Najbolji besplatni softver za otkrivanje provale u 2020. godinu

click fraud protection

Sigurnost je vruća tema i to već dugo vremena. Prije mnogo godina virusi su bili jedina briga administratora sustava. Virusi su bili toliko uobičajeni da je vodio na put za zapanjujući niz alata za prevenciju virusa. U današnje vrijeme jedva da je netko pomislio pokrenuti nezaštićeno računalo. Međutim, računalna provala ili neovlašteni pristup vašim podacima od strane zlonamjernih korisnika predstavlja "prijetnju". Mreže su postale meta brojnih zlonamjernih hakera koji će u velikoj mjeri doći do vaših podataka. Vaša najbolja obrana od ove vrste prijetnji je sustav otkrivanja ili sprečavanja provale. Danas pregledavamo deset najboljih besplatnih alata za otkrivanje provale.

Prije nego što počnemo, prvo ćemo razgovarati o različitim metodama otkrivanja provale koje se koriste. Baš kao što postoji mnogo načina kako uljezi mogu ući u vašu mrežu, postoji isto toliko načina - možda čak i više - načina za njihovo otkrivanje. Zatim ćemo razmotriti dvije glavne kategorije sustava za otkrivanje upada: mrežno otkrivanje upada i detekcija upada domaćina. Prije nego što nastavimo, objasnit ćemo razlike između otkrivanja provale i sprečavanja provale. I na kraju, dat ćemo vam kratki pregled deset najboljih besplatnih alata za otkrivanje provale.

instagram viewer

Metode otkrivanja prodora

U osnovi postoje dvije različite metode koje se koriste za otkrivanje pokušaja provale. To može biti na temelju potpisa ili anomalije. Pogledajmo kako se razlikuju. Detekcija upada na temelju potpisa djeluje analizom podataka za specifične obrasce koji su povezani s pokušajima provale. To je nekako poput tradicionalnih antivirusnih sustava koji se oslanjaju na definicije virusa. Ovi će sustavi uspoređivati ​​podatke s obrascima potpisa za upad kako bi identificirali pokušaje. Glavni im je nedostatak to što ne rade sve dok se odgovarajući potpis ne prenese na softver što se obično događa nakon napada određenog broja strojeva.

Otkrivanje upada temeljeno na anomaliji pruža bolju zaštitu od napada nula dana, onih koji se događaju prije nego što je bilo koji softver za otkrivanje provale imao priliku nabaviti odgovarajuću datoteku potpisa. Umjesto pokušaja prepoznavanja poznatih obrazaca provale, oni će umjesto toga tražiti anomalije. Na primjer, otkrili bi da je netko više puta pokušao pristupiti sustavu s pogrešnom zaporkom, što je uobičajeni znak napada grube sile. Kao što ste mogli pretpostaviti, svaka metoda otkrivanja ima svoje prednosti. Zbog toga se u najboljim alatima za najbolju zaštitu često koristi kombinacija oba.

Dva tipa sustava za otkrivanje provale

Kao što postoje različite metode otkrivanja, postoje i dvije glavne vrste sustava za otkrivanje provale. Najviše se razlikuju u mjestu na kojem se vrši otkrivanje provale, bilo na razini računala ili na mreži. I ovdje svaki ima svoje prednosti, a najbolje rješenje - ili najsigurnije - je moguće koristiti oboje.

Sustavi za otkrivanje upada domaćina (HIDS)

Prva vrsta sustava za otkrivanje provale djeluje na razini domaćina. Na primjer, može provjeriti razne datoteke dnevnika radi bilo kakvih znakova sumnjivih aktivnosti. Također može raditi provjerom važnih konfiguracijskih datoteka radi neovlaštenih promjena. To bi učinio HIDS na temelju anomalije. S druge strane, sustavi temeljeni na potpisima gledali bi iste datoteke dnevnika i konfiguracije, ali bi tražili određene poznate uzorke upada. Na primjer, može se znati da određena metoda upada funkcionira dodavanjem određenog niza određenoj konfiguracijskoj datoteci koju bi detektirao IDS na temelju potpisa.

Kao što ste mogli zamisliti, HIDS se instalira izravno na uređaj koji ih želi zaštititi, pa ćete ih morati instalirati na sva svoja računala. međutim, većina sustava ima centraliziranu konzolu na kojoj možete kontrolirati svaku instancu aplikacije.

Mrežni sustavi za otkrivanje upada (NIDS)

Mrežni sustavi za otkrivanje upada ili NIDS-a rade na granici vaše mreže kako bi izvršili otkrivanje. Koriste slične metode kao i sustavi za otkrivanje upada domaćina. Naravno, umjesto da pregledavaju datoteke dnevnika i konfiguracijske datoteke, izgledaju mrežni promet poput zahtjeva za povezivanje. Poznato je da neke metode upada iskorištavaju ranjivosti slanjem namjerno neispravnih paketa domaćinima, čineći ih na određeni način. Mrežni sustavi za otkrivanje upada mogu ih lako otkriti.

