A legjobb ingyenes behatolás-észlelő szoftver 2020-ban

A biztonság forró téma, és ez már jó ideje. Sok évvel ezelőtt a vírusok voltak a rendszergazdák egyetlen aggodalma. A vírusok annyira gyakoriak voltak, hogy előkészítették az utat a vírusmegelőző eszközök meglepő sorozatához. Manapság alig gondolkodna senki nem védett számítógép futtatásáról. A számítógépes behatolás, vagy pedig a rosszindulatú felhasználók jogosulatlan hozzáférése az Ön adataihoz, a „fenyegetés du uta”. A hálózatok számos rossz szándékú hackerek célpontjává váltak, amelyek nagyon hosszúak lesznek, hogy hozzáférjenek az Ön adataihoz. Az ilyen típusú fenyegetések elleni legjobb védekezés a behatolás észlelésére vagy megelőzésére szolgáló rendszer. Ma áttekintettük a tíz legjobb ingyenes behatolás-észlelő eszköz áttekintését.

Mielőtt elkezdenénk, először megvitatjuk a különböző behatolás-észlelési módszereket. Csakúgy, ahogyan a betolakodók sokféleképpen beléphetnek a hálózatába, éppoly sokféle módon - talán még több módon is - lehet felfedezni őket. Ezután megvitatjuk a behatolásérzékelő rendszerek két fő kategóriáját: a hálózati behatolásérzékelés és a befogadó behatolásdetektálása. Mielőtt folytatnánk, elmagyarázzuk a különbségeket a behatolás észlelése és a behatolás megelőzése között. És végül röviden áttekintjük a tíz legjobb behatolás-észlelési eszközt, amelyeket megtalálhattunk.

Behatolás-észlelési módszerek

Alapvetően kétféle módszer létezik a behatolási kísérletek észlelésére. Lehet, hogy aláírás-alapú vagy anomália-alapú. Lássuk, hogy különböznek egymástól. Az aláírás-alapú behatolás-észlelés az adatok elemzésével történik, amelyek behatolási kísérletekkel társultak. Ez kissé olyan, mint a vírusleírásokra támaszkodó antivírus rendszerek. Ezek a rendszerek összehasonlítják az adatokat a behatolási aláírási mintákkal a kísérletek azonosításához. Fő hátrányuk, hogy addig nem működnek, amíg a megfelelő aláírást a szoftverre nem töltik fel, ami általában akkor történik, amikor egy bizonyos számú gépet megtámadtak.

Az anomálián alapuló behatolás-észlelés jobb védelmet nyújt a nulla napos támadások ellen, azok ellen, amelyek akkor fordultak elő, mielőtt bármilyen betolakodásjelző szoftvernek esélye volt volna megszerezni a megfelelő aláírási fájlt. Ahelyett, hogy megpróbálnák felismerni az ismert behatolási mintákat, ezek inkább rendellenességeket keresnek. Például észlelnék, hogy valaki többször is rossz jelszóval próbált hozzáférni a rendszerhez, ami a brutális erő támadásának általános jele. Mint gondolnád, minden egyes észlelési módszernek megvannak az előnyei. Ez az oka annak, hogy a legjobb eszközök gyakran használják mindkettő kombinációját a legjobb védelem érdekében.

Két típusú behatolásérzékelő rendszerek

Csakúgy, mint a különböző észlelési módszerek, a behatolás-érzékelő rendszereknek két fő típusa is van. Leginkább abban a helyben különböznek egymástól, ahol a behatolás észlelését végrehajtják, akár gazdagépes, akár hálózati szinten. Itt ismét mindegyiknek megvannak az előnyei, és a lehető legjobb - vagy legbiztonságosabb - megoldás mindkettő használata.

Behatolásjelző rendszerek (HIDS)

Az első típusú behatolás-érzékelő rendszer gazdagépen működik. Ellenőrizheti például a különböző naplófájlokat, hogy nincs-e gyanús tevékenység jele. Úgy is működhet, ha a fontos konfigurációs fájlokat illetéktelen változtatásokkal ellenőrzi. Az anomálián alapuló HIDS ezt tenné. Másrészről, az aláírás-alapú rendszerek ugyanazokat a napló- és konfigurációs fájlokat nézzék meg, de konkrét ismert behatolási mintákat keresnének. Például, egy bizonyos behatolási módszer működhet úgy, hogy egy bizonyos karakterláncot ad hozzá egy adott konfigurációs fájlhoz, amelyet az aláírás-alapú IDS észlel.

