Netwerkgebaseerde inbraakdetectiesystemen: 5 beste NIDS-tools om te gebruiken

Het lijkt erop dat iedereen tegenwoordig bezig is met beveiliging. Het is logisch als we kijken naar het belang van cybercriminaliteit. Organisaties zijn het doelwit van hackers die proberen hun gegevens te stelen of andere schade toe te brengen. Een manier om uw IT-omgeving te beschermen tegen deze aanvallen is door het gebruik van de juiste tools en systemen. Vaak bevindt de eerste verdedigingslinie zich aan de rand van het netwerk in de vorm van netwerkgebaseerde inbraakdetectiesystemen of NIDS. Deze systemen analyseren het verkeer dat via internet op uw netwerk binnenkomt om verdachte activiteiten te detecteren en u onmiddellijk te waarschuwen. NIDS zijn zo populair en er zijn er zoveel beschikbaar dat het een uitdagende onderneming kan zijn om de beste voor uw behoeften te vinden. Om je te helpen, we hebben deze lijst samengesteld met enkele van de beste netwerkgebaseerde inbraakdetectiesystemen.

We beginnen onze reis met een blik op de verschillende soorten inbraakdetectiesystemen. Er zijn in wezen twee soorten: netwerkgebaseerd en hostgebaseerd. We leggen hun verschillen uit. Inbraakdetectiesystemen verschillen ook wat betreft de detectiemethode die ze gebruiken. Sommigen van hen gebruiken een op handtekeningen gebaseerde benadering, terwijl anderen vertrouwen op gedragsanalyse. De beste tools gebruiken een combinatie van beide detectiemethoden. De markt is verzadigd met zowel inbraakdetectie- als inbraakpreventiesystemen. We onderzoeken hoe ze verschillen en hoe ze op elkaar lijken, omdat het belangrijk is om het onderscheid te begrijpen. Ten slotte bekijken we de beste netwerkgebaseerde inbraakdetectiesystemen en presenteren we hun belangrijkste functies.

Netwerk- versus hostgebaseerde inbraakdetectie

Inbraakdetectiesystemen zijn van twee soorten. Ze hebben allebei hetzelfde doel: het snel detecteren van inbraakpogingen of verdachte activiteiten die mogelijk tot gevolg hebben inbraakpogingen - maar ze verschillen in de locatie van het handhavingspunt dat verwijst naar waar de detectie is uitgevoerd. Elk type inbraakdetectietool heeft voor- en nadelen. Er bestaat geen echte consensus over welke de voorkeur verdient. Sommigen zweren bij het ene type, terwijl anderen het andere alleen vertrouwen. Beiden hebben waarschijnlijk gelijk. De beste oplossing - of de veiligste - is waarschijnlijk een oplossing die beide typen combineert.

Network Intrusion Detection Systems (NIDS)

Het eerste type inbraakdetectiesysteem wordt Network Intrusion Detection System of NIDS genoemd. Deze systemen werken aan de netwerkgrens om detectie af te dwingen. Ze onderscheppen en onderzoeken netwerkverkeer, zoeken naar verdachte activiteiten die op een inbraakpoging kunnen duiden en zoeken ook naar bekende inbraakpatronen. Indringers proberen vaak bekende kwetsbaarheden van verschillende systemen te misbruiken door bijvoorbeeld misvormde pakketten naar hosts te sturen, waardoor ze op een bepaalde manier reageren waardoor ze kunnen worden geschonden. Een netwerkinbraakdetectiesysteem zal dit soort inbraakpogingen hoogstwaarschijnlijk detecteren.

Sommigen beweren dat netwerkinbraakdetectiesystemen beter zijn dan hun hostgebaseerde tegenhanger, omdat ze aanvallen kunnen detecteren zelfs voordat ze uw systemen bereiken. Sommigen geven er ook de voorkeur aan omdat ze niets op elke host hoeven te installeren om ze effectief te beschermen. Aan de andere kant bieden ze weinig bescherming tegen aanvallen van binnenuit, die helaas helemaal niet ongebruikelijk zijn. Om te worden gedetecteerd, moet de inbraakpoging van een aanvaller door de NIDS gaan, wat hij zelden doet als hij van binnenuit komt. Elke technologie heeft voor- en nadelen en in het specifieke geval van inbraakdetectie houdt niets u tegen om beide soorten hulpmiddelen te gebruiken voor de ultieme bescherming.

