Il miglior software di rilevamento delle intrusioni GRATUITO nel 2020

La sicurezza è un argomento caldo ed è stato per un bel po '. Molti anni fa, i virus erano le uniche preoccupazioni degli amministratori di sistema. I virus erano così comuni che ha aperto la strada a una gamma sorprendente di strumenti di prevenzione dei virus. Al giorno d'oggi, quasi nessuno penserebbe di far funzionare un computer non protetto. Tuttavia, l'intrusione del computer o l'accesso non autorizzato ai dati da parte di utenti malintenzionati è la "minaccia del giorno". Le reti sono diventate il bersaglio di numerosi hacker malintenzionati che faranno di tutto per ottenere l'accesso ai tuoi dati. La tua migliore difesa contro questo tipo di minacce è un sistema di rilevamento o prevenzione delle intrusioni. Oggi esaminiamo dieci dei migliori strumenti gratuiti di rilevamento delle intrusioni.

Prima di iniziare, discuteremo innanzitutto dei diversi metodi di rilevamento delle intrusioni in uso. Proprio come ci sono molti modi in cui gli intrusi possono entrare nella tua rete, ci sono altrettanti modi, forse anche più, di rilevarli. Quindi, discuteremo le due principali categorie del sistema di rilevamento delle intrusioni: il rilevamento delle intrusioni di rete e il rilevamento delle intrusioni nell'host. Prima di continuare, spiegheremo quindi le differenze tra rilevamento delle intrusioni e prevenzione delle intrusioni. Infine, ti forniremo una breve rassegna di dieci dei migliori strumenti gratuiti di rilevamento delle intrusioni che siamo riusciti a trovare.

Metodi di rilevamento delle intrusioni

Esistono sostanzialmente due diversi metodi utilizzati per rilevare i tentativi di intrusione. Potrebbe essere basato su firma o basato su anomalie. Vediamo come differiscono. Il rilevamento delle intrusioni basato sulla firma funziona analizzando i dati per schemi specifici che sono stati associati ai tentativi di intrusione. È un po 'come i tradizionali sistemi antivirus che si basano sulle definizioni dei virus. Questi sistemi confronteranno i dati con i modelli di firma delle intrusioni per identificare i tentativi. Il loro principale svantaggio è che non funzionano fino a quando la firma corretta non viene caricata sul software, cosa che in genere accade dopo che un certo numero di macchine sono state attaccate.

Il rilevamento delle intrusioni basato sull'anomalia fornisce una migliore protezione dagli attacchi zero-day, quelli che si verificano prima che qualsiasi software di rilevamento delle intrusioni abbia avuto la possibilità di acquisire il file della firma corretto. Invece di provare a riconoscere schemi di intrusione noti, questi cercheranno invece anomalie. Ad esempio, avrebbero rilevato che qualcuno ha tentato di accedere a un sistema con una password errata più volte, segno comune di un attacco di forza bruta. Come avrai intuito, ogni metodo di rilevazione ha i suoi vantaggi. Ecco perché gli strumenti migliori useranno spesso una combinazione di entrambi per la migliore protezione.

Due tipi di sistemi di rilevamento delle intrusioni

Proprio come esistono diversi metodi di rilevamento, esistono anche due tipi principali di sistemi di rilevamento delle intrusioni. Differiscono principalmente nella posizione in cui viene eseguita la rilevazione delle intrusioni, sia a livello di host che a livello di rete. Anche in questo caso, ognuno ha i suoi vantaggi e la soluzione migliore - o la più sicura - è probabilmente quella di utilizzare entrambi.

Host Intrusion Detection Systems (HIDS)

Il primo tipo di sistema di rilevamento delle intrusioni opera a livello di host. Ad esempio, potrebbe controllare vari file di registro per rilevare eventuali segni di attività sospette. Potrebbe funzionare anche controllando i file di configurazione importanti per modifiche non autorizzate. Questo è ciò che farebbe l'HIDS basato sull'anomalia. D'altra parte, i sistemi basati su firma guarderebbero gli stessi file di registro e di configurazione ma sarebbero alla ricerca di specifici schemi di intrusione noti. Ad esempio, può essere noto che un particolare metodo di intrusione funziona aggiungendo una determinata stringa a un file di configurazione specifico che l'ID basato sulla firma rileverà.

Come avresti potuto immaginare, gli HIDS sono installati direttamente sul dispositivo che devono proteggere, quindi dovrai installarli su tutti i tuoi computer. tuttavia, la maggior parte dei sistemi ha una console centralizzata in cui è possibile controllare ogni istanza dell'applicazione.

