A hálózati biztonság legfontosabb útmutatója

A hálózati biztonság az elmúlt években nagyon bonyolult felelőssé vált. Ennek oka az adathalászat, a továbbfejlesztett tartós fenyegetések, a doxolás és az álarcosodás. Ezek a trükkök azt jelentik, hogy az alkalmazottaknak nehezen tudják felismerni, hogy a távoli felső vezetőségtől kapott utasítások valósak-e. Az ilyen típusú környezetben a hálózati biztonság hagyományos határai túlmutatnak az interneten való szimatolás és a vírusok tűzfalakkal történő blokkolásának megelőzésén. Most is kell elemezze a viselkedési mintákat a forgalomban és a helyszíni rendellenes tevékenységekben, még akkor is, ha azokat engedélyezett felhasználók végzik.

Az IT részleg hagyományosan rendszergazdai jogosultságokkal rendelkezik, amelyek bármely támogató személyzet számára hozzáférést biztosítottak a vállalati rendszer minden eleméhez. Az adatok nyilvánosságra hozatalának kockázata ma nagyobb. Még a titoktartás véletlen megsértése is drága peres eljárásokat eredményezhet azoktól, akik személyes adatait a rendszerében tárolják. Ez az új környezet megköveteli, hogy szigorítsa meg a hozzáférési jogokat, és kövesse nyomon az összes tevékenységet

a rosszindulatú tevékenységek megelőzése és naplózása és véletlen megsemmisítés.

Szerencsére a modern hálózati berendezésbe beépített üzenetküldő rendszerek vannak, és ezeket az információforrásokat csak gyűjtő ügynökök és elemző szoftverek telepítésével használhatja ki. Az hálózati biztonsági piac a monitorok több kategóriáját kínálja, amelyek segítenek megvédeni vállalatát az adatlopásoktól és más rosszindulatú tevékenységektől.

Ebben az útmutatóban a következő kategóriákat fogjuk megnézni hálózati menedzsment szoftver:

• Forgalom elemzők
• Naplókezelők
• Sebezhetőségi szkennerek
• Konfigurációkezelők
• Hálózati monitorok
• Behatolás-érzékelő és behatolás-megelőző rendszerek

Itt található a legjobb hálózati biztonsági szoftvereink listája:

• SolarWinds hálózati teljesítményfigyelő
• WhatsUp Gold
• TrueSight hálózati automatizálás / hálózati biztonsági rés menedzsment
• OSSEC
• Sagan
• Paessler PRTG

Az egyes opciókról bővebben az útmutató következő szakaszában olvashat.

Hálózati biztonsági szoftver opciók

A listában szereplő ajánlások számos átfogó hálózati menedzsment eszközt tartalmaznak általános hálózati teljesítményfigyelőként szolgál, valamint kifejezetten nyomon követi a te. A lista három fő eszköze a SolarWinds Network Performance Monitor, a WhatsUp Gold és a Paessler PRTG. A csomagok mindegyike kibővíthető, extra funkciók széles skálájához. Ezen eszközök architektúrája azt is lehetővé teszi, hogy azok funkcionalitását csak egy feladatra összpontosítsák, például a biztonsági megfigyelésre. Az OSSEC és a Sagan nagyra becsült speciális behatolás-érzékelő rendszerek, és a TrueSight csomag egy szép keveréket tartalmaz a hálózati védelmi funkciókról.

Ez a lista olyan beállításokat tartalmaz, amelyek alkalmasak kis, közepes és nagy hálózatokhoz.

Az Hálózati teljesítmény menedzser a SolarWinds által kínált kulcsfontosságú eszköz. Az egyszerű hálózati felügyeleti protokoll üzenetküldés segítségével nyomon követi a hálózati eszközök állapotát. Minden hálózati berendezés SNMP képességekkel rendelkezik, ezért csak az SNMP kezelőt kell telepítenie, például ezt a SolarWinds eszközt az SNMP által nyújtott információk hasznosítása érdekében.

