Beste GRATIS inbraakdetectiesoftware in 2020

Beveiliging is een hot topic en dat is al een tijdje het geval. Vele jaren geleden waren virussen de enige zorgen van systeembeheerders. Virussen kwamen zo vaak voor dat ze de weg vrijmaakten voor een verbazingwekkende reeks hulpmiddelen voor viruspreventie. Tegenwoordig zou bijna niemand eraan denken om een ​​onbeschermde computer te gebruiken. Het binnendringen van computers of de ongeoorloofde toegang tot uw gegevens door kwaadwillende gebruikers is echter de "bedreiging du jour". Netwerken zijn het doelwit geworden van talloze kwaadwillende hackers die zich tot het uiterste zullen inspannen om toegang te krijgen tot uw gegevens. Uw beste verdediging tegen dit soort bedreigingen is een inbraakdetectie- of preventie-systeem. Vandaag beoordelen we tien van de beste gratis tools voor inbraakdetectie.

Voordat we beginnen, bespreken we eerst de verschillende indringingsdetectiemethoden die worden gebruikt. Net zoals er vele manieren zijn waarop indringers uw netwerk kunnen binnendringen, zijn er net zo veel manieren - misschien zelfs meer - manieren om ze te detecteren. Vervolgens bespreken we de twee hoofdcategorieën van het inbraakdetectiesysteem: netwerkinbraakdetectie en hostinbraakdetectie. Voordat we doorgaan, leggen we vervolgens de verschillen uit tussen inbraakdetectie en inbraakpreventie. En tot slot geven we u een kort overzicht van tien van de beste gratis inbraakdetectietools die we konden vinden.

Inbraakdetectiemethoden

Er zijn in feite twee verschillende methoden om inbraakpogingen te detecteren. Het kan op handtekening of anomalie zijn gebaseerd. Laten we eens kijken hoe ze verschillen. Op handtekeningen gebaseerde inbraakdetectie werkt door gegevens te analyseren op specifieke patronen die zijn geassocieerd met inbraakpogingen. Het lijkt een beetje op traditionele antivirussystemen die afhankelijk zijn van virusdefinities. Deze systemen zullen gegevens vergelijken met handtekeningpatronen voor indringers om pogingen te identificeren. Hun grootste nadeel is dat ze niet werken totdat de juiste handtekening is geüpload naar de software, wat meestal gebeurt nadat een bepaald aantal machines is aangevallen.

Anomalie-gebaseerde inbraakdetectie biedt een betere bescherming tegen zero-day-aanvallen, die plaatsvinden voordat inbraakdetectiesoftware de kans heeft gekregen om het juiste handtekeningbestand te verkrijgen. In plaats van te proberen bekende inbraakpatronen te herkennen, zullen deze in plaats daarvan naar afwijkingen zoeken. Ze zouden bijvoorbeeld detecteren dat iemand meerdere keren probeerde toegang te krijgen tot een systeem met een verkeerd wachtwoord, een veelvoorkomend teken van een brute force-aanval. Zoals je misschien al geraden had, heeft elke detectiemethode zijn voordelen. Daarom gebruiken de beste tools vaak een combinatie van beide voor de beste bescherming.

Twee soorten inbraakdetectiesystemen

Net zoals er verschillende detectiemethoden zijn, zijn er ook twee hoofdtypen inbraakdetectiesystemen. Ze verschillen meestal in de locatie waar de inbraakdetectie wordt uitgevoerd, hetzij op hostniveau of op netwerkniveau. Ook hier heeft elk zijn voordelen en de beste oplossing - of de veiligste - is mogelijk om beide te gebruiken.