Host Intrusion Detection Systems (HIDS)

Host Intrusion Detections Systems (HIDS) werken op hostniveau; dat heb je misschien al geraden uit hun naam. Ze zullen bijvoorbeeld verschillende logfiles en tijdschriften monitoren op tekenen van verdachte activiteiten. Een andere manier waarop ze inbraakpogingen kunnen detecteren, is door systeemconfiguratiebestanden te controleren op ongeoorloofde wijzigingen. Ze kunnen dezelfde bestanden ook onderzoeken op specifieke bekende inbraakpatronen. Het is bijvoorbeeld bekend dat een bepaalde inbraakmethode werkt door een bepaalde parameter toe te voegen aan een specifiek configuratiebestand. Een goed host-gebaseerd inbraakdetectiesysteem zou dat opvangen.

Hoewel hun naam je zou kunnen doen denken dat alle HIDS rechtstreeks op het apparaat zijn geïnstalleerd dat ze moeten beschermen, is dit niet noodzakelijk het geval. Sommige moeten op al uw computers worden geïnstalleerd, terwijl andere alleen een lokale agent hoeven te installeren. Sommigen doen zelfs al hun werk op afstand zonder agent. Ongeacht hoe ze werken, de meeste HIDS hebben een gecentraliseerde console waar je elke instantie van de applicatie kunt bedienen en alle resultaten kunt bekijken.

Inbraakdetectiemethoden

Inbraakdetectiesystemen verschillen niet alleen door het handhavingspunt, ze verschillen ook door de methode die ze gebruiken om inbraakpogingen te detecteren. Sommige zijn op handtekening gebaseerd, terwijl andere op anomalie zijn gebaseerd. De eersten werken door gegevens te analyseren op specifieke patronen die zijn geassocieerd met inbraakpogingen. Dit is vergelijkbaar met traditionele virusbeveiligingssystemen die afhankelijk zijn van virusdefinities. Op handtekeningen gebaseerde inbraakdetectie is afhankelijk van handtekening of patronen voor inbraak. Ze vergelijken vastgelegde gegevens met indringersignaturen om indringingspogingen te identificeren. Natuurlijk werken ze pas als de juiste handtekening is geüpload naar de software, wat soms pas kan gebeuren na een een bepaald aantal machines is aangevallen en uitgevers van indringersignaturen hebben tijd gehad om een ​​nieuwe update te publiceren pakketjes. Sommige leveranciers zijn vrij snel, terwijl andere pas dagen later konden reageren. Dit is het belangrijkste nadeel van deze detectiemethode.

Anomalie-gebaseerde inbraakdetectie biedt betere bescherming tegen zero-day-aanvallen, die plaatsvinden voordat inbraakdetectiesoftware de kans heeft gekregen om het juiste handtekeningbestand te verkrijgen. Ze zoeken naar afwijkingen in plaats van bekende indringingspatronen te proberen te herkennen. Iemand die bijvoorbeeld meerdere keren achter elkaar probeert toegang te krijgen tot een systeem met een verkeerd wachtwoord, zou een waarschuwing activeren omdat dit een veelvoorkomend teken is van een brute force-aanval. Deze systemen kunnen snel alle verdachte activiteiten op het netwerk detecteren. Elke detectiemethode heeft voor- en nadelen en net als bij de twee soorten tools, zijn de beste tools waarschijnlijk de tools die een combinatie van handtekening- en gedragsanalyse gebruiken.

Detectie of preventie?

Sommige mensen raken vaak in de war tussen systemen voor inbraakdetectie en inbraakpreventie. Hoewel ze nauw verwant zijn, zijn ze niet identiek, hoewel er enige functionaliteitsoverlap is tussen de twee. Zoals de naam al doet vermoeden, detecteren inbraakdetectiesystemen inbraakpogingen en verdachte activiteiten. Wanneer ze iets detecteren, activeren ze meestal een vorm van waarschuwing of melding. Het is dan aan de beheerders om de nodige stappen te ondernemen om de inbraakpoging te stoppen of te blokkeren.

Inbraakpreventiesystemen (IPS) gaan nog een stap verder en kunnen het binnendringen van indringers helemaal stoppen. Inbraakpreventiesystemen bevatten een detectiecomponent - die functioneel equivalent is aan een inbraak Detectiesysteem: dit zorgt voor automatische herstelmaatregelen wanneer een inbraakpoging wordt gedetecteerd. Er is geen menselijke tussenkomst vereist om de inbraakpoging te stoppen. Inbraakpreventie kan ook verwijzen naar alles wat wordt gedaan of ingevoerd om indringers te voorkomen. Zo kan wachtwoordverharding of inbraakvergrendeling worden beschouwd als maatregelen ter voorkoming van indringers.

De beste tools voor netwerkinbraakdetectie

We hebben de markt afgezocht naar de beste netwerkgebaseerde inbraakdetectiesystemen. Onze lijst bevat een mix van echte hostgebaseerde inbraakdetectiesystemen en andere software met een netwerkgebaseerde inbraakdetectiecomponent of die kan worden gebruikt om inbraakpogingen te detecteren. Elk van onze aanbevolen tools kan helpen bij het detecteren van inbraakpogingen op uw netwerk.