Töltse le egy ingyenes próbaverziót nál nél https://www.solarwinds.com/network-performance-monitor/

Az eszköz tartalmaz egy automatikus felderítési és leképezési eszközt, amely leltárt készít a hálózati berendezésről. A felfedező funkció folyamatosan működik, és észleli a hálózathoz hozzáadott új eszközöket. Ez hasznos asszisztens a behatolás észlelésében, mivel a behatolások egyik formája a hardver invázió. A Network Performance Monitor mély csomag ellenőrző képességei szintén segítenek védje hálózatát azáltal, hogy kiemeli és nyomon követi a forgalom szokásainak és a felhasználó rendellenes viselkedését tevékenység.

A SolarWinds számos más hálózatkezelő eszközt kínál, amelyek javítják a Network Performance Monitor képességeit a biztonsági figyelés szempontjából. A NetFlow forgalmi elemző megvizsgálja a hálózat körüli forgalmi folyamatokat, és magában foglalja a biztonsági figyelő funkciókat. Ez magában foglalja a hibásan formált és potenciálisan rosszindulatú forgalom nyomon követését a 0. hálózati portra. Ezen felügyeleti funkciókon kívül a forgalmi vizualizációk és rendellenességi riasztások segítenek a szokatlan tevékenységek észlelésében.

Az eszköz irányítópultja tartalmaz az élő adatok nagyszerű megjelenítését, és képes tárolni a csomag adatok előzményelemzést. Az eszköz számos lehetőséggel rendelkezik a csomagmegfogáshoz, beleértve olyan mintavételi módszereket, amelyek csökkentik az elemzéshez tárolni kívánt adatmennyiséget. Ha nincs költségvetése a SolarWinds Network Performance Monitor és a NetFlow Traffic Analyzer számára, akkor kipróbálhatja az ingyenes Valós idejű sávszélesség-monitor. Ennek az eszköznek azonban nincs sok funkciója, és csak kis hálózatokhoz lenne alkalmas.

Nagyobb betekintést kap a felhasználói tevékenységekbe, ha hozzáadja a Felhasználói eszközkövető. Ez lehetővé teszi a felhasználói tevékenység nyomon követését, és figyelemmel kíséri a kapcsolóport eseményeit, ideértve a hackerek portjainak szkennelésére tett kísérleteit is. Az eszköz a portokat is bezárhatja és szelektíven blokkolja a felhasználókat behatolás észlelése esetén.

A SolarWinds stabil további funkciói hozzáadhatók a monitorhoz, mivel a társaság közös platformot hozott létre minden fő eszközéhez, amely lehetővé teszi az adatok megosztását és az interdiszciplináris modulokat. Az Network Configuration Manager jó választás lenne a biztonsági kérdésekben, mivel ellenőrzi a hálózati berendezés beállításait. Ezenkívül a firmware frissítéseit is megtalálja és telepíti az Ön számára - az operációs rendszerek és az összes szoftver frissítése az informatikai rendszerek fontos biztonsági feladata.

A SolarWinds számos ingyenes eszközt kínál, amelyek segítenek a hálózat biztonságának ellenőrzésében. Ide tartoznak a Solar-PuTTY csomag. Ez nem csak egy biztonságos terminálemulátor, amely lehetővé teszi a távoli szerverek biztonságos elérését. Tartalmaz egy SFTP implementációt, amelyet felhasználhat az eszköz konfigurációs képeinek biztonsági mentésére és terjesztésére. Ez olcsó alternatíva lenne a Network Configuration Manager számára, ha kicsi hálózattal és nagyon szűk költségvetéssel rendelkezik.