Host Intrusion Detection Systems (HIDS)

Het eerste type inbraakdetectiesysteem werkt op hostniveau. Het kan bijvoorbeeld verschillende logbestanden controleren op tekenen van verdachte activiteit. Het kan ook werken door belangrijke configuratiebestanden te controleren op ongeautoriseerde wijzigingen. Dit is wat op anomalie gebaseerde HIDS zou doen. Aan de andere kant zouden op handtekeningen gebaseerde systemen naar dezelfde log- en configuratiebestanden kijken, maar zouden ze op zoek zijn naar specifieke bekende inbraakpatronen. Het kan bijvoorbeeld bekend zijn dat een bepaalde inbraakmethode werkt door een bepaalde reeks toe te voegen aan een specifiek configuratiebestand dat de op handtekeningen gebaseerde IDS zou detecteren.

Zoals je je had kunnen voorstellen, worden HIDS rechtstreeks op het apparaat geïnstalleerd dat ze moeten beschermen, dus je moet ze op al je computers installeren. de meeste systemen hebben echter een gecentraliseerde console waar u elke instantie van de applicatie kunt bedienen.

Network Intrusion Detection Systems (NIDS)

Netwerkinbraakdetectiesystemen, of NIDS, werken aan de grens van uw netwerk om detectie af te dwingen. Ze gebruiken vergelijkbare methoden als hostinbraakdetectiesystemen. In plaats van te kijken naar log- en configuratiebestanden, kijken ze natuurlijk naar netwerkverkeer zoals verbindingsaanvragen. Van sommige indringingsmethoden is bekend dat ze kwetsbaarheden misbruiken door doelbewust misvormde pakketten naar hosts te sturen, waardoor ze op een bepaalde manier reageren. Netwerkinbraakdetectiesystemen kunnen deze gemakkelijk detecteren.

Sommigen zouden beweren dat NIDS beter zijn dan HIDS omdat ze aanvallen detecteren voordat ze bij uw computers aankomen. Ze zijn ook beter omdat ze niets nodig hebben om op elke computer te worden geïnstalleerd om ze effectief te beschermen. Aan de andere kant bieden ze weinig bescherming tegen aanvallen van binnenuit, die helaas helemaal niet ongebruikelijk zijn. Dit is een ander geval waarbij de beste bescherming wordt verkregen door een combinatie van beide soorten gereedschappen te gebruiken.

Inbraakdetectie versus preventie

Er zijn twee verschillende genres van tools in de wereld van inbraakbeveiliging: inbraakdetectiesystemen en inbraakpreventiesystemen. Hoewel ze een ander doel dienen, is er vaak enige overlap tussen de twee soorten tools. Zoals de naam al aangeeft, detecteert de inbraakdetectie inbraakpogingen en verdachte activiteiten in het algemeen. Wanneer dit het geval is, wordt er doorgaans een soort alarm of melding geactiveerd. Het is dan aan de beheerder om de nodige stappen te ondernemen om deze poging te stoppen of te blokkeren.

Inbraakpreventiesystemen daarentegen werken om te voorkomen dat indringers helemaal plaatsvinden. De meeste systemen voor inbraakpreventie bevatten een detectiecomponent die enige actie zal activeren wanneer inbraakpogingen worden gedetecteerd. Maar inbraakpreventie kan ook passief zijn. De term kan worden gebruikt om te verwijzen naar alle stappen die zijn genomen om inbraken te voorkomen. Zo kunnen we denken aan maatregelen als wachtwoordverharding.

De beste gratis inbraakdetectietools

Inbraakdetectiesystemen kunnen duur, erg duur zijn. Gelukkig zijn er nogal wat gratis alternatieven beschikbaar. we hebben op internet gezocht naar enkele van de beste softwaretools voor inbraakdetectie. We hebben er een flink aantal gevonden en we staan ​​op het punt de tien beste die we konden vinden kort te bekijken.

OSSEC, wat staat voor Open Source Security, is verreweg het toonaangevende open source host inbraakdetectiesysteem. OSSEC is eigendom van Trend Micro, een van de toonaangevende namen op het gebied van IT-beveiliging. De software, wanneer geïnstalleerd op Unix-achtige besturingssystemen, richt zich voornamelijk op log- en configuratiebestanden. Het maakt checksums van belangrijke bestanden en valideert ze periodiek, zodat u wordt gewaarschuwd als er iets vreemds gebeurt. Het zal ook alle vreemde pogingen om root-toegang te krijgen volgen en opvangen. Op Windows houdt het systeem ook oog voor ongeautoriseerde registerwijzigingen.

