Nettverksbaserte inntrengingsdeteksjonssystemer: 5 beste NIDS-verktøy å bruke

Det virker som alle i disse dager er opptatt av sikkerhet. Det er fornuftig når man vurderer viktigheten av nettkriminellitet. Organisasjoner er målrettet av hackere som prøver å stjele dataene sine eller forårsake andre skader. En måte du kan beskytte IT-miljøet mot disse angrepene er ved bruk av riktige verktøy og systemer. Ofte er den første forsvarslinjen i omkretsen av nettverket i form av nettverksbaserte intrusjonsdeteksjonssystemer eller NIDS. Disse systemene analyserer trafikk som kommer på nettverket ditt fra internett for å oppdage mistenkelig aktivitet og varsle deg umiddelbart. NIDS er så populære, og så mange av dem er tilgjengelige enn å finne den beste for dine behov kan være en utfordrende innsats. Å hjelpe deg, vi har satt sammen denne listen over noen av de beste nettverksbaserte inntrengningsdeteksjonssystemene.

Vi begynner reisen vår med å se på de forskjellige typene inntrengingsdeteksjonssystem. I hovedsak er det to typer: nettverksbasert og vertsbasert. Vi forklarer forskjellene deres. Inntrengingsdeteksjonssystemer avviker også på deteksjonsmetoden de bruker. Noen av dem bruker en signaturbasert tilnærming, mens andre er avhengige av atferdsanalyse. De beste verktøyene bruker en kombinasjon av begge deteksjonsmetodene. Markedet er mettet med både inntrengingsdeteksjonssystemer og inntrengningsforebyggende systemer. Vi vil utforske hvordan de er forskjellige og hvordan de er like, da det er viktig å forstå skillet. Til slutt skal vi gjennomgå de beste nettverksbaserte inntrengingsdeteksjonssystemene og presentere deres viktigste funksjoner.

Nettverks- vs vertsbasert intrusjonsdeteksjon

Inntrengingsdeteksjonssystemer er av en av to typer. De deler begge et identisk mål - å raskt oppdage inntrengningsforsøk eller mistenkelig aktivitet som potensielt kan føre til innbruddsforsøk - men de er forskjellige på stedet hvor håndhevingspunktet som refererer til hvor oppdagelsen er utført. Hver type inntrengingsdeteksjonsverktøy har fordeler og ulemper. Det er ingen reell enighet om hvilken som er å foretrekke. Noen sverger ved en type, mens andre bare vil stole på den andre. Begge har sannsynligvis rett. Den beste løsningen - eller den sikreste - er sannsynligvis en som kombinerer begge typene.

Network Intrusion Detection Systems (NIDS)

Den første typen intrusjonsdeteksjonssystem kalles Network Intrusion Detection System eller NIDS. Disse systemene fungerer ved nettverkets grense for å håndheve gjenkjenning. De avskjærer og undersøker nettverkstrafikk, leter etter mistenkelige aktiviteter som kan indikere et innbruddsforsøk og leter også etter kjente innbruddsmønstre. Inntrengere prøver ofte å utnytte kjente sårbarheter i forskjellige systemer ved for eksempel å sende misdannede pakker til verter, slik at de reagerer på en bestemt måte som gjør det mulig å bryte dem. Et nettverksinntrengingsdeteksjonssystem vil mest sannsynlig oppdage denne typen inntrengningsforsøk.

Noen hevder at Network Intrusion Detection Systems er bedre enn deres vertsbaserte motpart, ettersom de kan oppdage angrep selv før de til og med kommer til systemene dine. Noen pleier også å foretrekke dem fordi de ikke trenger å installere noe på hver vert for å effektivt beskytte dem. På den annen side gir de liten beskyttelse mot innfallsangrep som dessverre slett ikke er uvanlige. For å bli oppdaget, må en angripers inntrengningsforsøk gå gjennom NIDS, som den sjelden gjør når den stammer innenfra. Enhver teknologi har fordeler og ulemper, og det spesifikke tilfellet av inntrengingsdeteksjon, ingenting hindrer deg i å bruke begge typer verktøy for den ultimate beskyttelsen.