Az Kiwi syslog szerver egy további hasznos SolarWinds biztonsági eszköz, amelyet a kis szervezetek ingyenesen használhatnak. Nem kell fizetnie az eszközért, ha csak öt eszközt figyel. Az eszköz nagyobb hálózatokhoz is alkalmas, de ehhez fizetni kell. A naplókezelő SNMP üzeneteket is gyűjt és tárol, és riasztásokat állíthat be az üzenettípusok mennyiségére vonatkozóan. Ez egy nagyon hasznos szolgáltatás, ha nincs SNMP-alapú hálózatkezelője. A riasztások kiemelik a kötet támadásokat és a brute-force jelszó-feltörési kísérleteket. Ez a naplókezelő eszköz észlelheti a forgalom szokatlan növekedését és a gyanús felhasználói tevékenységeket is.

2. WhatsUp Gold

A WhatsUp Gold kihívást jelent a SolarWinds Network Performance Monitor számára. Az Ipswitch gyártja, amely számos kiegészítő modult is kínál, amelyek javítják a WhatsUp Gold biztonsági figyelő képességeit. Ez a hálózati monitor kiemeli a szokatlan viselkedést azáltal, hogy a kapcsolókat és az útválasztókat az SNMP üzenetküldő rendszerrel figyeli. Végül, a konzol lehetővé teszi, hogy beállítsa saját egyéni riasztásait, amelyek figyelmeztetést adnak a forgalom növekedésére és a logikátlan felhasználói tevékenységekre.

A riasztások a rendszer irányítópultján jelennek meg, és azt is megadhatja, hogy e-mailben vagy SMS-ben értesítéseket küldjenek-e. Lehetőség van különféle értesítések továbbítására a csoport különböző tagjai számára az üzenet forrása és súlyossága szerint. Ingyenes társ eszköz, WhatsUp Syslog Server javítja azokat az információkat, amelyeket ki lehet jutni a rendszerüzenetekből, és létrehozhat egyéni riasztásokat is. A syslog üzenetek megjeleníthetők a konzolon, továbbadhatók más alkalmazásokhoz, és fájlokban tárolhatók. A szerver logikai könyvtárfában kezeli a syslog fájlokat, hogy könnyebb legyen az egyes üzenetek visszakeresése. Az archivált üzenetek visszaolvashatók az irányítópultra elemzés céljából. Ezen felül az interfész lehetővé teszi az üzenetek rendezését és szűrését az Ön számára azonosítani a viselkedési mintákat, és emellett észlelni a rendellenes viselkedést.

A WhatsUp Gold számos fizetett fejlesztést tartalmaz, amelyek javítják a biztonsági figyelőképességét. Meg kell fontolnia a Hálózati forgalom menedzsment modul az adatáramlási információk megszerzéséhez a hálózaton. A fő WhatsUp Gold csomag az eszközök állapotára összpontosít, és a Forgalomkezelő modul adatgyűjtési információkat gyűjt. A modul forgalmi címkézési képességeket tartalmaz a QoS implementációkhoz. Oszthatja a forgalom mennyiségének jelentését forrás és cél eszköz, forrás és cél ország és domain, beszélgetés, alkalmazás, protokoll vagy portszám alapján. Ez a részlet segít nyomon követni a szokatlan tevékenységeket, és akár bizonyos alkalmazásokat is blokkolhat, például vészhelyzet esetén a fájlátviteli segédprogramokat.

Az Hálózati konfigurációkezelés modul segít a hálózati eszközök beállításaiban bekövetkező bármilyen változás ellenőrzésében. Az eszközbeállítások jogosulatlan módosítása gyakran a behatolás és a fokozatosan fennálló tartós fenyegetések előzménye. Ennek oka az, hogy a hackerek portokat nyithatnak, majd blokkolhatnak olyan jelentési funkciókat, amelyek jogosulatlan tevékenységeket jeleznének. Minden eszköztípushoz, gyártóhoz és modellhez el kell készíteni egy házirendet, és minden csoport számára létre kell hoznia egy szabványos beállítási profilt. A WhatsUp Network Configuration Management kiegészítő lehetővé teszi ezen szabványos konfigurációs képek terjesztését a jóváhagyott konfigurációk biztonsági mentése és végül visszatérés ezekre a standard beállításokra, ha bármilyen konfigurációs változás bekövetkezik kimutatható.