Network Intrusion Detection Systems (NIDS)

I sistemi di rilevamento delle intrusioni di rete, o NIDS, lavorano ai confini della rete per imporre il rilevamento. Usano metodi simili ai sistemi di rilevamento delle intrusioni nell'host. Naturalmente, invece di cercare i file di registro e di configurazione, sembrano traffico di rete come le richieste di connessione. È noto che alcuni metodi di intrusione sfruttano le vulnerabilità inviando pacchetti intenzionalmente non validi agli host, facendoli reagire in un modo particolare. I sistemi di rilevamento delle intrusioni di rete potrebbero facilmente rilevarli.

Alcuni sosterrebbero che i NIDS sono migliori dei HIDS in quanto rilevano gli attacchi anche prima che arrivino ai tuoi computer. Sono anche migliori perché non richiedono l'installazione di alcun elemento su ciascun computer per proteggerli in modo efficace. D'altra parte, offrono poca protezione contro gli attacchi interni che purtroppo non sono affatto rari. Questo è un altro caso in cui la migliore protezione proviene dall'uso di una combinazione di entrambi i tipi di strumenti.

Intrusion Detection Vs Prevention

Esistono due diversi generi di strumenti nel mondo della protezione dalle intrusioni: i sistemi di rilevamento delle intrusioni e i sistemi di prevenzione delle intrusioni. Sebbene abbiano uno scopo diverso, spesso c'è qualche sovrapposizione tra i due tipi di strumenti. Come suggerisce il nome, il rilevamento delle intrusioni rileverà tentativi di intrusione e attività sospette in generale. Quando lo fa, in genere attiverà una sorta di allarme o notifica. Spetta quindi all'amministratore adottare le misure necessarie per interrompere o bloccare questo tentativo.

I sistemi di prevenzione delle intrusioni, d'altro canto, lavorano per impedire che le intrusioni si verifichino del tutto. La maggior parte dei sistemi di prevenzione delle intrusioni includerà un componente di rilevamento che attiverà alcune azioni ogni volta che vengono rilevati tentativi di intrusione. Ma la prevenzione delle intrusioni può anche essere passiva. Il termine può essere usato per riferirsi a tutti i passaggi messi in atto per prevenire le intrusioni. Possiamo pensare a misure come la protezione della password, ad esempio.

I migliori strumenti gratuiti di rilevamento delle intrusioni

I sistemi di rilevamento delle intrusioni possono essere costosi, molto costosi. Fortunatamente, ci sono alcune alternative gratuite disponibili là fuori. abbiamo cercato su Internet alcuni dei migliori strumenti software di rilevamento delle intrusioni. Ne abbiamo trovati parecchi e stiamo per esaminare brevemente i dieci migliori che siamo riusciti a trovare.

OSSEC, che sta per Open Source Security, è di gran lunga il principale sistema di rilevamento delle intrusioni nell'host open source. OSSEC è di proprietà di Trend Micro, uno dei nomi di spicco della sicurezza IT. Il software, se installato su sistemi operativi simili a Unix, si concentra principalmente sui file di registro e di configurazione. Crea checksum di file importanti e li convalida periodicamente, avvisandoti se succede qualcosa di strano. Inoltre monitorerà e catturerà eventuali tentativi dispari di ottenere l'accesso root. Su Windows, il sistema tiene d'occhio anche modifiche del registro non autorizzate.

OSSEC, essendo un sistema di rilevamento delle intrusioni host, deve essere installato su ogni computer che si desidera proteggere. Tuttavia, consoliderà le informazioni di ciascun computer protetto in un'unica console per una gestione più semplice. Il software funziona solo su sistemi Unix-Like ma è disponibile un agente per proteggere gli host Windows. Quando il sistema rileva qualcosa, viene visualizzato un avviso sulla console e le notifiche vengono inviate via e-mail.

Proprio come OSSEC era il migliore HIDS open source, sbuffo è il principale NIDS open source. Snort è in realtà più di uno strumento di rilevamento delle intrusioni. È anche un sniffer di pacchetti e un logger di pacchetti. Ma ciò a cui siamo interessati per ora sono le funzionalità di rilevamento delle intrusioni di Snort. Un po 'come un firewall, Snort è configurato usando le regole. Le regole di base possono essere scaricate dal sito Web Snort e personalizzate in base alle proprie esigenze specifiche. Puoi anche iscriverti alle regole di Snort per assicurarti di ottenere sempre le ultime mentre si evolvono quando vengono identificate nuove minacce.