Vertsinntrengingsdeteksjonssystemer (HIDS)

Host Intrusion Detection Systems (HIDS) opererer på vertsnivå; du har kanskje gjettet det ut fra navnet deres. De vil for eksempel overvåke forskjellige loggfiler og tidsskrifter for tegn på mistenkelig aktivitet. En annen måte de kan oppdage innbruddsforsøk er ved å sjekke systemkonfigurasjonsfiler for uautoriserte endringer. De kan også undersøke de samme filene for spesifikke kjente inntrengningsmønstre. For eksempel kan det være kjent at en bestemt inntrengningsmetode fungerer ved å legge til en viss parameter til en spesifikk konfigurasjonsfil. Et godt vertsbasert intrusjonsdeteksjonssystem vil fange det.

Selv om navnet deres kan føre til at du tenker at alle HIDS er installert direkte på enheten de er ment å beskytte, er det ikke nødvendigvis tilfelle. Noen må installeres på alle datamaskiner, mens andre bare vil installere en lokal agent. Noen gjør til og med alt arbeidet uten å ha noen agent. Uansett hvordan de fungerer, har de fleste HIDS en sentralisert konsoll der du kan kontrollere alle forekomster av applikasjonen og se alle resultater.

Metoder for påvisning av inntrenging

Inntrengingsdeteksjonssystemer avviker ikke bare etter håndhevingspunktet, de avviker også etter metoden de bruker for å oppdage innbruddsforsøk. Noen er signaturbaserte, mens andre er anomalibaserte. De første fungerer ved å analysere data for spesifikke mønstre som har blitt assosiert med inntrengningsforsøk. Dette ligner på tradisjonelle virusbeskyttelsessystemer som er avhengige av virusdefinisjoner. Signaturbasert intrusjonsdeteksjon er avhengig av intrusjonssignaturer eller -mønstre. De sammenligner fangede data med inntrengelsessignaturer for å identifisere inntrengningsforsøk. Selvfølgelig fungerer de ikke før riktig signatur er lastet opp til programvaren, som noen ganger kan skje etter a et visst antall maskiner er blitt angrepet, og utgivere av inntrengelsessignaturer har hatt tid til å publisere ny oppdatering pakker. Noen leverandører er ganske raske, mens andre bare kunne reagere noen dager senere. Dette er den primære ulempen med denne deteksjonsmetoden.

Anomali-basert intrusjonsdeteksjon gir bedre beskyttelse mot angrep på null dager, de som skjer før noen programvare for inntrengingsdeteksjon har hatt en sjanse til å skaffe seg riktig signaturfil. De ser etter anomalier i stedet for å prøve å gjenkjenne kjente innbruddsmønstre. For eksempel vil noen som prøver å få tilgang til et system med galt passord flere ganger på rad, utløse et varsel, da dette er et vanlig tegn på et angrep fra brute force. Disse systemene kan raskt oppdage mistenkelig aktivitet i nettverket. Hver deteksjonsmetode har fordeler og ulemper, og akkurat som med de to verktøyene, er de beste verktøyene trolig de som bruker en kombinasjon av signatur og atferdsanalyse.

Oppdagelse eller forebygging?

Noen mennesker har en tendens til å bli forvirret mellom inntrengingsdeteksjon og inntrengningsforebyggende systemer. Mens de er nært beslektede, er de ikke identiske, selv om det er en viss funksjonalitetsoverlapping mellom de to. Som navnet antyder, registrerer inntrengingsdeteksjonssystemer innbruddsforsøk og mistenkelige aktiviteter. Når de oppdager noe, utløser de vanligvis en form for varsling eller varsling. Det er da opp til administratorer å ta de nødvendige skritt for å stoppe eller blokkere innbruddsforsøket.

Inntrengningsforebyggende systemer (IPS) går et skritt videre og kan forhindre at inntrenging skjer helt. Innbruddsforebyggende systemer inkluderer en deteksjonskomponent - som funksjonelt tilsvarer en inntrenging Deteksjonssystem - som utløser en viss automatisk utbedring når et inntrengningsforsøk oppdages. Ingen menneskelige inngrep er nødvendig for å stoppe innbruddsforsøket. Inntrengningsforebygging kan også referere til alt som gjøres eller settes på plass som en måte å forhindre inntrenging. For eksempel kan passordherding eller inntrenger-lockout betraktes som tiltak for forebygging av inntrenging.

De beste verktøyene for deteksjon av nettverksinntrenging

Vi har søkt i markedet etter de beste nettverksbaserte inntrengningsdeteksjonssystemene. Vår liste inneholder en blanding av ekte vertsbaserte intrusjonsdeteksjonssystemer og annen programvare som har en nettverksbasert inntrengingsdeteksjonskomponent eller som kan brukes til å oppdage inntrengningsforsøk. Hvert av de anbefalte verktøyene våre kan bidra til å oppdage inntrengningsforsøk i nettverket ditt.

