ataques de día cero, aquellos que ocurren antes de que cualquier software de detección de intrusiones haya tenido la oportunidad de adquirir el archivo de firma adecuado. Buscan anomalías en lugar de tratar de reconocer patrones de intrusión conocidos. Por ejemplo, alguien que intenta acceder a un sistema con una contraseña incorrecta varias veces seguidas activaría una alerta, ya que es una señal común de un ataque de fuerza bruta. Estos sistemas pueden detectar rápidamente cualquier actividad sospechosa en la red. Cada método de detección tiene ventajas e inconvenientes y, al igual que con los dos tipos de herramientas, las mejores herramientas son probablemente las que utilizan una combinación de firma y análisis de comportamiento.

¿Detección o prevención?

Algunas personas tienden a confundirse entre la detección de intrusos y los sistemas de prevención de intrusos. Si bien están estrechamente relacionados, no son idénticos, aunque existe cierta superposición de funciones entre los dos. Como su nombre indica, los sistemas de detección de intrusos detectan intentos de intrusión y actividades sospechosas. Cuando detectan algo, generalmente desencadenan alguna forma de alerta o notificación. Depende de los administradores tomar los pasos necesarios para detener o bloquear el intento de intrusión.

Los sistemas de prevención de intrusiones (IPS) van un paso más allá y pueden evitar que ocurran intrusiones por completo. Los sistemas de prevención de intrusiones incluyen un componente de detección, que es funcionalmente equivalente a una intrusión Sistema de detección: que activará alguna acción correctiva automática cada vez que se detecte un intento de intrusión. No se requiere intervención humana para detener el intento de intrusión. La prevención de intrusiones también puede referirse a cualquier cosa que se haga o se implemente como una forma de prevenir intrusiones. Por ejemplo, el endurecimiento de la contraseña o el bloqueo de intrusos pueden considerarse medidas de prevención de intrusiones.

Las mejores herramientas de detección de intrusiones en la red

Hemos buscado en el mercado los mejores sistemas de detección de intrusiones basados ​​en la red. Nuestra lista contiene una mezcla de verdaderos sistemas de detección de intrusiones basados ​​en host y otro software que tiene un componente de detección de intrusiones basado en la red o que se puede utilizar para detectar intentos de intrusión. Cada una de nuestras herramientas recomendadas puede ayudar a detectar intentos de intrusión en su red.

SolarWinds es un nombre común en el campo de las herramientas de administración de red. La compañía ha existido durante unos 20 años y nos ha traído algunas de las mejores herramientas de administración de redes y sistemas. Su producto estrella, el Monitor de rendimiento de red, se clasifica constantemente entre las principales herramientas de monitoreo de ancho de banda de red. SolarWinds también fabrica excelentes herramientas gratuitas, cada una de las cuales cubre una necesidad específica de los administradores de red. El servidor Kiwi Syslog y la calculadora de subred avanzada son dos buenos ejemplos de ellos.

Para la detección de intrusiones basada en la red, SolarWinds ofrece la Monitor de amenazas - Edición IT Ops. A diferencia de la mayoría de las otras herramientas de SolarWinds, este es un servicio basado en la nube en lugar de un software instalado localmente. Simplemente suscríbase, configúrelo y comenzará a observar su entorno en busca de intentos de intrusión y algunos tipos más de amenazas. los Monitor de amenazas - Edición IT Ops combina varias herramientas. Tiene detección de intrusiones basada en red y en host, así como centralización y correlación de registros, e información de seguridad y gestión de eventos (SIEM). Es un conjunto de monitoreo de amenazas muy completo.

• PRUEBA GRATIS: Monitor de amenazas SolarWinds - Edición IT Ops
• Enlace oficial de descarga: https://www.solarwinds.com/threat-monitor/registration

los Monitor de amenazas - Edición IT Ops siempre está actualizado y recibe constantemente información actualizada sobre amenazas de múltiples fuentes, incluidas las bases de datos de reputación de IP y dominio. Vigila amenazas conocidas y desconocidas. La herramienta presenta respuestas inteligentes automatizadas para remediar rápidamente los incidentes de seguridad, dándole algunas características similares a la prevención de intrusiones.

Las características de alerta del producto son bastante impresionantes. Hay alarmas multicondicionales, con correlación cruzada, que funcionan en conjunto con el motor de Respuesta activa de la herramienta y ayudan a identificar y resumir eventos importantes. El sistema de informes es tan bueno como sus alertas y puede usarse para demostrar el cumplimiento mediante el uso de plantillas de informes preconstruidos existentes. Alternativamente, puede crear informes personalizados para adaptarse con precisión a las necesidades de su negocio.

Precios para el Monitor de amenazas SolarWinds - Edición IT Ops comienza en $ 4 500 para hasta 25 nodos con 10 días de índice. Puede ponerse en contacto con SolarWinds para obtener una cotización detallada adaptada a sus necesidades específicas. Y si prefiere ver el producto en acción, puede solicitar una demostración gratuita de SolarWinds.