Le regole di base di Snort possono rilevare un'ampia varietà di eventi come scansioni di porte invisibili, attacchi di buffer overflow, attacchi CGI, sonde SMB e fingerprinting del sistema operativo. Ciò che rileva l'installazione di Snort dipende esclusivamente dalle regole installate. Alcune delle regole di base offerte sono basate sulla firma, mentre altre sono basate sull'anomalia. L'uso di Snort può darti il ​​meglio di entrambi i mondi

Suricata pubblicizza se stesso come un sistema di rilevamento e prevenzione delle intrusioni e come un ecosistema completo di monitoraggio della sicurezza della rete. Uno dei migliori vantaggi di questo strumento rispetto a Snort è che funziona fino al livello dell'applicazione. Ciò consente allo strumento di rilevare minacce che potrebbero passare inosservate in altri strumenti dividendosi su più pacchetti.

Ma Suricata non funziona solo a livello di applicazione. Monitorerà anche il protocollo di livello inferiore come TLS, ICMP, TCP e UDP. Lo strumento comprende anche protocolli come HTTP, FTP o SMB e può rilevare tentativi di intrusione nascosti in richieste altrimenti normali. Esiste anche una capacità di estrazione dei file che consente agli amministratori di esaminare autonomamente i file sospetti.

Per quanto riguarda l'architettura, Suricata è fatta molto bene e distribuirà il suo carico di lavoro su diversi core e thread del processore per le migliori prestazioni. Può anche scaricare parte della sua elaborazione sulla scheda grafica. Questa è una grande funzionalità sui server poiché la loro scheda grafica è in gran parte inattiva.

Il prossimo nella nostra lista è un prodotto chiamato Bro Network Security Monitor, un altro sistema di rilevamento delle intrusioni di rete gratuito. Bro opera in due fasi: registrazione e analisi del traffico. Come Suricata, Bro opera a livello di applicazione, consentendo un migliore rilevamento dei tentativi di intrusione divisa. Sembra che tutto sia in coppia con Bro e il suo modulo di analisi è composto da due elementi. Il primo è il motore degli eventi che tiene traccia degli eventi scatenanti come connessioni TCP nette o richieste HTTP. Gli eventi vengono quindi ulteriormente analizzati da script di policy che decidono se attivare o meno un avviso e avviare un'azione, rendendo Bro una prevenzione delle intrusioni oltre a un sistema di rilevamento.

Bro ti consentirà di tenere traccia delle attività HTTP, DNS e FTP e di monitorare il traffico SNMP. Questa è una buona cosa perché, mentre SNMP è spesso usato per monitoraggio della rete, non è un protocollo sicuro. Bro ti consente anche di guardare le modifiche alla configurazione del dispositivo e le trap SNMP. Bro può essere installato su Unix, Linux e OS X ma non è disponibile per Windows, forse il suo principale svantaggio.

Apri WIPS NG è stato inserito nella nostra lista principalmente perché è l'unico che ha come target specifico le reti wireless. Open WIPS NG - dove WIPS sta per Wireless Intrusion Prevention System - è uno strumento open source che comprende tre componenti principali. Innanzitutto, c'è il sensore che è un dispositivo stupido che cattura solo il traffico wireless e lo invia al server per l'analisi. Il prossimo è il server. Questo aggrega i dati di tutti i sensori, analizza i dati raccolti e risponde agli attacchi. È il cuore del sistema. Ultimo ma non meno importante è il componente dell'interfaccia che è la GUI che si utilizza per gestire il server e visualizzare informazioni sulle minacce sulla propria rete wireless.

Tuttavia, non tutti amano Open WIPS NG. Il prodotto è dello stesso sviluppatore di Aircrack NG uno sniffer di pacchetti wireless e un cracker di password che fa parte del toolkit di ogni hacker WiFi. D'altra parte, dato il suo background, possiamo supporre che lo sviluppatore sappia un po 'di sicurezza Wi-Fi.

Samhain è un sistema gratuito di rilevamento delle intrusioni dell'host che fornisce il controllo dell'integrità dei file e il monitoraggio / analisi dei file di registro. Inoltre, il prodotto esegue anche il rilevamento di rootkit, il monitoraggio delle porte, il rilevamento di eseguibili SUID non autorizzati e processi nascosti. Questo strumento è stato progettato per monitorare più sistemi con vari sistemi operativi con registrazione e manutenzione centralizzate. Tuttavia, Samhain può anche essere utilizzato come applicazione autonoma su un singolo computer. Samhain può essere eseguito su sistemi POSIX come Unix Linux o OS X. Può anche funzionare su Windows con Cygwin sebbene solo l'agente di monitoraggio e non il server siano stati testati in quella configurazione.

