Hálózati alapú behatolásérzékelő rendszerek: 5 legjobb NIDS eszköz

Úgy tűnik, hogy manapság mindenki foglalkozik a biztonsággal. A kiberbűnözés fontosságának mérlegelésekor van értelme. A szervezeteket olyan hackerek célozzák meg, akik megpróbálják ellopni adataikat, vagy más kárt okozni. A megfelelő eszközök és rendszerek használata az egyik módja annak, hogy megvédje informatikai környezetét a támadásoktól. Az első védelmi vonal gyakran a hálózat kerületén helyezkedik el, hálózati alapú behatolás-észlelési rendszerek vagy NIDS formájában.. Ezek a rendszerek elemezik az internetről az internetről érkező forgalmat, hogy felfedezzék a gyanús tevékenységeket, és azonnal riasztjanak. A NIDS annyira népszerű és nagyon sok közülük elérhető, ha kihívást jelenthet az Ön igényeinek legmegfelelőbb megtalálása. Neked segíteni, összeállítottuk a legjobb hálózati alapú behatolás-felderítő rendszerek néhány listáját.

Utazásunkat azzal kezdjük, hogy megnézzük a különféle behatolás-érzékelő rendszerek típusait. Alapvetően két típus létezik: hálózati és gazda alapú. Megmagyarázjuk a különbségeket. A behatolásérzékelő rendszerek az alkalmazott detektálási módszerektől is különböznek. Néhányuk aláírás-alapú megközelítést alkalmaz, míg mások a viselkedés elemzésére támaszkodnak. A legjobb eszközök mindkét észlelési módszer kombinációját használják. A piac telített mind a behatolás észlelésével, mind a behatolás megelőzésével. Meg fogjuk vizsgálni, hogy különböznek egymástól és mennyiben hasonlítanak egymásra, mivel fontos megérteni a különbséget. Végül áttekintjük a legjobb hálózati alapú behatolás-észlelési rendszereket és bemutatjuk azok legfontosabb szolgáltatásait.

Hálózati vs gazdagép-behatolás-észlelés

A behatolásérzékelő rendszerek kétféle típusúak. Mindkettőnek azonos célja - a behatolási kísérletek vagy a gyanús tevékenységek gyors felismerése, amelyek potenciálisan vezethetnek behatolási kísérletek - de különböznek a végrehajtási pont helyétől, amely arra utal, hogy hol található a felderítés teljesített. A behatolás-észlelő eszközök minden típusának vannak előnyei és hátrányai. Nincs valódi egyetértés abban, hogy melyik a jobb. Egyesek esküttek az egyik típusra, míg mások csak a másikba bíznak. Mindkettőnek valószínűleg igaza van. A legjobb - vagy a legbiztonságosabb - megoldás valószínűleg az, amely mindkét típust ötvözi.

Hálózati behatolásérzékelő rendszerek (NIDS)

A behatolásérzékelő rendszer első típusát hálózati behatolásérzékelő rendszernek vagy NIDS-nek hívják. Ezek a rendszerek a hálózat határán működnek az észlelés végrehajtása érdekében. Lehallgatják és megvizsgálják a hálózati forgalmat, gyanús tevékenységeket keresve, amelyek behatolási kísérletre utalhatnak, és az ismert behatolási mintákat is keresik. A betolakodók gyakran megpróbálják kihasználni a különféle rendszerek ismert sebezhetőségét például azzal, hogy hibásan formált csomagokat küldenek a házigazdáknak, és így olyan módon reagálnak, amely lehetővé teszi azok megsértését. A hálózati behatolás-érzékelő rendszer valószínűleg fel fogja fedezni az ilyen behatolási kísérleteket.