2. Bufido

Bufido es sin duda el NIDS de código abierto más conocido. Pero Bufido en realidad es más que una herramienta de detección de intrusos. También es un rastreador de paquetes y un registrador de paquetes y también incluye algunas otras funciones. Por ahora, nos concentraremos en las funciones de detección de intrusos de la herramienta, ya que este es el tema de esta publicación. La configuración del producto recuerda a la configuración de un firewall. Se configura mediante reglas. Puede descargar las reglas básicas desde Bufido sitio web y úselos tal cual o personalícelos según sus necesidades específicas. También puedes suscribirte a Bufido reglas para obtener automáticamente las últimas reglas a medida que evolucionan o cuando se descubren nuevas amenazas.

Ordenar es muy exhaustivo e incluso sus reglas básicas pueden detectar una amplia variedad de eventos, como escaneos de puertos furtivos, ataques de desbordamiento de búfer, ataques CGI, sondas SMB y huellas digitales del sistema operativo. Prácticamente no hay límite para lo que puede detectar con esta herramienta y lo que detecta depende únicamente del conjunto de reglas que instale. En cuanto a los métodos de detección, algunas de las reglas básicas de Snort se basan en firmas, mientras que otras se basan en anomalías. Snort puede, por lo tanto, darte lo mejor de ambos mundos.

3. Suricata

Suricata no es solo un sistema de detección de intrusiones. También tiene algunas características de prevención de intrusiones. De hecho, se anuncia como un ecosistema completo de monitoreo de seguridad de red. Uno de los mejores activos de la herramienta es cómo funciona hasta la capa de aplicación. Esto lo convierte en un sistema híbrido basado en la red y el host que le permite a la herramienta detectar amenazas que probablemente pasarán desapercibidas para otras herramientas.

Suricata es un verdadero sistema de detección de intrusiones basado en la red y no solo funciona en la capa de aplicación. Supervisará los protocolos de red de nivel inferior como TLS, ICMP, TCP y UDP. La herramienta también comprende y decodifica protocolos de nivel superior como HTTP, FTP o SMB y puede detectar intentos de intrusión ocultos en solicitudes normales. La herramienta también presenta capacidades de extracción de archivos que permiten a los administradores examinar cualquier archivo sospechoso.

SuricataLa arquitectura de la aplicación es bastante innovadora. La herramienta distribuirá su carga de trabajo en varios núcleos y subprocesos del procesador para obtener el mejor rendimiento. Si es necesario, incluso puede descargar parte de su procesamiento a la tarjeta gráfica. Esta es una gran característica cuando se utiliza la herramienta en los servidores, ya que su tarjeta gráfica generalmente está infrautilizada.

4. Hermano Monitor de seguridad de red

los Bro Network Security Monitor, otro sistema gratuito de detección de intrusos en la red. La herramienta opera en dos fases: registro de tráfico y análisis de tráfico. Al igual que Suricata, Bro Network Security Monitor opera en múltiples capas hasta la capa de aplicación. Esto permite una mejor detección de intentos de intrusión dividida. los Bro Network Security MonitorEl módulo de análisis está compuesto por dos elementos. El primer elemento se denomina motor de eventos y realiza un seguimiento de los eventos desencadenantes, como las conexiones TCP netas o las solicitudes HTTP. Luego, los eventos se analizan mediante scripts de políticas, el segundo elemento, que deciden si activar o no una alarma y / o iniciar una acción. La posibilidad de lanzar una acción le da al Bro Network Security Monitor alguna funcionalidad similar a IPS.

los Bro Network Security Monitor le permitirá rastrear la actividad HTTP, DNS y FTP y también monitoreará el tráfico SNMP. Esto es bueno porque SNMP a menudo se usa para el monitoreo de la red, pero no es un protocolo seguro. Y dado que también se puede usar para modificar configuraciones, podría ser explotado por usuarios malintencionados. La herramienta también le permitirá ver los cambios de configuración del dispositivo y las trampas SNMP. Se puede instalar en Unix, Linux y OS X, pero no está disponible para Windows, lo cual es quizás su principal inconveniente.

5. Cebolla de seguridad

Es difícil definir lo que el Cebolla de seguridad es. No es solo un sistema de detección o prevención de intrusos. Es, en realidad, una distribución completa de Linux con un enfoque en la detección de intrusos, monitoreo de seguridad empresarial y gestión de registros. Como tal, puede ahorrarles mucho tiempo a los administradores. Incluye muchas herramientas, algunas de las cuales acabamos de revisar. Security Onion incluye Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner y más. Para facilitar la configuración, la distribución incluye un asistente de configuración fácil de usar, que le permite proteger su organización en cuestión de minutos. Si tuviéramos que describir el Cebolla de seguridad en una frase, diríamos que es la navaja suiza de seguridad informática empresarial.

Una de las cosas más interesantes de esta herramienta es que obtienes todo en una instalación simple. Para la detección de intrusiones, la herramienta le brinda herramientas de detección de intrusiones basadas en red y en host. El paquete también combina herramientas que utilizan un enfoque basado en firmas y herramientas basadas en anomalías. Además, encontrará una combinación de herramientas basadas en texto y GUI. Realmente hay una excelente combinación de herramientas de seguridad. Hay un inconveniente principal para la cebolla de seguridad. Con tantas herramientas incluidas, configurarlas todas puede resultar una tarea considerable. Sin embargo, no tiene que usar y configurar todas las herramientas. Eres libre de elegir solo aquellos que quieras usar. Incluso si solo usa un par de herramientas incluidas, es probable que sea una opción más rápida que instalarlas por separado.