SolarWinds er et vanlig navn innen nettverksadministrasjonsverktøy. Selskapet har eksistert i rundt 20 år og har brakt oss noen av de beste verktøyene for nettverk og systemadministrasjon. Flaggskipets produkt, Network Performance Monitor, scorer konsekvent blant de beste verktøyene for overvåkning av båndbredde i nettverket. SolarWinds lager også utmerkede gratis verktøy, som alle imøtekommer et spesifikt behov hos nettverksadministratorer. Kiwi Syslog Server og Advanced Subnet Calculator er to gode eksempler på disse.

For nettverksbasert inntrengingsdeteksjon tilbyr SolarWinds Threat Monitor - IT Ops Edition. I motsetning til de fleste andre SolarWinds-verktøy, er dette en skybasert tjeneste snarere enn en lokalt installert programvare. Du abonnerer ganske enkelt på den, konfigurerer den, og den begynner å se på miljøet ditt for inntrengningsforsøk og noen flere typer trusler. De Threat Monitor - IT Ops Edition kombinerer flere verktøy. Den har både nettverks- og vertsbasert intrusjonsdeteksjon samt loggesentralisering og korrelasjon, og Sikkerhetsinformasjon og hendelsesstyring (SIEM). Det er en veldig grundig suite for trusselovervåkning.

• GRATIS DEMO: SolarWinds Threat Monitor - IT Ops Edition
• Offisiell nedlastingslenke: https://www.solarwinds.com/threat-monitor/registration

De Threat Monitor - IT Ops Edition er alltid oppdatert, og får kontinuerlig oppdatert trusselintelligens fra flere kilder, inkludert databaser for IP- og domene-omdømme. Det passer på både kjente og ukjente trusler. Verktøyet har automatiserte intelligente svar for raskt å avhjelpe sikkerhetshendelser, noe som gir det noen innbruddsforebyggende lignende funksjoner.

Produktets varslingsfunksjoner er ganske imponerende. Det er multikondisjonelle, tverrkorrelerte alarmer som fungerer sammen med verktøyets Active Response-motor og hjelper til med å identifisere og oppsummere viktige hendelser. Rapporteringssystemet er like bra som varsling og kan brukes til å demonstrere samsvar ved å bruke eksisterende forhåndsbygde rapportmaler. Alternativt kan du opprette tilpassede rapporter som nøyaktig passer dine forretningsbehov.

Prisene for SolarWinds Threat Monitor - IT Ops Edition start på $ 4 500 for opptil 25 noder med 10 dagers indeks. Du kan kontakte SolarWinds for et detaljert tilbud tilpasset dine spesifikke behov. Og hvis du foretrekker å se produktet i aksjon, kan du be om en gratis demo fra SolarWinds.

2. Snort

Snort er absolutt den mest kjente NIDS med åpen kildekode. Men Snort er faktisk mer enn et inntrengingsdeteksjonsverktøy. Det er også en pakkesniffer og en pakkelogger, og den pakker noen få andre funksjoner også. Foreløpig konsentrerer vi oss om verktøyets inntrengingsdeteksjonsfunksjoner da dette er temaet for dette innlegget. Konfigurering av produktet minner om konfigurering av en brannmur. Det er konfigurert ved hjelp av regler. Du kan laste ned basisregler fra Snort nettsted og bruk dem som den er eller tilpass dem etter dine spesifikke behov. Du kan også abonnere på Snort regler for automatisk å få alle de nyeste reglene når de utvikler seg eller når nye trusler oppdages.

Sortere er veldig grundig, og til og med dens grunnleggende regler kan oppdage et bredt utvalg av hendelser som stealth-port-skanninger, bufferoverløpsangrep, CGI-angrep, SMB-prober og OS-fingeravtrykk. Det er praktisk talt ingen begrensning for hva du kan oppdage med dette verktøyet, og hva det oppdager er bare avhengig av regelsettet du installerer. Når det gjelder deteksjonsmetoder, er noen av de grunnleggende Snort-reglene signaturbaserte, mens andre er anomali-baserte. Snort kan derfor gi deg det beste fra begge verdener.