Mint gondolhatta volna, a HIDS közvetlenül arra a készülékre van telepítve, amelyet védeni szándékoztak, így minden számítógépére telepítenie kell. a legtöbb rendszer azonban rendelkezik egy központi konzollal, ahol az alkalmazás minden példányát vezérelheti.

Hálózati behatolásérzékelő rendszerek (NIDS)

A hálózati behatolásérzékelő rendszerek vagy NIDS a hálózat határán működnek az észlelés végrehajtása érdekében. Hasonló módszereket alkalmaznak, mint gazda behatolásérzékelő rendszerek. Természetesen a napló- és a konfigurációs fájlok keresése helyett a hálózati forgalom, például a csatlakozási kérelmek keresése. Néhány betolakodási módszerről ismert, hogy kihasználják a sebezhetőségeket azzal, hogy szándékosan hibásan elkészített csomagokat küldnek a gazdagépeknek, és így bizonyos módon reagálnak. A hálózati behatolásérzékelő rendszerek ezeket könnyen észlelhetik.

Néhányan azt állítják, hogy a NIDS jobb, mint a HIDS, mivel még a számítógépükhöz való hozzáférés előtt is észlelnek támadásokat. Sokkal jobbak is, mivel nem igényelnek semmilyen telepítést az egyes számítógépekre a hatékony védelem érdekében. Másrészt kevés védelmet nyújtanak a bennfentes támadások ellen, amelyek sajnos egyáltalán nem ritkák. Ez egy másik eset, amikor a legjobb védelem mindkét típusú eszköz kombinációjának használatával származik.

Behatolás-észlelés és megelőzés

A behatolásvédelmi világban két különféle eszközfajta létezik: behatolásjelző rendszerek és behatolás-megelőző rendszerek. Noha eltérő célt szolgálnak, a két eszköz között gyakran van átfedés. Ahogy a neve is sugallja, a behatolás-észlelés általánosságban észlelheti a behatolási kísérleteket és a gyanús tevékenységeket. Amikor ez megtörténik, általában valamilyen riasztást vagy értesítést indít. Ezután a rendszergazdának kell megtennie a szükséges lépéseket e kísérlet leállítására vagy blokkolására.

A behatolás-megelőző rendszerek ezzel szemben a behatolások teljes megállítását akadályozzák meg. A legtöbb behatolás-megelőző rendszer tartalmaz egy észlelési komponenst, amely bizonyos beavatkozásokat kivált, amikor behatolási kísérletek észlelésre kerülnek. A behatolás megelőzése azonban passzív is lehet. A kifejezés bármilyen lépésre utalhat, amelyet a behatolás megakadályozására hoztak létre. Gondolhatunk olyan intézkedésekre, mint például a jelszó megerősítése.

A legjobb ingyenes behatolás-észlelő eszközök

A behatolásérzékelő rendszerek drágák, nagyon drágák lehetnek. Szerencsére nagyon sok ingyenes alternatíva áll rendelkezésre. az interneten keressük a behatolás-felismerő szoftverek egyik legjobb eszközét. Nagyon keveset találtunk, és rövidesen áttekintettük a találatok tíz legjobbját.

OSSEC, amely az Open Source Security kifejezést jelenti, messze a vezető nyílt forráskódú behatolásjelző rendszer. Az OSSEC a Trend Micro tulajdona, az IT biztonság egyik vezető neve. Az Unix-szerű operációs rendszerekre telepített szoftver elsősorban a napló- és a konfigurációs fájlokra összpontosít. Ez létrehozza a fontos fájlok ellenőrző összegeit és időről időre ellenőrzi azokat, figyelmeztetve, ha furcsa történik. Ezenkívül figyelemmel kíséri és elkapja a root hozzáférés megszerzésének furcsa kísérleteit. Windows rendszeren a rendszer figyelemmel kíséri a jogosulatlan beállításjegyzék-módosításokat is.