OSSEC moet als hostinbraakdetectiesysteem op elke computer worden geïnstalleerd die u wilt beschermen. Het verzamelt echter informatie van elke beveiligde computer in één console voor eenvoudiger beheer. De software draait alleen op Unix-achtige systemen, maar er is een agent beschikbaar om Windows-hosts te beschermen. Wanneer het systeem iets detecteert, wordt er een waarschuwing weergegeven op de console en worden meldingen per e-mail verzonden.

Net zoals OSSEC de beste open-source HIDS was, Snuiven is de toonaangevende open-source NIDS. Snort is eigenlijk meer dan een inbraakdetectietool. Het is ook een pakket sniffer en een pakketlogger. Maar waar we voorlopig in geïnteresseerd zijn, zijn Snort's indringingsdetectiefuncties. Net als een firewall is Snort geconfigureerd met regels. Basisregels kunnen worden gedownload van de Snort-website en worden aangepast aan uw specifieke behoeften. U kunt zich ook abonneren op Snort-regels om ervoor te zorgen dat u altijd de nieuwste krijgt als ze evolueren naarmate nieuwe bedreigingen worden geïdentificeerd.

De basisregels voor Snort kunnen een breed scala aan gebeurtenissen detecteren, zoals stealth-poortscans, bufferoverloopaanvallen, CGI-aanvallen, SMB-sondes en vingerafdrukken van besturingssystemen. Wat uw Snort-installatie detecteert, hangt uitsluitend af van de regels die u heeft geïnstalleerd. Sommige van de aangeboden basisregels zijn gebaseerd op handtekeningen, terwijl andere op anomalie zijn gebaseerd. Met Snort kun je het beste van twee werelden krijgen

Suricata adverteert zichzelf als een systeem voor inbraakdetectie en -preventie en als een compleet ecosysteem voor monitoring van netwerkbeveiliging. Een van de grootste voordelen van deze tool ten opzichte van Snort is dat het helemaal tot aan de applicatielaag werkt. Hiermee kan de tool bedreigingen detecteren die onopgemerkt zouden kunnen blijven in andere tools door deze over meerdere pakketten te verdelen.

Maar Suricata werkt niet alleen op de applicatielaag. Het bewaakt ook het protocol op een lager niveau, zoals TLS, ICMP, TCP en UDP. De tool begrijpt ook protocollen zoals HTTP, FTP of SMB en kan inbraakpogingen detecteren die verborgen zijn in anderszins normale verzoeken. Er is ook een mogelijkheid om bestanden uit te pakken waarmee beheerders verdachte bestanden zelf kunnen onderzoeken.

Qua architectuur is Suricata zeer goed gemaakt en zal het zijn werklast verdelen over verschillende processorcores en threads voor de beste prestaties. Het kan zelfs een deel van de verwerking naar de grafische kaart overzetten. Dit is een geweldige functie op servers omdat hun grafische kaart voornamelijk inactief is.

Volgende op onze lijst is een product genaamd de Bro Netwerkbeveiligingsmonitor, een ander gratis netwerkinbraakdetectiesysteem. Bro werkt in twee fasen: verkeersregistratie en analyse. Net als Suricata werkt Bro op de applicatielaag, waardoor gesplitste inbraakpogingen beter kunnen worden opgespoord. Het lijkt erop dat alles in paren komt met Bro en dat de analysemodule uit twee elementen bestaat. De eerste is de event-engine die activeringsgebeurtenissen zoals net-TCP-verbindingen of HTTP-verzoeken bijhoudt. De gebeurtenissen worden vervolgens verder geanalyseerd door beleidsscripts die beslissen of er al dan niet een waarschuwing wordt geactiveerd en een actie wordt gestart, waardoor Bro naast een detectiesysteem een ​​inbraakpreventie wordt.