SolarWinds is een veel voorkomende naam op het gebied van tools voor netwerkbeheer. Het bedrijf bestaat al zo'n 20 jaar en heeft ons enkele van de beste tools voor netwerk- en systeembeheer opgeleverd. Het vlaggenschipproduct, de Network Performance Monitor, behoort consequent tot de beste tools voor netwerkbandbreedtebewaking. SolarWinds maakt ook uitstekende gratis tools, die elk voorzien in een specifieke behoefte van netwerkbeheerders. De Kiwi Syslog Server en de Advanced Subnet Calculator zijn daar twee goede voorbeelden van.

Voor netwerkgebaseerde inbraakdetectie biedt SolarWinds de Threat Monitor - IT Ops Edition. In tegenstelling tot de meeste andere SolarWinds-tools, is dit een cloudgebaseerde service in plaats van een lokaal geïnstalleerde software. U abonneert zich er gewoon op, configureert het en het begint uw omgeving te controleren op inbraakpogingen en een paar andere soorten bedreigingen. De Threat Monitor - IT Ops Edition combineert verschillende tools. Het heeft zowel netwerk- als hostgebaseerde inbraakdetectie, evenals centralisatie en correlatie van logboeken, en beveiligingsinformatie en gebeurtenisbeheer (SIEM). Het is een zeer grondige suite voor het bewaken van bedreigingen.

• GRATIS DEMO: SolarWinds Threat Monitor - IT Ops-editie
• Officiële downloadlink: https://www.solarwinds.com/threat-monitor/registration

De Threat Monitor - IT Ops Edition is altijd up-to-date en krijgt voortdurend bijgewerkte informatie over bedreigingen van meerdere bronnen, waaronder IP- en Domain Reputation-databases. Het let op zowel bekende als onbekende bedreigingen. De tool beschikt over geautomatiseerde intelligente reacties om beveiligingsincidenten snel te verhelpen, waardoor het een aantal indringingspreventie-achtige functies krijgt.

De waarschuwingsfuncties van het product zijn behoorlijk indrukwekkend. Er zijn multi-conditionele, kruislings gecorreleerde alarmen die samenwerken met de Active Response-engine van de tool en helpen bij het identificeren en samenvatten van belangrijke gebeurtenissen. Het rapportagesysteem is net zo goed als de alarmering ervan en kan worden gebruikt om naleving aan te tonen met behulp van bestaande, vooraf gebouwde rapportagesjablonen. U kunt ook aangepaste rapporten maken die precies aansluiten bij uw zakelijke behoeften.

Prijzen voor de SolarWinds Threat Monitor - IT Ops-editie begin bij $ 4500 voor maximaal 25 knooppunten met 10 dagen index. U kunt bij SolarWinds terecht voor een gedetailleerde offerte aangepast aan uw specifieke wensen. En als u het product liever in actie ziet, u kunt een gratis demo aanvragen bij SolarWinds.

2. Snuiven

Snuiven is zeker de bekendste open-source NIDS. Maar Snuiven is eigenlijk meer dan een inbraakdetectietool. Het is ook een pakketsniffer en een pakketlogger en het heeft ook een paar andere functies. Voor nu concentreren we ons op de functies voor inbraakdetectie van de tool, aangezien dit het onderwerp is van dit bericht. Het configureren van het product doet denken aan het configureren van een firewall. Het is geconfigureerd met regels. U kunt basisregels downloaden van de Snuiven website en gebruik ze zoals ze zijn of pas ze aan uw specifieke behoeften aan. U kunt zich ook abonneren op Snuiven regels om automatisch de nieuwste regels te ontvangen naarmate ze evolueren of wanneer nieuwe bedreigingen worden ontdekt.

Soort is zeer grondig en zelfs de basisregels kunnen een grote verscheidenheid aan gebeurtenissen detecteren, zoals stealth-poortscans, bufferoverloopaanvallen, CGI-aanvallen, SMB-sondes en vingerafdrukken van besturingssystemen. Er is vrijwel geen limiet aan wat u kunt detecteren met deze tool en wat het detecteert, is uitsluitend afhankelijk van de regelset die u installeert. Wat betreft detectiemethoden, sommige basis Snort-regels zijn gebaseerd op handtekeningen, terwijl andere op anomalie zijn gebaseerd. Snort kan je dus het beste van twee werelden geven.