Az OSSEC-t, mint gazdagép behatolás-érzékelő rendszert kell telepíteni minden védeni kívánt számítógépre. Azonban egyetlen konzolban egyesíti az egyes védett számítógépekről származó információkat az egyszerűbb kezelés érdekében. A szoftver csak Unix-szerű rendszereken fut, de egy ügynök rendelkezésre áll a Windows-gazdagépek védelmére. Amikor a rendszer észlel valamit, riasztás jelenik meg a konzolon, és az értesítéseket e-mailben küldi el.

Csakúgy, mint az OSSEC volt a legfontosabb nyílt forráskódú HIDS, Horkant a vezető nyílt forráskódú NIDS. A Snort valójában több, mint egy behatolás-észlelő eszköz. Ez is egy csomag-szippantó és csomagkezelő. De most minket érdekel a Snort behatolásjelző funkciói. Úgy tűnik, mint egy tűzfal, a Snort szabályok segítségével van konfigurálva. Az alapszabályok letölthetők a Snort webhelyről, és testreszabhatók az Ön egyedi igényeihez. Feliratkozhat a Snort szabályokra is annak biztosítása érdekében, hogy mindig megkapja a legfrissebb szabályokat, mivel az új veszélyek azonosításakor alakulnak.

Az alapvető Snort-szabályok számos különféle eseményt észlelhetnek, például lopakodó port-letapogatást, puffer túlcsordulási támadásokat, CGI-támadásokat, SMB-szondákat és az operációs rendszer ujjlenyomatait. Amit a Snort telepítése észlel, az csak a telepített szabályoktól függ. A felkínált alapszabályok némelyike ​​aláírás-alapú, mások anomáliás-alapúak. A Snort használata mind a két világ legjobbat nyújthatja

suricata reklámozza magát behatolás-felderítő és megelőző rendszerként, valamint teljes hálózati biztonsági figyelő ökoszisztémaként. Az eszköz egyik legjobb előnye a Snort-hoz képest, hogy egészen az alkalmazásrétegig működik. Ez lehetővé teszi az eszköz számára az olyan veszélyek észlelését, amelyek más eszközökön észrevétlenül maradhatnak, ha több csomagra osztják őket.

A Suricata azonban nem csak az alkalmazásrétegen működik. Figyelemmel kíséri továbbá az alacsonyabb szintű protokollokat, mint például a TLS, ICMP, TCP és UDP. Az eszköz megérti azokat a protokollokat is, mint a HTTP, FTP vagy SMB, és képes felismerni az egyébként normál kérésekben rejtett behatolási kísérleteket. Van egy fájlkicsomagolási lehetőség, amely lehetővé teszi a rendszergazdák számára, hogy maguk is megvizsgálják a gyanús fájlokat.

Építészeti szempontból a Suricata nagyon jól elkészült, és a legjobb teljesítmény elérése érdekében több processzormagra és szálra osztja el a terhelését. A feldolgozás egy részét akár a grafikus kártyára is lerakhatja. Ez egy nagyszerű szolgáltatás a szervereknél, mivel a grafikus kártya többnyire alapjáraton működik.

A listánk következő terméke a Bro hálózati biztonsági figyelő, egy másik ingyenes hálózati behatolás-érzékelő rendszer. Bro két fázisban működik: forgalomnaplózás és elemzés. A Suricata-hoz hasonlóan, a Bro az alkalmazásrétegen is működik, lehetővé téve a megosztott behatolási kísérletek jobb észlelését. Úgy tűnik, hogy minden Bro-val párosul, és az elemző modul két elemből áll. Az első az eseménymotor, amely nyomon követi a kiváltó eseményeket, mint például a nettó TCP kapcsolatok vagy a HTTP kérések. Az eseményeket ezután tovább elemzi házirend-szkriptek, amelyek döntenek arról, hogy aktiválnak-e riasztást, és elindítanak egy műveletet, és az érzékelőrendszeren kívül Bro-nak behatolás-megelőzést is tesznek.