Met Bro kunt u HTTP-, DNS- en FTP-activiteiten volgen en SNMP-verkeer volgen. Dit is een goede zaak omdat, terwijl SNMP vaak wordt gebruikt voor netwerkbewaking, het is geen veilig protocol. Met Bro kunt u ook wijzigingen in de apparaatconfiguratie en SNMP-traps bekijken. Bro kan op Unix, Linux en OS X worden geïnstalleerd, maar is niet beschikbaar voor Windows, misschien wel het grootste nadeel.

Open WIPS NG kwam vooral op onze lijst omdat het de enige is die specifiek gericht is op draadloze netwerken. Open WIPS NG - waar WIPS staat voor Wireless Intrusion Prevention System - is een open source-tool die uit drie hoofdcomponenten bestaat. Ten eerste is er de sensor die een dom apparaat is dat alleen draadloos verkeer vangt en naar de server stuurt voor analyse. Vervolgens is de server. Deze verzamelt gegevens van alle sensoren, analyseert de verzamelde gegevens en reageert op aanvallen. Het is het hart van het systeem. Last but not least is de interfacecomponent, de GUI die u gebruikt om de server te beheren en informatie over bedreigingen op uw draadloze netwerk weer te geven.

Niet iedereen houdt echter van Open WIPS NG. Het product is van dezelfde ontwikkelaar als Aircrack NG, een draadloze pakketsniffer en wachtwoordcracker die deel uitmaakt van de toolkit van elke wifi-hacker. Aan de andere kant kunnen we, gezien zijn achtergrond, ervan uitgaan dat de ontwikkelaar nogal wat weet over wifi-beveiliging.

Samhain is een gratis hostinbraakdetectiesysteem dat controle biedt op de integriteit van bestanden en controle / analyse van logbestanden. Daarnaast voert het product ook rootkit-detectie, poortbewaking, detectie van frauduleuze SUID-uitvoerbare bestanden en verborgen processen uit. Deze tool is ontworpen om meerdere systemen met verschillende besturingssystemen te monitoren met gecentraliseerde logging en onderhoud. Samhain kan echter ook worden gebruikt als een zelfstandige toepassing op één computer. Samhain kan worden uitgevoerd op POSIX-systemen zoals Unix Linux of OS X. Het kan ook onder Windows onder Cygwin worden uitgevoerd, hoewel alleen de monitoring agent en niet de server in die configuratie is getest.

Een van de meest unieke functies van Samhain is de stealth-modus, waarmee hij kan worden uitgevoerd zonder te worden opgemerkt door eventuele aanvallers. Te vaak doden indringers detectieprocessen die ze herkennen, waardoor ze onopgemerkt blijven. Samhain gebruikt steganografie om zijn processen voor anderen te verbergen. Het beschermt ook zijn centrale logbestanden en configuratieback-ups met een PGP-sleutel om manipulatie te voorkomen.

Fail2Ban is een interessant gratis hostinbraakdetectiesysteem dat ook enkele preventiefuncties heeft. Deze tool werkt door logbestanden te controleren op verdachte gebeurtenissen zoals mislukte inlogpogingen, misbruik van zoekopdrachten, enz. Wanneer het iets verdachts detecteert, werkt het automatisch de lokale firewallregels bij om het bron-IP-adres van het kwaadaardige gedrag te blokkeren. Dit is de standaardactie van de tool, maar elke andere willekeurige actie, zoals het verzenden van e-mailmeldingen, kan worden geconfigureerd.

Het systeem wordt geleverd met verschillende vooraf gebouwde filters voor enkele van de meest voorkomende services zoals Apache, Courrier, SSH, FTP, Postfix en nog veel meer. Preventie wordt uitgevoerd door de firewalltabellen van de host te wijzigen. De tool kan werken met Netfilter, IPtables of de hosts.deny-tabel van TCP Wrapper. Elk filter kan worden geassocieerd met een of meer acties. Samen worden filters en acties een gevangenis genoemd.