Una delle caratteristiche più singolari di Samhain è la sua modalità invisibile che gli consente di correre senza essere rilevato da eventuali aggressori. Troppo spesso gli intrusi uccidono i processi di rilevamento che riconoscono, permettendo loro di passare inosservati. Samhain usa la steganografia per nascondere i suoi processi agli altri. Protegge inoltre i suoi file di registro centrali e i backup di configurazione con una chiave PGP per evitare manomissioni.

fail2ban è un interessante sistema gratuito di rilevamento delle intrusioni dell'host che ha anche alcune funzionalità di prevenzione. Questo strumento funziona monitorando i file di registro per eventi sospetti come tentativi di accesso non riusciti, ricerche di exploit, ecc. Quando rileva qualcosa di sospetto, aggiorna automaticamente le regole del firewall locale per bloccare l'indirizzo IP di origine del comportamento dannoso. Questa è l'azione predefinita dello strumento, ma è possibile configurare qualsiasi altra azione arbitraria, come l'invio di notifiche e-mail.

Il sistema viene fornito con vari filtri predefiniti per alcuni dei servizi più comuni come Apache, Courrier, SSH, FTP, Postfix e molti altri. La prevenzione viene effettuata modificando le tabelle del firewall dell'host. Lo strumento può funzionare con Netfilter, IPtables o la tabella hosts.deny di TCP Wrapper. Ogni filtro può essere associato a una o più azioni. Insieme, i filtri e le azioni vengono definiti prigione.

AIDE è l'acronimo di Advanced Intrusion Detection Environment. Il sistema gratuito di rilevamento delle intrusioni dell'host si concentra principalmente sul rilevamento dei rootkit e sul confronto delle firme dei file. Quando si installa AIDE inizialmente, compilerà un database di dati di amministrazione dai file di configurazione del sistema. Questo viene quindi utilizzato come base di riferimento rispetto alla quale è possibile confrontare qualsiasi modifica e eventualmente ripristinarla se necessario.

AIDE utilizza analisi basate su firma e basate su anomalie che vengono eseguite su richiesta e non pianificate o in esecuzione continua, questo è in realtà il principale svantaggio di questo prodotto. Tuttavia, AIDE è uno strumento da riga di comando e un lavoro CRON può essere creato per eseguirlo a intervalli regolari. E se lo esegui molto frequentemente, ad esempio ogni minuto, otterrai dati quasi in tempo reale. Alla base, AIDE non è altro che uno strumento di confronto dei dati. Gli script esterni devono essere creati per renderlo un vero HIDS.

Cipolla di sicurezza è una bestia interessante che può farti risparmiare un sacco di tempo. Questo non è solo un sistema di rilevamento o prevenzione delle intrusioni. Security Onion è una distribuzione Linux completa focalizzata sul rilevamento delle intrusioni, sul monitoraggio della sicurezza aziendale e sulla gestione dei log. Include molti strumenti, alcuni dei quali abbiamo appena esaminato. Ad esempio, Security Onion ha Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner e altro. Tutto questo è abbinato a una procedura guidata di installazione facile da usare, che consente di proteggere la propria organizzazione in pochi minuti. Puoi pensare a Security Onion come il coltellino svizzero della sicurezza IT aziendale.

La cosa più interessante di questo strumento è che ottieni tutto in un'unica installazione. E ottieni strumenti di rilevamento delle intrusioni sia di rete che host. Esistono strumenti che utilizzano un approccio basato sulla firma e alcuni basati su anomalie. La distribuzione presenta anche una combinazione di strumenti basati su testo e GUI. C'è davvero un eccellente mix di tutto. Lo svantaggio, ovviamente, è che ottieni così tanto che la configurazione di tutto può richiedere del tempo. Ma non devi usare tutti gli strumenti. Puoi scegliere solo quelli che preferisci.

Sagan è in realtà più un sistema di analisi dei log che un vero IDS ma ha alcune caratteristiche simili a IDS che ritenevamo giustificate da includere nel nostro elenco. Questo strumento può controllare i log locali del sistema in cui è installato ma può anche interagire con altri strumenti. Ad esempio, potrebbe analizzare i registri di Snort, aggiungendo efficacemente alcune funzionalità NIDS a ciò che è essenzialmente un HIDS. E non interagirà solo con Snort. Può interagire anche con il Suricata ed è compatibile con diversi strumenti di costruzione delle regole come Oinkmaster o Pulled Pork.

Sagan ha anche capacità di esecuzione degli script che lo rendono un sistema di prevenzione delle intrusioni grezze. Questo strumento potrebbe non essere utilizzato come unica difesa contro le intrusioni, ma sarà una grande componente di un sistema in grado di incorporare molti strumenti correlando eventi provenienti da fonti diverse.

Conclusione

I sistemi di rilevamento delle intrusioni sono solo uno dei tanti strumenti disponibili assistere gli amministratori di rete e di sistema nel garantire il funzionamento ottimale del loro ambiente. Tutti gli strumenti discussi qui sono eccellenti ma ognuno ha uno scopo leggermente diverso. Quello che sceglierai dipenderà in gran parte dalle preferenze personali e dalle esigenze specifiche.