A WhatsUp Gold fizetett eszközök ingyenesen elérhetők 30 napig. Az összes WhatsUp Gold szoftver telepítésre kerül a Windows környezetbe.

3. TrueSight hálózati automatizálás / hálózati biztonsági rés menedzsment

A BMC Software e két terméke együttesen létrehoz egy valóban átfogó biztonsági eszközkészletet. A hálózati automatizálási eszköz figyelemmel kíséri a hálózatot, miután először felfedezte az összes eszközt, naplózta és feltérképezte. A hálózati automatizálási csomag konfigurációkezelő modulja a hálózati figyelő rendszer igazán lenyűgöző tulajdonsága. Integrálja a biztonsági szabványokat automatikusan végrehajtó sablonokat vagy „irányelveket”. Minden közismert szabványnak van egy irányelve: NIST, HIPAA, PCI, CIS, DISA, SOX és SCAP. Tehát, ha vállalta, hogy betartja ezen adatok integritásának egyik rendszerét, akkor a Hálózati automatizálási eszköz azt még az Ön számára is végrehajtja.

A TrueSight Network Automation konfigurációs kezelője beállítja az egyes hálózati eszközök konfigurációját úgy, hogy megfeleljen a kiválasztott házirendnek. Ezután biztonsági másolatot készít a konfigurációról, és figyeli az eszköz beállításainak bármilyen változását. Ha olyan változtatások történnek, amelyek miatt az eszköz nem felel meg a házirendnek, a konfigurációkezelő újból tölti be a biztonsági másolatú konfigurációs fájlt. Ennek a műveletnek az a következménye, hogy törli ezeket a jogosulatlan módosításokat. A hálózati automatizálási rendszer javításkezelő is. Kapcsolatba lép a berendezés gyártóinak javításokkal és firmware-frissítésekkel kapcsolatos értesítési rendszereivel. Amint rendelkezésre áll egy javítás, az eszköz értesíti Önt, és még ezeket a frissítéseket telepíti a hálózati eszközökre.

A hálózati biztonsági rés-kezelő segédprogram az összes eszközt megvizsgálja a sebezhetőség szempontjából. A rendszer a gyártói értesítésekkel és a NIST Nemzeti Sebességű Adatbázissal történő ellenőrzésre támaszkodik a működő hálózati eszközök és kiszolgálók ismert hiányosságainak naplózására. Végül az eszköz frissíti a szoftvert, hogy megakadályozza a kihasználásokat, és figyelemmel kísérje az eszközök és a szerverek teljesítményét.

4. OSSEC

Az OSSEC a nyílt forráskódú HIDS biztonságot jelenti. A HIDS rendszer gazda alapú behatolás-érzékelő rendszer. A behatolás észlelése alapvető specialitássá vált a hálózati biztonság világában, és valóban telepítenie kell az IDS-t a biztonsági csomag részeként.

Az OSSEC két nagyszerű tulajdonsága, hogy az elérhető vezető HIDS, és teljesen ingyenes a használata. A termék a jól ismert biztonsági szoftvergyártó, a Trend Micro tulajdonában van és támogatja. A HIDS módszertan a naplófájl-kezelésre támaszkodik. A naplófájlok helyes lekérdezésének fel kell tárnia a hackerek által a rendszer felfedezéséhez, valamint az adatok és erőforrások ellopásához tett intézkedéseket. Ez az oka annak, hogy a hackerek mindig módosítják a naplófájlokat. Az OSSEC minden naplófájlhoz ellenőrző összeget hoz létre, amely lehetővé teszi a hamisítás észlelését. Az eszköz figyeli a naplófájlokat, amelyek rögzítik a fájlátvitelt, a tűzfalat és az antivírusokat, az eseménynaplókat, valamint az e-mail és a webszerver naplóit. Be kell állítania azokat a házirendeket, amelyek diktálják a segédprogram műveleteit. Ezek az irányelvek házon belül is megírhatók, vagy akár beszerezhetők az OSSEC közösségtől. A házirend diktálja azokat a feltételeket, amelyeket az OSSEC-nek figyelnie kell, és riasztást generál, ha az egyik megfigyelt napló jogosulatlan tevékenységet mutat. Ezeket a figyelmeztetéseket el lehet küldeni a felületre, vagy e-mail értesítésként.