Néhányan azt állítják, hogy a hálózati behatolásdetektáló rendszerek jobbak, mint a host-alapú társaik, mivel még a rendszerükhöz való hozzáférés előtt is képesek felfedezni a támadásokat. Néhányan inkább inkább őket részesítik előnyben, mivel a hatékony védelem érdekében nem kötelesek minden egyes gazdagépre telepíteni. Másrészt kevés védelmet nyújtanak a bennfentes támadások ellen, amelyek sajnos egyáltalán nem ritkák. A felismerés érdekében a támadó behatolási kísérletének át kell mennie a NIDS-en, amelyet ritkán tesz, amikor belülről jön. Bármelyik technológiának vannak előnyei és hátrányai, és a behatolás észlelésének konkrét esetére semmi sem akadályozza meg, hogy mindkét típusú szerszámot használja a tökéletes védelem érdekében.

Behatolásjelző rendszerek (HIDS)

Gazdagép behatolásérzékelő rendszerek (HIDS) a gazdagép szintjén működnek; talán kitalálta ezt a nevükből. Például különféle naplófájlokat és folyóiratokat figyelnek a gyanús tevékenység jeleire. A behatolási kísérletek felfedezésének másik módja a rendszerkonfigurációs fájlok jogosulatlan változások ellenőrzése. Megvizsgálhatják ugyanazokat a fájlokat az ismert ismert behatolási minták szempontjából. Például, egy adott behatolási módszer működhet úgy, hogy egy paramétert hozzáad egy adott konfigurációs fájlhoz. Egy jó gazdagép-alapú behatolás-érzékelő rendszer ezt fogja elérni.

Bár a nevük arra vezethet, hogy azt gondolja, hogy az összes HIDS közvetlenül az eszközre van telepítve, amelyet védeni szándékoztak, nem feltétlenül ez a helyzet. Néhányat az összes számítógépre telepíteni kell, míg másoknak csak egy helyi ügynököt kell telepíteniük. Néhányan távolról is végeznek munkájukat ügynök nélkül. Függetlenül attól, hogy működnek, a legtöbb HIDS rendelkezik központi konzollal, ahol az alkalmazás minden példányát vezérelheti és az összes eredményt megtekintheti.

Behatolás-észlelési módszerek

A behatolás-érzékelő rendszerek nem csak a végrehajtás szempontjából különböznek egymástól, hanem a behatolási kísérletek észlelésére alkalmazott módszer szerint is. Egyesek aláírás-alapúak, mások anomália-alapúak. Az elsők olyan adatok elemzésével dolgoznak, amelyek konkrét mintázatokhoz kapcsolódnak a behatolási kísérletekhez. Ez hasonló a hagyományos vírusvédelmi rendszerekhez, amelyek a vírusdefiníciókra támaszkodnak. Az aláírás-alapú behatolás-észlelés behatolás-aláírásokra vagy mintákra támaszkodik. Összehasonlítják a rögzített adatokat a behatolásjelzéssel, hogy azonosítsák a behatolási kísérleteket. Természetesen addig nem fognak működni, amíg a megfelelő aláírást nem töltik fel a szoftverre, ami csak a következő után fordulhat elő bizonyos számú gépet támadtak meg, és a betolakodó aláírások kiadóinak ideje volt új frissítést közzétenni csomagokat. Egyes szállítók meglehetősen gyorsak, míg mások csak nappal később tudtak reagálni. Ez az érzékelési módszer elsődleges hátránya.

Az anomálián alapuló behatolás-észlelés jobb védelmet nyújt a nulla napos támadások ellen, azok ellen, amelyek akkor fordultak elő, ha bármilyen behatolás-felismerő szoftvernek esélye volt a megfelelő aláírási fájl megszerzésére. Anomáliákat keresnek, ahelyett, hogy megpróbálnák felismerni az ismert behatolási mintákat. Például, ha valaki többször egymás után próbál hozzáférni egy rendszerhez rossz jelszóval, akkor riasztást indít, mivel ez a brute force támadás általános jele. Ezek a rendszerek gyorsan észlelhetnek minden gyanús tevékenységet a hálózaton. Minden észlelési módszernek vannak előnyei és hátrányai, és csakúgy, mint a két eszköz esetében, a legjobb eszközök valószínűleg azok, amelyek az aláírás és a viselkedés elemzését kombinálják.