A testvér lehetővé teszi a HTTP, DNS és FTP tevékenységek nyomon követését, valamint az SNMP forgalom figyelését. Ez jó dolog, mert míg az SNMP-t gyakran használják hálózati megfigyelés, ez nem biztonságos protokoll. A Bro lehetővé teszi az eszközkonfiguráció változásainak és az SNMP csapdák figyelését is. A Bro telepíthető Unix, Linux és OS X rendszerekre, de a Windows nem érhető el, talán fő hátránya.

Nyílt WIPS NG főként azért, mert ez az egyetlen, amely kifejezetten a vezeték nélküli hálózatokat célozza meg. A nyílt WIPS NG - ahol a WIPS a vezeték nélküli behatolás-megelőző rendszert jelenti - egy nyílt forráskódú eszköz, amely három fő összetevőből áll. Először is egy érzékelő egy hülye eszköz, amely csak a vezeték nélküli forgalmat rögzíti és elemzésre küldi a kiszolgálóra. Következő a szerver. Ez összesíti az összes érzékelő adatait, elemzi az összegyűjtött adatokat és reagál a támadásokra. Ez a rendszer szíve. Végül, de nem utolsósorban az interfész összetevője, amely a grafikus felhasználói felület, amelyet a kiszolgáló kezelésére és a vezeték nélküli hálózat fenyegetéseivel kapcsolatos információk megjelenítésére használ.

De nem mindenkinek tetszik az Open WIPS NG. A termék az Aircrack NG-vel azonos fejlesztőtől származó vezeték nélküli csomag-szippantó és jelszó-krakkoló, amely minden WiFi hacker eszközkészletének része. Másrészt, figyelembe véve a hátterét, feltételezhetjük, hogy a fejlesztő nagyon keveset tud a Wi-Fi biztonságáról.

Samhain egy ingyenes gazdagép behatolásérzékelő rendszer, amely a fájl integritásának ellenőrzését és a naplófájl megfigyelését / elemzését biztosítja. Ezenkívül a termék rootkit-észlelést, portfigyelést, szélhámos SUID végrehajtható fájlok és rejtett folyamatok észlelését is végzi. Ezt az eszközt több rendszer figyelésére tervezték, különféle operációs rendszerekkel, központosított naplózással és karbantartással. A Samhain azonban önálló alkalmazásként is használható egyetlen számítógépen. A Samhain POSIX rendszereken futtatható, mint például Unix Linux vagy OS X. Windows rendszeren is futtatható Cygwin alatt, bár csak a megfigyelő ügynököt és nem a kiszolgálót tesztelték ebben a konfigurációban.

Samhain egyik legegyedibb tulajdonsága a lopakodó mód, amely lehetővé teszi a futtatást anélkül, hogy a támadók észlelnék. A betolakodók túl gyakran megölik az általuk felismert észlelési folyamatokat, lehetővé téve számukra, hogy észrevétlenül maradjanak. Samhain szteganográfia segítségével elrejti folyamatait másoktól. Emellett egy PGP-kulccsal védi a központi naplófájlokat és a konfigurációs biztonsági másolatait is, hogy megakadályozzák a hamisítást.

fail2ban egy érdekes ingyenes gazdagép behatolás-észlelő rendszer, amely rendelkezik néhány megelőzési funkcióval is. Ez az eszköz a naplófájlok megfigyelésével gyanús események, például sikertelen bejelentkezési kísérletek, kizsákmányolások stb. Megfigyelésével működik. Ha valami gyanút észlel, automatikusan frissíti a helyi tűzfalszabályokat, hogy blokkolja a rosszindulatú viselkedés forrás IP-címét. Ez az eszköz alapértelmezett művelete, de bármilyen más önkényes művelet - például e-mail értesítések küldése - konfigurálható.

A rendszer különféle előre beépített szűrőkkel rendelkezik a leggyakoribb szolgáltatások, például Apache, Courrier, SSH, FTP, Postfix és még sok más szolgáltatáshoz. A megelőzés a gazdagép tűzfalatábláinak módosításával valósul meg. Az eszköz működhet a Netfilterrel, az IPtable-kel vagy a TCP Wrapper hosts.deny táblájával. Minden szűrőt egy vagy több művelethez társíthatunk. A szűrőket és a műveleteket együttesen börtönnek nevezik.