Neki bi tvrdili da su NIDS bolji od HIDS-a jer otkrivaju napade i prije nego što dođu do vaših računala. Također su i bolji jer ne zahtijevaju da se na svako računalo instalira bilo što što bi ih moglo zaštititi. S druge strane, pružaju malu zaštitu od insajderskih napada koji nažalost nimalo nisu rijetki. To je još jedan slučaj u kojem najbolja zaštita dolazi korištenjem kombinacije obje vrste alata.

Prevencija otkrivanja provale Vs prevencija

U svijetu zaštite od upada postoje dva različita alata: sustavi za otkrivanje provale i sustave za zaštitu od provale. Iako služe drugačijoj svrsi, često se preklapaju dvije vrste alata. Kao što mu ime govori, otkrivanje provale otkrivat će pokušaje upada i sumnjivih aktivnosti općenito. Kad se dogodi, obično će pokrenuti neku vrstu alarma ili obavijesti. Na administratoru je da poduzme potrebne korake kako bi zaustavio ili blokirao ovaj pokušaj.

S druge strane, sustavi za sprečavanje prodora djeluju na zaustavljanje ivota. Većina sustava za sprječavanje upada uključuje komponentu detekcije koja će pokrenuti neku radnju kad god se otkriju pokušaji provale. Ali sprečavanje prodora može biti i pasivno. Izraz se može koristiti za označavanje bilo kojeg koraka koji je napravljen radi sprečavanja upada. Na primjer, možemo smisliti mjere poput otvrdnjavanja lozinke.

Najbolji alati za otkrivanje upada

Sustavi za otkrivanje provale mogu biti skupi, vrlo skupi. Srećom, tamo postoji na raspolaganju nekoliko besplatnih alternativa. na Internetu smo pretraživali neke od najboljih softverskih alata za otkrivanje provale. Pronašli smo ih nekoliko i upravo ćemo ukratko pregledati najboljih deset koje možemo pronaći.

OSSEC, što je za Open Source Sigurnost, daleko je vodeći sustav za otkrivanje provale otvorenog koda. OSSEC je u vlasništvu tvrtke Trend Micro, jednog od vodećih imena u IT sigurnosti. Softver, instaliran na Unix operativne sustave, uglavnom se fokusira na zapisnike i konfiguracijske datoteke. Stvara kontrolne sume važnih datoteka i periodično ih potvrđuje, upozoravajući ako se dogodi nešto neobično. Također će nadgledati i uhvatiti sve neobične pokušaje dobivanja korijenskog pristupa. U sustavu Windows sustav također nadgleda neovlaštene izmjene registra.

Snimka zaslona nadzorne ploče OSSEC

OSSEC, kao sustav za otkrivanje upada domaćina, treba biti instaliran na svako računalo koje želite zaštititi. Međutim, podaci će sa svakog zaštićenog računala objediniti u jednoj konzoli radi lakšeg upravljanja. Softver se pokreće samo na Unix-Like sustavima, ali dostupan je agent za zaštitu Windows domaćina. Kad sustav nešto otkrije, na konzoli se prikazuje upozorenje, a obavijesti se šalju putem e-pošte.

Baš kao što je OSSEC bio top HID-ov otvorenog koda, frka vodeći je open-source NIDS. Snort je zapravo više od alata za otkrivanje provale. To je također sniffer paket i zapisnik za pakete. Ali ono što nas za sada zanima zanima su Snort-ove značajke otkrivanja provale. Slično kao vatrozid, Snort se konfigurira pomoću pravila. Osnovna pravila mogu se preuzeti s web mjesta Snort i prilagoditi vašim specifičnim potrebama. Možete se pretplatiti na pravila Snort i osigurati da uvijek dobijete najnovije one koje se razvijaju kako budu prepoznate nove prijetnje.

Snort IDS konzola za Windows

Osnovna Snort pravila mogu otkriti širok raspon događaja kao što su skeniranje nevidljivih vrata, napadi prepunjenog međuspremnika, CGI napadi, SMB sonde i otisci prsta na OS-u. Što će Vaša instalacija Snort otkriti ovisi isključivo o pravilima koje ste instalirali. Neka se osnovna pravila nude na temelju potpisa, dok su druga na anomaliji. Korištenje Snort-a može vam pružiti najbolje od oba svijeta

Suricata se oglašava kao sustav otkrivanja i sprečavanja provale i kao cjeloviti mrežni ekosustav za nadzor sigurnosti. Jedna od najboljih prednosti ovog alata u odnosu na Snort je ta što djeluje sve do sloja aplikacije. To vam omogućuje otkrivanje prijetnji koje bi mogle proći nezapaženo u drugim alatima ako se podijele na nekoliko paketa.