ASSISTENT is een afkorting voor Advanced Intrusion Detection Environment. Het gratis hostinbraakdetectiesysteem richt zich voornamelijk op rootkitdetectie en vergelijkingen van bestandshandtekeningen. Wanneer u AIDE voor het eerst installeert, zal het een database met beheerdersgegevens samenstellen uit de configuratiebestanden van het systeem. Dit wordt vervolgens gebruikt als basislijn waarmee elke wijziging kan worden vergeleken en eventueel teruggedraaid.

AIDE gebruikt zowel op handtekeningen gebaseerde als op anomalie gebaseerde analyse die op verzoek wordt uitgevoerd en niet gepland of continu wordt uitgevoerd. Dit is eigenlijk het grootste nadeel van dit product. AIDE is echter een opdrachtregelprogramma en er kan een CRON-taak worden gemaakt om deze met regelmatige tussenpozen uit te voeren. En als u het heel vaak uitvoert, zoals elke minuut of zo, krijgt u quasi-realtime gegevens. In de kern is AIDE niets anders dan een tool voor gegevensvergelijking. Er moeten externe scripts worden gemaakt om er een echte HIDS van te maken.

Beveiligingsui is een interessant beest dat je veel tijd kan besparen. Dit is niet alleen een systeem voor inbraakdetectie of -preventie. Security Onion is een complete Linux-distributie met een focus op inbraakdetectie, enterprise security monitoring en logboekbeheer. Het bevat veel tools, waarvan we er enkele zojuist hebben beoordeeld. Security Onion heeft bijvoorbeeld Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner en meer. Dit alles wordt gebundeld met een eenvoudig te gebruiken installatiewizard, waarmee u uw organisatie binnen enkele minuten kunt beschermen. U kunt Security Onion zien als het Zwitserse zakmes voor IT-beveiliging van ondernemingen.

Het meest interessante van deze tool is dat je alles in één simpele installatie krijgt. En u krijgt zowel netwerk- als hostinbraakdetectietools. Er zijn tools die een op handtekeningen gebaseerde benadering gebruiken en sommige die op anomalie zijn gebaseerd. De distributie bevat ook een combinatie van op tekst gebaseerde en GUI-tools. Er is werkelijk een uitstekende mix van alles. Het nadeel is natuurlijk dat je zoveel krijgt dat het een tijdje kan duren om alles te configureren. Maar u hoeft niet alle tools te gebruiken. U kunt alleen degene kiezen die u verkiest.

Sagan is eigenlijk meer een loganalysesysteem dan een echte IDS, maar het heeft enkele IDS-achtige functies waarvan we dachten dat het op onze lijst stond. Deze tool kan de lokale logboeken bekijken van het systeem waarop deze is geïnstalleerd, maar kan ook communiceren met andere tools. Het zou bijvoorbeeld de logboeken van Snort kunnen analyseren en in feite enkele NIDS-functionaliteit toevoegen aan wat in wezen een HIDS is. En het werkt niet alleen met Snort. Het kan ook communiceren met Suricata en het is compatibel met verschillende tools voor het bouwen van regels zoals Oinkmaster of Pulled Pork.

Sagan heeft ook mogelijkheden voor het uitvoeren van scripts, waardoor het een grof systeem voor inbraakpreventie is. Deze tool wordt waarschijnlijk niet als enige verdediging tegen inbraak gebruikt, maar het zal een geweldig onderdeel zijn van een systeem dat veel tools kan bevatten door gebeurtenissen uit verschillende bronnen te correleren.

Conclusie

Inbraakdetectiesystemen zijn slechts een van de vele beschikbare hulpmiddelen om netwerk- en systeembeheerders te helpen bij het verzekeren van de optimale werking van hun omgeving. Elk van de hier besproken tools is uitstekend, maar elk heeft een iets ander doel. Degene die u kiest, hangt grotendeels af van persoonlijke voorkeur en specifieke behoeften.