Felderítés vagy megelőzés?

Vannak, akik összezavarodnak a behatolás észlelése és a behatolás megelőző rendszerek között. Bár szorosan kapcsolódnak egymáshoz, nem azonosak, bár a kettő között némi funkcionális átfedés áll fenn. Ahogy a neve is sugallja, a behatolás-érzékelő rendszerek észlelik a behatolási kísérleteket és a gyanús tevékenységeket. Amikor észlelnek valamit, általában valamilyen formájú riasztást vagy értesítést váltanak ki. Ezután az adminisztrátoroknak kell megtenniük a szükséges lépéseket a behatolási kísérlet leállítására vagy blokkolására.

A behatolás-megelőző rendszerek (IPS) egy lépéssel tovább mennek, és megállíthatják a behatolások teljes előfordulását. A behatolás-megelőző rendszerek tartalmaznak egy észlelési komponenst - amely funkcionálisan egyenértékű a behatolással Érzékelő rendszer - ez automatikus beavatkozást vált ki, amikor behatolási kísérletet észlelnek. A behatolási kísérlet megállításához nincs szükség emberi beavatkozásra. A behatolás megakadályozása utalhat bárminemre, amelyet megtettek vagy bevezettek a behatolások megakadályozására. Például a jelszó megszilárdítása vagy a betolakodók zárolása behatolás-megelőző intézkedéseknek tekinthetők.

A legjobb hálózati behatolás-észlelő eszközök

Megvizsgáltuk a legjobb hálózati alapú behatolás-észlelési rendszereket a piacon. A listánk tartalmazza a valódi gazdagép-behatolás-felderítő rendszerek és más szoftverek keverékét, amelyek hálózati alapú behatolás-érzékelő komponenssel rendelkeznek, vagy amelyek felhasználhatók a behatolási kísérletek észlelésére. Mindegyik ajánlott eszköz segíthet felderíteni a hálózaton belüli behatolási kísérleteket.

A SolarWinds egy általános név a hálózati adminisztrációs eszközök területén. A vállalat körülbelül 20 éve működik, és hozott nekünk a legjobb hálózati és rendszergazdai eszközöket. Kiemelkedő terméke, a Network Performance Monitor, következetesen szerepel a legjobb hálózati sávszélesség-figyelő eszközök között. A SolarWinds kiváló ingyenes eszközöket is készít, amelyek mindegyike a hálózati rendszergazdák speciális igényeinek felel meg. A Kiwi Syslog Server és az Advanced Subnet Calculator két jó példa erre.

A SolarWinds hálózati alapú behatolás-észleléshez a következőket kínálja: Threat Monitor - IT Ops Edition. A legtöbb más SolarWinds eszközzel ellentétben ez egy felhőalapú szolgáltatás, nem pedig helyileg telepített szoftver. Egyszerűen feliratkozik rá, konfigurálja, és elkezdi figyelni a környezetet a behatolási kísérletekre és néhány további fenyegetésre. Az Threat Monitor - IT Ops Edition több eszközt kombinál. Mind hálózati, mind host alapú behatolás-észleléssel, napló-központosítással és -korrelációval, valamint biztonsági információkkal és eseménykezeléssel (SIEM) rendelkezik. Ez egy nagyon alapos fenyegetésfigyelő csomag.

• INGYENES DEMÓ: SolarWinds Threat Monitor - IT Ops kiadás
• Hivatalos letöltési link: https://www.solarwinds.com/threat-monitor/registration

Az Threat Monitor - IT Ops Edition mindig naprakész, folyamatosan friss forrásokból származó veszélyekkel kapcsolatos információkat szerez több forrásból, ideértve az IP és a domain hírnév adatbázisokat is. Figyelemmel kíséri mind az ismert, mind az ismeretlen veszélyeket. Az eszköz automatizált intelligens válaszokat kínál a biztonsági események gyors kiküszöbölésére, adva néhány behatolás-megelőző funkciót.