Snimak slike Suricata

Ali Suricata ne radi samo na aplikacijskom sloju. Nadgledat će i protokol niže razine poput TLS, ICMP, TCP i UDP. Alat također razumije protokole poput HTTP, FTP ili SMB i može otkriti pokušaje provale skrivene u inače normalnim zahtjevima. Tu je i mogućnost izdvajanja datoteka koja omogućava administratorima da sami pregledaju sumnjive datoteke.

Arhitektonski gledano, Suricata je vrlo dobro napravljen i rasporedit će svoje radno opterećenje na nekoliko procesorskih jezgara i niti za najbolje performanse. Čak može prebaciti dio svoje obrade na grafičku karticu. Ovo je sjajna značajka na poslužiteljima jer njihova grafička kartica uglavnom radi u praznom hodu.

Sljedeći na našem popisu je proizvod zvan the Bro Network Security Monitor, još jedan besplatni mrežni sustav za otkrivanje upada. Bro djeluje u dvije faze: evidentiranje prometa i analiza. Poput Suricata, i Bro djeluje na aplikacijskom sloju, omogućavajući bolju detekciju pokušaja podijeljenog pokušaja provale. Čini se da sve dolazi u paru s Broom, a njegov se modul za analizu sastoji od dva elementa. Prvi je pokretač događaja koji prati pokretanje događaja kao što su neto TCP veze ili HTTP zahtjevi. Događaji se zatim analiziraju skriptama politika koje odlučuju hoće li ili ne pokrenuti upozorenje i pokrenuti akciju, čineći Bro da sprječavanje provale uz sustav otkrivanja.

Bro će vam omogućiti praćenje HTTP, DNS i FTP aktivnosti kao i nadziranje SNMP prometa. To je dobra stvar, jer iako se SNMP često koristi nadzor mreže, to nije siguran protokol. Bro vam također omogućuje gledanje promjena u konfiguraciji uređaja i SNMP zamki. Bro se može instalirati na Unix, Linux i OS X, ali nije dostupan za Windows, možda je njegov glavni nedostatak.

Otvorite WIPS NG uvrstio je na naš popis uglavnom zato što je jedini koji posebno cilja bežične mreže. Otvoreni WIPS NG - gdje WIPS znači bežični sustav za sprečavanje provale - je alat otvorenog koda koji se sastoji od tri glavne komponente. Prvo, tu je senzor koji je glupi uređaj koji samo hvata bežični promet i šalje ga poslužitelju na analizu. Slijedi poslužitelj. Ovaj objedinjuje podatke sa svih senzora, analizira prikupljene podatke i reagira na napade. To je srce sustava. Posljednja, ali ne najmanje bitna, komponenta sučelja je GUI koji koristite za upravljanje poslužiteljem i prikazivanje informacija o prijetnjama na vašoj bežičnoj mreži.

Nisu svi vole Open WIPS NG. Proizvod ako je od istog razvojnog programera kao što je Aircrack NG, bežični paket njuška i loktera za lozinku koji je dio svakog paketa alata za WiFi hakere. S druge strane, s obzirom na njegovu pozadinu, možemo pretpostaviti da programer zna dosta o Wi-Fi sigurnosti.

Samhain je besplatni sustav za otkrivanje upada domaćina koji omogućuje provjeru integriteta datoteke i nadzor / analizu datoteka zapisa. Pored toga, proizvod također obavlja otkrivanje rootkita, nadzor priključka, otkrivanje skitnih izvršivih SUID-ova i skrivene procese. Ovaj je alat dizajniran za nadziranje više sustava s različitim operativnim sustavima s centraliziranom prijavom i održavanjem. No, Samhain se može koristiti i kao samostalna aplikacija na jednom računalu. Samhain se može pokretati na POSIX sustavima kao što su Unix Linux ili OS X. Može se izvoditi i u sustavu Windows pod Cygwin-om iako je u toj konfiguraciji testiran samo nadzorni agent, a ne poslužitelj.

Snimka zaslona Samhain IDS

Jedna od najvažnijih karakteristika Samhaina je tajni način rada koji mu omogućuje da se pokrene bez otkrivanja napadača. Prečesto uljezi ubijaju procese otkrivanja koje prepoznaju, omogućujući im da prođu nezapaženo. Samhain koristi steganografiju da sakrije svoje procese od drugih. Također štiti središnje datoteke dnevnika i sigurnosne kopije s PGP tipkom kako bi se spriječilo neovlašteno diranje.