AIDE egy rövidítés az Advanced Intrusion Detection Environment-hez. Az ingyenes host behatolás-észlelési rendszer elsősorban a rootkit-észlelésre és a fájlaláírások összehasonlítására összpontosít. Az AIDE kezdeti telepítésekor a rendszer konfigurációs fájljaiból összeállítja az adminisztrátori adatok adatbázisát. Ezt azután kiindulási alapként használják, amellyel bármilyen változás összehasonlítható, és szükség esetén visszavonható.

Az AIDE aláírás- és anomália-alapú elemzést egyaránt igény szerint futtat, és nem ütemezett vagy folyamatosan futó, ez valójában a termék fő hátránya. Az AIDE azonban egy parancssori eszköz, és CRON job létrehozható annak rendszeres időközönkénti futtatásához. És ha nagyon gyakran futtatja - például kb. Percenként -, akkor kvázi-valós idejű adatokat kap. A lényegében az AIDE nem más, mint egy adat-összehasonlító eszköz. Külső szkripteket kell létrehozni, hogy valódi HIDS legyen.

Biztonsági hagyma egy érdekes állat, amely sok időt takaríthat meg Önnek. Ez nem csak a behatolás észlelésére vagy megelőzésére szolgáló rendszer. A Security Onion egy komplett Linux disztribúció, amely a behatolás észlelésére, a vállalati biztonsági figyelésre és a naplókezelésre összpontosít. Számos eszközt tartalmaz, amelyek közül néhányat éppen felülvizsgáltunk. Például a Security Onion rendelkezik Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner és egyéb eszközökkel. Mindez egy könnyen használható telepítővarázslóval van felszerelve, amely lehetővé teszi a szervezet védelmét percek alatt. Gondolkodhat a Biztonsági Hagymara, mint a svájci hadsereg késére a vállalati informatikai biztonság területén.

A legérdekesebb dolog ebben az eszközben az, hogy mindent egy egyszerű telepítéssel kap. És hálózati és host behatolás-észlelési eszközöket is kap. Vannak olyan eszközök, amelyek aláírás-alapú megközelítést használnak, és vannak olyanok, amelyek anomálián alapulnak. A disztribúció szöveges és GUI eszközök kombinációját is tartalmazza. Valóban kiváló keverék van mindent. A hátrány természetesen az, hogy annyit kapsz, hogy az összes konfigurálása eltarthat egy ideig. De nem kell minden eszközt használnia. Csak azokat választhatja ki, amelyeket jobban szeret.

Sagan valójában inkább egy naplóelemző rendszer, mint egy igazi IDS, de van néhány IDS-szerű funkciója, amelyek véleményünk szerint indokolttá teszik a felvételünket a listánkba. Ez az eszköz figyeli a rendszer helyi naplóit, ahova telepítették, de más eszközökkel is kölcsönhatásba léphet. Elemezheti például a Snort naplóit, hatékonyan hozzáadva néhány NIDS funkciót ahhoz, ami lényegében HIDS. És nem csak kölcsönhatásba lép a Snort-lal. Kommunikálhat a Suricatával is, és kompatibilis számos szabályalkotási eszközzel, mint például az Oinkmaster vagy a Pulled Pork.

A Sagan szkript-végrehajtási képességekkel is rendelkezik, így durva behatolás-megakadályozó rendszerré válik. Lehet, hogy ezt az eszközt nem lehet egyedüli védelemként használni a behatolás ellen, de ez egy olyan rendszer nagy alkotóeleme, amely számos eszközt beépíthet a különböző forrásokból származó események korrelációjával.

Következtetés

A behatolásérzékelő rendszerek csak egy a sok közül elérhető eszközök segíteni a hálózati és rendszergazdákat a környezetük optimális működésének biztosításában. Az itt tárgyalt eszközök bármelyike ​​kiváló, ám ezeknek valamivel eltérő célja van. Az Ön által választott módszer nagyban függ a személyes preferenciáktól és a konkrét igényektől.