Ha a rendszert a Windows rendszerre telepíti, akkor az ellenőrzi a rendszerleíró adatbázisban a jogosulatlan változásokat. Unix-szerű rendszereken nyomon követi a root fiókhoz való hozzáférést. Az OSSEC Windows, Linux, Mac OS és Unix rendszereken fut.

Az OSSEC nagyszerű adatgyűjtő eszköz, de előlapja külön termék, és valójában már nem támogatott. Mivel ezt a HIDS-t annyira tiszteletben tartják, számos szoftver-szolgáltató olyan interfészeket hozott létre, amelyek kompatibilisek az OSSEC adatformátumokkal. Ezek közül sok ingyenes. Tehát telepítené az OSSEC-t, valamint egy másik forrásból származó kezelőfelületet az adatok megtekintéséhez és elemzéséhez. Nézd meg Kibana vagy Splunk ehhez a funkcióhoz.

5. Sagan

A Sagan egy ingyenes naplófájlkezelő. Számos funkcióval rendelkezik, amelyek jó host-alapú behatolás-érzékelő rendszerré teszik. A Sagan képes elemezni a hálózati alapú behatolásjelző rendszerek által gyűjtött adatokat. A NIDS forgalmi adatokat gyűjt egy csomagszórón keresztül. A Sagannak nincs csomagszippantója, de képes olvasni a. Által gyűjtött forgalmi adatokban Horkant, tesóés suricata - amelyek mindegyike szabadon használható. Tehát keveréket kap mind a HIDS, mind a NIDS biztonsági tevékenységekhez a Sagannal.

A Sagan telepíthető Unix, Linux és Mac OS rendszerekre. Sajnos a Windows számára nincs verzió. Bár nem fér hozzá a számítógépekhez a Windows operációs rendszer segítségével, képes feldolgozni a Windows eseménynapló-üzeneteit. A Sagan feldolgozási módszerei megosztják terhelését több kiszolgálón vagy a hálózat bármely más berendezésén, amely rendelkezik processzorral. Ez megkönnyíti az egyes készülékek feldolgozási terheit.

Az eszköz olyan funkciókat tartalmaz, amelyek behatolás-megakadályozó rendszerré (IPS) képesek. Amint a Sagan rendellenes viselkedést észlel, írhat a tűzfalatáblákba, hogy bizonyos IP-címeket tartósan vagy ideiglenesen a hálózatból tiltsa. Ez nagyszerű asszisztens a hálózati biztonság szempontjából, mivel automatikusan végrehajtja az IP-tilalmakat, és a rendszert elérhetővé teszi az eredeti felhasználók számára. A Sagan egyidejűleg riasztást generál, hogy tájékoztassa Önt a behatolásról. A megelőző intézkedéseket nem kell végrehajtani, ha csak a Sagan-t szeretné IDS-ként használni.

Jelentési célokra a Sagan rendelkezik egy jó funkcióval, amely a gyanús IP címeket a helyükre nyomon követi. Ez nagyon hasznos eszköz lehet a hackerek nyomon követéséhez, amelyek több különböző címen keresztül ciklikusan támadnak, hogy megpróbálják elkerülni az észlelést. A Sagan lehetővé teszi a hálózati tevékenységek összesítését a forrás IP-cím helye alapján, így egyesítve egy tévesen előállított művelet összes címét felhasználva.