Fail2Ban je zanimljiv besplatni sustav za otkrivanje provale domaćina koji također ima neke značajke prevencije. Ovaj alat djeluje nadgledanjem datoteka dnevnika radi sumnjivih događaja kao što su neuspjeli pokušaji prijave, pokušaji pretraživanja itd. Kad otkrije nešto sumnjivo, automatski ažurira lokalna pravila vatrozida kako bi blokirala izvornu IP adresu zlonamjernog ponašanja. Ovo je zadana radnja alata, ali bilo koja druga proizvoljna radnja - poput slanja obavijesti putem e-pošte - može se konfigurirati.

Sustav dolazi s raznim unaprijed ugrađenim filtrima za neke od najčešćih usluga kao što su Apache, Courrier, SSH, FTP, Postfix i mnogi drugi. Prevencija se vrši izmjenom tablica vatrozida domaćina. Alat može raditi s Netfilter, IPtables ili host.deny tablom TCP Wrapper. Svaki se filtar može povezati s jednom ili više radnji. Zajedno se filtri i radnje nazivaju zatvorom.

POMOĆNIK Akronim je skraćenica za napredno okruženje za otkrivanje ulaska. Sustav za otkrivanje upada besplatnih računala uglavnom se fokusira na otkrivanje rootkita i usporedbu potpisa datoteka. Kada prvotno instalirate AIDE, sastavit će bazu podataka administrativnih podataka iz konfiguracijskih datoteka sustava. Potom se koristi kao početna crta s kojom se bilo kakve promjene mogu usporediti i po potrebi eventualno vratiti natrag.

AIDE koristi analizu koja se temelji na potpisu i anomaliji, a koja se izvodi na zahtjev, a ne planira se ili neprekidno radi. To je zapravo glavni nedostatak ovog proizvoda. Međutim, AIDE je alat naredbenog retka i može se stvoriti CRON posao koji će ga pokretati u pravilnim intervalima. A ako je pokrenete vrlo često - kao što je svaka minuta ili nešto slično - dobit ćete kvazi realne podatke. U osnovi, AIDE nije ništa drugo nego alat za usporedbu podataka. Moraju se stvoriti vanjske skripte kako bi to bilo istinsko HIDS.

Sigurnosni luk je zanimljiva zvijer koja vam može uštedjeti puno vremena. Ovo nije samo sustav za otkrivanje ili sprečavanje provale. Security Onion je cjelovita distribucija Linuxa s naglaskom na otkrivanju provale, nadzoru sigurnosti poduzeća i upravljanju zapisnicima. To uključuje mnogo alata, neke od kojih smo upravo pregledali. Na primjer, Security Onion ima Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner i još mnogo toga. Sve je to u paketu s čarobnjakom za jednostavno postavljanje koji vam omogućuje da zaštitite svoju organizaciju u roku od nekoliko minuta. Sigurnost Luk možete misliti kao švicarsku vojsku noža informatičke sigurnosti poduzeća.

Čarobnjak za postavljanje sigurnosnog luka

Najzanimljivija stvar ovog alata je da sve dobijete u jednoj jednostavnoj instalaciji. Možete dobiti i mrežne alate i alate za otkrivanje upada. Postoje alati koji koriste pristup temeljen na potpisu i neki koji se temelje na anomaliji. U distribuciji se nalazi i kombinacija tekstualnih i GUI alata. Zaista postoji odlična kombinacija svega. Nedostatak je, naravno, što dobijete toliko da konfiguriranje svega može potrajati. Ali ne morate koristiti sve alate. Možete odabrati samo one koje želite.

Sagan zapravo je više sustav za analizu dnevnika nego istinski IDS, ali ima neke značajke slične IDS-u za koje smo mislili da jamče njegovo uvrštavanje na naš popis. Ovaj alat može gledati lokalne zapise sustava gdje je instaliran, ali također može komunicirati s drugim alatima. Na primjer, mogao bi analizirati Snorttove zapise, učinkovito dodajući NIDS funkcionalnost onome što je u stvari HIDS. I neće samo komunicirati sa Snortom. Može komunicirati i sa Suricata, a kompatibilan je s nekoliko alata za izgradnju pravila kao što su Oinkmaster ili Pulled Pork.

Snimka ekrana Sagana

Sagan također ima mogućnosti izvršavanja skripti što ga čini grubim sustavom za sprečavanje upada. Ovaj se alat vjerojatno neće koristiti kao vaša jedina obrana od provale, ali bit će sjajna komponenta sustava koji može uključiti mnoge alate koreliranjem događaja iz različitih izvora.

Zaključak

Sustavi za otkrivanje provale samo su jedan od mnogih dostupni alati za pomoć mrežnim i sistemskim administratorima u osiguravanju optimalnog rada njihovog okruženja. Bilo koji od ovdje opisanih alata je izvrstan, ali svaki ima malo drugačiju svrhu. Ona koju odaberete uvelike će ovisiti o osobnim preferencijama i specifičnim potrebama.

watch instagram story