3. Suricata

Suricata is niet alleen een inbraakdetectiesysteem. Het heeft ook enkele functies voor inbraakpreventie. In feite wordt het geadverteerd als een compleet monitoring-ecosysteem voor netwerkbeveiliging. Een van de beste troeven van de tool is hoe het werkt tot aan de applicatielaag. Dit maakt het een hybride netwerk- en hostgebaseerd systeem waarmee de tool bedreigingen kan detecteren die waarschijnlijk onopgemerkt zouden blijven door andere tools.

Suricata is een echt netwerkgebaseerd inbraakdetectiesysteem en het werkt niet alleen in de applicatielaag. Het bewaakt netwerkprotocollen op een lager niveau, zoals TLS, ICMP, TCP en UDP. De tool begrijpt en decodeert ook protocollen van hoger niveau zoals HTTP, FTP of SMB en kan inbraakpogingen detecteren die verborgen zijn in anderszins normale verzoeken. De tool biedt ook mogelijkheden voor bestandsextractie waarmee beheerders elk verdacht bestand kunnen onderzoeken.

SuricataDe applicatiearchitectuur is vrij innovatief. De tool verdeelt zijn werklast over verschillende processorcores en threads voor de beste prestaties. Indien nodig kan het zelfs een deel van de verwerking naar de grafische kaart overzetten. Dit is een geweldige functie wanneer u de tool op servers gebruikt, omdat hun grafische kaart doorgaans onderbenut is.

4. Bro Netwerkbeveiligingsmonitor

De Bro Netwerkbeveiligingsmonitor, een ander gratis netwerkinbraakdetectiesysteem. De tool werkt in twee fasen: verkeersregistratie en verkeersanalyse. Net als Suricata, Bro Netwerkbeveiligingsmonitor werkt op meerdere lagen op de applicatielaag. Dit zorgt voor een betere detectie van gespleten inbraakpogingen. De Bro NetwerkbeveiligingsmonitorDe analysemodule bestaat uit twee elementen. Het eerste element wordt de event-engine genoemd en het houdt activeringsgebeurtenissen bij zoals netto TCP-verbindingen of HTTP-verzoeken. De gebeurtenissen worden vervolgens geanalyseerd door beleidsscripts, het tweede element, die beslissen of er al dan niet een alarm moet worden geactiveerd en / of een actie moet worden ondernomen. De mogelijkheid om een ​​actie te starten geeft de Bro Netwerkbeveiligingsmonitor wat IPS-achtige functionaliteit.

De Bro Netwerkbeveiligingsmonitor laat je HTTP-, DNS- en FTP-activiteit volgen en het zal ook SNMP-verkeer monitoren. Dit is een goede zaak omdat SNMP vaak wordt gebruikt voor netwerkbewaking, maar het is geen veilig protocol. En aangezien het ook kan worden gebruikt om configuraties te wijzigen, kan het worden misbruikt door kwaadwillende gebruikers. Met de tool kunt u ook wijzigingen in de apparaatconfiguratie en SNMP-traps bekijken. Het kan op Unix, Linux en OS X worden geïnstalleerd, maar het is niet beschikbaar voor Windows, wat misschien wel het grootste nadeel is.

5. Beveiligingsui

Het is moeilijk te definiëren wat de Beveiligingsui is. Het is niet alleen een systeem voor inbraakdetectie of -preventie. Het is in werkelijkheid een complete Linux-distributie met een focus op inbraakdetectie, enterprise security monitoring en logbeheer. Als zodanig kan het beheerders veel tijd besparen. Het bevat veel tools, waarvan we er enkele zojuist hebben beoordeeld. Security Onion omvat Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner en meer. Om het allemaal eenvoudiger te maken, wordt de distributie gebundeld met een gebruiksvriendelijke installatiewizard, zodat u uw organisatie binnen enkele minuten kunt beschermen. Als we de Beveiligingsui in één zin zouden we zeggen dat het het Zwitserse zakmes is voor IT-beveiliging van ondernemingen.

Een van de meest interessante dingen van deze tool is dat je alles in één simpele installatie krijgt. Voor inbraakdetectie biedt de tool u zowel netwerk- als hostgebaseerde inbraakdetectietools. Het pakket combineert ook tools die een op handtekeningen gebaseerde aanpak gebruiken en tools die op anomalie zijn gebaseerd. Verder vind je een combinatie van op tekst gebaseerde en GUI-tools. Er is echt een uitstekende mix van beveiligingstools. Er is één belangrijk nadeel aan de Security Onion. Met zoveel meegeleverde tools kan het een hele klus zijn om ze allemaal te configureren. U hoeft echter niet alle tools te gebruiken en te configureren. U kunt alleen die kiezen die u wilt gebruiken. Zelfs als je maar een paar van de meegeleverde tools gebruikt, zou het waarschijnlijk een snellere optie zijn dan ze afzonderlijk te installeren.