3. Suricata

Suricata er ikke bare et inntrengingsdeteksjonssystem. Den har også noen funksjoner for forebygging av inntrenging. Faktisk blir det annonsert som et komplett økosystem for overvåkning av nettverkssikkerhet. Et av verktøyets beste ressurser er hvordan det fungerer helt opp til applikasjonslaget. Dette gjør det til et hybrid nettverks- og vertsbasert system som lar verktøyet oppdage trusler som sannsynligvis vil bli lagt merke til av andre verktøy.

Suricata er et ekte nettverksbasert intrusjonsdeteksjonssystem, og det fungerer ikke bare i applikasjonslaget. Den vil overvåke nettverksprotokoller på lavere nivå som TLS, ICMP, TCP og UDP. Verktøyet forstår og avkoder også protokoller på høyere nivå som HTTP, FTP eller SMB og kan oppdage inntrengingsforsøk skjult i ellers normale forespørsler. Verktøyet har også filekstraheringsfunksjoner som lar administratorer undersøke mistenkelige filer.

SuricataApplikasjonsarkitekturen er ganske nyskapende. Verktøyet vil fordele arbeidsmengden over flere prosessorkjerner og tråder for best mulig ytelse. Hvis det er behov, kan det til og med laste ned noe av behandlingen til grafikkortet. Dette er en flott funksjon når du bruker verktøyet på servere, ettersom grafikkortet deres vanligvis er underbruk.

4. bro Nettverkssikkerhetsmonitor

De Bro Network Security Monitor, et annet gratis nettverksinntrengingsdeteksjonssystem. Verktøyet fungerer i to faser: trafikklogging og trafikkanalyse. Akkurat som Suricata, Bro Network Security Monitor fungerer på flere lag opp i applikasjonslaget. Dette muliggjør bedre påvisning av delte innbruddsforsøk. De Bro Network Security MonitorAnalysemodulen består av to elementer. Det første elementet kalles hendelsesmotoren, og det sporer utløsende hendelser som nettet TCP-tilkoblinger eller HTTP-forespørsler. Hendelsene blir deretter analysert av policy-manus, det andre elementet, som bestemmer om de vil utløse en alarm eller / eller starte en handling. Muligheten for å sette i gang en aksjon gir Bro Network Security Monitor noe IPS-lignende funksjonalitet.

De Bro Network Security Monitor lar deg spore HTTP-, DNS- og FTP-aktivitet, og den vil også overvåke SNMP-trafikk. Dette er en god ting fordi SNMP ofte brukes til nettverksovervåking, men det er ikke en sikker protokoll. Og siden det også kan brukes til å endre konfigurasjoner, kan det utnyttes av ondsinnede brukere. Verktøyet lar deg også se på endringer i enhetskonfigurasjonen og SNMP-feller. Det kan installeres på Unix, Linux og OS X, men det er ikke tilgjengelig for Windows, som kanskje er den største ulempen.

5. Sikkerhetsløk

Det er vanskelig å definere hva Sikkerhetsløk er. Det er ikke bare et inntrengingsdeteksjons- eller forebyggingssystem. Det er i virkeligheten en komplett Linux-distribusjon med fokus på intrusjonsdeteksjon, sikkerhetsovervåking av virksomheten og loggstyring. Som sådan kan det spare administratorer mye tid. Den inneholder mange verktøy, hvorav noen nettopp har gjennomgått. Security Onion inkluderer Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner og mer. For å gjøre det enklere å konfigurere det, leveres distribusjonen med en brukervennlig installasjonsveiviser, slik at du kan beskytte organisasjonen din i løpet av få minutter. Hvis vi måtte beskrive Sikkerhetsløk i en setning, vil vi si at den er den sveitsiske hærens kniv for IT-sikkerhet.

Noe av det mest interessante med dette verktøyet er at du får alt i en enkel installasjon. For intrusjonsdeteksjon gir verktøyet deg både nettverks- og vertsbaserte intrusjonsdeteksjonsverktøy. Pakken kombinerer også verktøy som bruker en signaturbasert tilnærming og verktøy som er anomalibaserte. Videre finner du en kombinasjon av tekstbaserte og GUI-verktøy. Det er virkelig en utmerket blanding av sikkerhetsverktøy. Det er en primær ulempe med Security Onion. Med så mange verktøy inkludert, kan konfigurering av dem alle vise seg å være en betydelig oppgave. Du trenger imidlertid ikke å bruke og konfigurere alle verktøyene. Du kan velge bare de du vil bruke. Selv om du bare bruker et par av de inkluderte verktøyene, vil det sannsynligvis være et raskere alternativ enn å installere dem separat.