A termék figyelmeztető funkciói meglehetősen lenyűgözőek. Vannak többfeltételes, keresztkorrelációs riasztások, amelyek az eszköz aktív válaszmotorjával együtt működnek, és segítenek a fontos események azonosításában és összefoglalásában. A jelentési rendszer éppen olyan jó, mint a riasztás, és a meglévő előre elkészített jelentéssablonok használatával kimutatható a megfelelés. Alternatív megoldásként egyedi jelentéseket készíthet, amelyek pontosan megfelelnek üzleti igényeinek.

Az árak a SolarWinds Threat Monitor - IT Ops kiadás Kezdje a 4 500 dollárt akár 25 csomóponttól 10 napos indexeléssel. Vegye fel a kapcsolatot a SolarWinds-rel az Ön igényeihez igazított részletes árajánlatért. És ha jobban akarja látni a terméket működésben, ingyenes demonstrációt kérhet a SolarWinds-től.

2. Horkant

Horkant minden bizonnyal a legismertebb nyílt forráskódú NIDS. De Horkant valójában több, mint egy behatolás-észlelő eszköz. Ez is csomagszippantó és csomagnaplózó, és csomagol néhány további funkciót is. Jelenleg az eszköz behatolás-észlelési funkcióira összpontosítunk, mivel erről van szó ebben a bejegyzésben. A termék konfigurálása a tűzfal konfigurálására emlékeztet. Szabályokkal konfigurálva. Az alapszabályokat a következőről töltheti le Horkant weboldalon, és használja őket a jelenlegi formájában, vagy testreszabhatja őket az Ön egyedi igényeihez. Feliratkozhat is Horkant szabályok, amelyek automatikusan megkapják a legújabb szabályokat, amint fejlődnek, vagy amikor új fenyegetéseket fedeznek fel.

Fajta nagyon alapos, és még az alapvető szabályai is sokféle eseményt felfedezhetnek, például lopakodó port-letapogatást, puffer túlcsordulási támadásokat, CGI-támadásokat, SMB-szondákat és az operációs rendszer ujjlenyomatait. Gyakorlatilag nincs korlátozás arra vonatkozóan, hogy mit észlelhet ezzel az eszközzel, és mit észlel, az kizárólag a telepített szabálytól függ. Ami az észlelési módszereket illeti, néhány alapvető Snort-szabály aláírás-alapú, míg mások anomália-alapúak. A Snort tehát mind a két világ legjobbját megadhatja.

3. suricata

suricata nem csak egy behatolás-érzékelő rendszer. Bizonyos behatolás-megelőző funkciókkal is rendelkezik. Valójában egy teljes hálózati biztonsági figyelő ökoszisztémaként reklámozzák. Az eszköz egyik legjobb eszköze az, hogy miként működik egészen az alkalmazásrétegig. Ez hibrid hálózat- és gazdagép-alapú rendszerré teszi, amely lehetővé teszi az eszköz számára az olyan veszélyek észlelését, amelyeket más eszközök valószínűleg észrevesznek.

suricata egy valódi hálózati alapú behatolás-észlelési rendszer, és nem csak az alkalmazásrétegen működik. Figyelemmel kíséri az alacsonyabb szintű hálózati protokollokat, mint például a TLS, ICMP, TCP és UDP. Az eszköz megérti és dekódolja a magasabb szintű protokollokat is, mint például a HTTP, FTP vagy SMB, és képes felismerni az egyébként normál kérésekben rejtett behatolási kísérleteket. Az eszköz rendelkezik a fájlkicsomagolási lehetőségekkel is, amelyek lehetővé teszik az adminisztrátorok számára, hogy megvizsgálja a gyanús fájlokat.

suricataAz alkalmazás architektúrája meglehetősen innovatív. Az eszköz a legjobb teljesítmény elérése érdekében elosztja munkaterhelését több processzormag és szál között. Szükség esetén feldolgozásának egy részét ki is töltheti a grafikus kártyára. Ez egy nagyszerű szolgáltatás, ha az eszközt szervereken használja, mivel a grafikus kártyáikat általában alulhasználják.