6. Paessler PRTG

A Paessler PRTG egy nagyon nagy figyelőrendszer, amelyet érzékelő-sorozat hajt végre. Minden érzékelő figyeli a hálózat egy attribútumát. Csökkentheti a figyelő eszköz hatókörét, hogy csak az infrastruktúra egyik aspektusára összpontosítson az aktiválni kívánt érzékelők által. Az egész rendszer figyeli a hálózati eszközöket, a hálózati forgalmat, az alkalmazásokat és a kiszolgálókat. Paessler ezt tiszta megfigyelő eszközré tette, tehát nem rendelkezik olyan kezelési funkciókkal, mint például a konfigurációkezelés.

A PRTG egyik érzékelője a Syslog vevő. Ez összegyűjti a syslog üzeneteket és beilleszti azokat egy adatbázisba. Miután ezeket az üzeneteket tárolták, rendezhetők, fájlokba írhatók vagy akár eseményeket kiváltó eseményeknek is tekinthetők, amelyekhez automatizált műveletek társíthatók.

A PRTG biztonsági megfigyelő funkciói között szerepel egy mély csomagmegfigyelő eszköz, amelyet „csomagszippantó-érzékelőnek” hívnak. Ez mintavételt készít a hálózati forgalom csomagairól, és fájlba tárolja azokat. Miután elegendő adatot gyűjtött, elemezheti a forgalmat a PRTG irányítópulton. Ez a szolgáltatás lehetővé teszi a webes, e-mail és fájlátviteli forgalom célzását ezzel az eszközzel, tehát jó segédeszközként szolgálhat a felhasználói tevékenységek megfigyelésére, valamint a webszerver megóvására a támadásoktól. A tűzfalfigyelő nyomon követi a támadási eseményeket, és riasztások útján értesíti őket. Az eszköz rendszeresen ellenőrzi a tűzfal szolgáltatótól a szoftver frissítéseit és javításait, letölti és telepíti az Ön számára. Ez biztosítja, hogy rendelkezzen a legújabb megoldásokkal az újonnan felfedezett biztonsági hiányosságokkal kapcsolatban.

A PRTG rendszer telepíti a Windows rendszert. Alternatív megoldásként dönthet úgy is, hogy online hozzáfér a szolgáltatáshoz. Akárhogy is, ingyenesen is használhatja, ha csak legfeljebb 100 érzékelőt aktivál. Kaphat egy 30 ingyenes próbaverziót a Paessler PRTG-ből, korlátlan érzékelőkkel együtt.

Hálózati biztonsági eszközök

Számos különféle típusú speciális hálózati biztonsági eszköz érhető el, és ezt meg is kell tennie telepítsen többet annak érdekében, hogy vállalkozásának adatai és erőforrásai mentesek legyenek a lopástól, a sérülésektől és az adattól kizsákmányolás.

Az ajánlott eszközök listáján szereplő szoftverek magyarázatai alapján észreveszi, hogy sok közülük ingyenes. A fizetett eszközöknek gyakran van ingyenes verziója vagy kipróbálási periódusa, így mindegyik kipróbálásával semmit sem veszíthet.

Ezeknek az eszközöknek a része Windows rendszeren működik, míg más része a Linuxon és az Unix-on. Tehát, ha csak egy operációs rendszere van a vállalat gazdagépein, akkor a biztonsági eszköz választását szűkíti az Ön számára. A hálózat mérete egy másik befolyásoló tényező, amely arra irányítja Önt, hogy válasszon egy adott eszközt.

Van kedvenc hálózati biztonsági eszköze? Kipróbálta a listánk bármelyikét? Ha megosztja tapasztalatait a közösséggel, hagyjon üzenetet az alábbi megjegyzés részben.