4. tesó Hálózati biztonsági figyelő

Az Bro hálózati biztonsági figyelő, egy másik ingyenes hálózati behatolás-érzékelő rendszer. Az eszköz két szakaszban működik: forgalom naplózása és forgalom elemzése. Csakúgy, mint Suricata, Bro hálózati biztonsági figyelő több rétegben működik az alkalmazásrétegen. Ez lehetővé teszi az osztott behatolási kísérletek jobb észlelését. Az Bro hálózati biztonsági figyelőElemző modulja két elemből áll. Az első elemet eseménymotornak nevezzük, és nyomon követi a kiváltó eseményeket, például a nettó TCP kapcsolatokat vagy a HTTP kéréseket. Az eseményeket ezután házirend-szkriptek elemzik, a második elemmel, amely eldönti, hogy indítson-e riasztást és / vagy indítson egy műveletet. A cselekvés elindításának lehetősége biztosítja: Bro hálózati biztonsági figyelő néhány IPS-szerű funkció.

Az Bro hálózati biztonsági figyelő lehetővé teszi a HTTP, DNS és FTP tevékenységek nyomon követését, valamint az SNMP forgalom figyelését. Ez jó dolog, mert az SNMP-t gyakran használják hálózati megfigyeléshez, ám ez nem biztonságos protokoll. Mivel a konfigurációk módosítására is felhasználható, rosszindulatú felhasználók kihasználhatják azokat. Az eszköz lehetővé teszi az eszközkonfiguráció változásainak és az SNMP csapdák figyelését is. Telepíthető Unix, Linux és OS X rendszerekre, de a Windows számára nem érhető el, ami talán a legfontosabb hátránya.

5. Biztonsági hagyma

Nehéz meghatározni, mi a Biztonsági hagyma van. Ez nem csak a behatolás észlelésére vagy megelőzésére szolgáló rendszer. Valójában egy teljes Linux disztribúció, amely a behatolás észlelésére, a vállalati biztonsági figyelésre és a naplókezelésre összpontosít. Mint ilyen, sok időt takaríthat meg a rendszergazdák számára. Számos eszközt tartalmaz, amelyek közül néhányat éppen felülvizsgáltunk. A biztonsági hagyma magában foglalja az Elasticsearch, a Logstash, a Kibana, a Snort, a Suricata, a Bro, az OSSEC, a Sguil, a Squert, a NetworkMiner és még sok más lehetőséget. A telepítés könnyebbé tétele érdekében a disztribúciót egy könnyen használható telepítővarázsló kíséri, amely perceken belül megvédi a szervezetet. Ha kellene leírnunk a Biztonsági hagyma egy mondatban azt mondanánk, hogy ez a svájci hadsereg kés a vállalati informatikai biztonság terén.

Az eszköz egyik legérdekesebb dolog, hogy mindent egy egyszerű telepítéssel kap. Behatolás-észleléshez az eszköz mind hálózati, mind gazda-alapú behatolás-észlelési eszközöket kínál. A csomag egyesíti az aláírás-alapú megközelítést használó eszközöket és az anomálián alapuló eszközöket is. Ezenkívül szöveges és GUI eszközök kombinációját is megtalálja. Valóban kiváló keverék van a biztonsági eszközökhöz. Az elsődleges hátránya a biztonsági hagyma. Olyan sok eszköz segítségével, amelyek konfigurálása jelentős feladatnak bizonyulhat. Nem kell azonban használni és konfigurálnia - az összes eszközt. Ön szabadon választhat csak azokat, amelyeket használni szeretne. Még ha csak a mellékelt eszközöket is csak néhányat használja, ez valószínűleg gyorsabb megoldás, mint külön-külön történő telepítés.