Beste GRATIS innbruddsdeteksjonsprogramvare i 2020
Sikkerhet er et hett tema, og det har vært en god stund. For mange år siden var virus den eneste bekymringen fra systemadministratorer. Virus var så vanlig at det ledet an for et forbløffende utvalg av virusforebyggende verktøy. Nå for tiden vil knapt noen tenke på å kjøre en ubeskyttet datamaskin. Inntrenging av datamaskiner, eller uautorisert tilgang til dataene dine fra ondsinnede brukere, er imidlertid "trusselen du jour". Nettverk har blitt målet for mange hackere som ikke har til hensikt, som vil gå langt for å få tilgang til dataene dine. Det beste forsvaret ditt mot denne typen trusler er et system for inntrenging-eller -forebygging. I dag vurderer vi ti av de beste verktøyene for gratis deteksjon av inntrenging.
Før vi begynner, skal vi først diskutere de forskjellige inntrengningsdeteksjonsmetodene som er i bruk. Akkurat som det er mange måter inntrengere kan komme inn i nettverket ditt, er det like mange måter - kanskje enda flere - måter å oppdage dem på. Deretter diskuterer vi de to hovedkategoriene for inntrengingsdeteksjonssystem: nettverksinntrengingsdeteksjon og vertsinntrengingsdeteksjon. Før vi fortsetter, skal vi deretter forklare forskjellene mellom inntrengingsdeteksjon og forebygging av inntrenging. Og til slutt vil vi gi deg en kort gjennomgang av ti av de beste gratis inntrengingsdeteksjonsverktøyene vi kunne finne.
Metoder for påvisning av inntrenging
Det er i utgangspunktet to forskjellige metoder som brukes for å oppdage innbruddsforsøk. Det kan være signaturbasert eller anomali-basert. La oss se hvordan de er forskjellige. Signaturbasert intrusjonsdeteksjon fungerer ved å analysere data for spesifikke mønstre som har blitt assosiert med inntrengingsforsøk. Det er litt som tradisjonelle antivirussystemer som er avhengige av virusdefinisjoner. Disse systemene vil sammenligne data med inntrengelsessignaturmønstre for å identifisere forsøk. Deres viktigste ulempe er at de ikke fungerer før riktig signatur er lastet opp til programvaren, som vanligvis skjer etter at et visst antall maskiner er blitt angrepet.
Anomali-basert intrusjonsdeteksjon gir en bedre beskyttelse mot null-dagers angrep, de som skjer før noen programvare for intrusjonsdeteksjon har hatt en sjanse til å skaffe seg riktig signaturfil. I stedet for å prøve å gjenkjenne kjente inntrengningsmønstre, vil disse i stedet se etter avvik. For eksempel vil de oppdage at noen prøvde å få tilgang til et system med et galt passord flere ganger, et vanlig tegn på et brute force-angrep. Som du kanskje har gjettet, har hver deteksjonsmetode sine fordeler. Dette er grunnen til at de beste verktøyene ofte bruker en kombinasjon av begge deler for best mulig beskyttelse.
To typer inntrengingsdeteksjonssystemer
Akkurat som det er forskjellige påvisningsmetoder, er det også to hovedtyper av inntrengingsdeteksjonssystemer. De skiller seg for det meste på stedet der inntrengingsdeteksjonen utføres, enten på vertsnivå eller på nettverksnivå. Her igjen har hver sine fordeler, og den beste løsningen - eller den sikreste - er muligens å bruke begge deler.
Vertsinntrengingsdeteksjonssystemer (HIDS)
Den første typen inntrengingsdeteksjonssystem fungerer på vertsnivå. Det kan for eksempel sjekke forskjellige loggfiler for tegn på mistenkelig aktivitet. Det kan også fungere ved å sjekke viktige konfigurasjonsfiler for uautoriserte endringer. Dette er hva anomali-baserte HIDS ville gjort. På den annen side ville signaturbaserte systemer se på de samme logg- og konfigurasjonsfilene, men ville lete etter spesifikke kjente inntrengningsmønstre. For eksempel kan det være kjent at en bestemt inntrengningsmetode fungerer ved å legge til en bestemt streng til en spesifikk konfigurasjonsfil som den signaturbaserte IDS vil oppdage.
Som du kunne forestilt deg, er HIDS installert direkte på enheten de er ment å beskytte, så du må installere dem på alle datamaskiner. De fleste systemer har imidlertid en sentralisert konsoll der du kan kontrollere hver forekomst av applikasjonen.
Network Intrusion Detection Systems (NIDS)
Systemer for inntrenging av nettverksinntrenging, eller NIDS, jobber ved nettverkets grense for å håndheve gjenkjenning. De bruker lignende metoder som vertsinntrengingsdeteksjonssystemer. I stedet for å se på er logg og konfigurasjonsfiler, ser de selvfølgelig ut i nettverkstrafikk, for eksempel tilkoblingsforespørsler. Noen inntrengningsmetoder har vært kjent for å utnytte sårbarheter ved å sende målrettet misdannede pakker til vertene, slik at de reagerer på en bestemt måte. Systemer for inntrenging av nettverksinntrenging kan lett oppdage disse.
Noen vil hevde at NIDS er bedre enn HIDS når de oppdager angrep selv før de kommer til datamaskinene dine. De er også bedre fordi de ikke trenger å installere noe på hver datamaskin for å beskytte dem effektivt. På den annen side gir de liten beskyttelse mot innfallsangrep som dessverre slett ikke er uvanlige. Dette er et annet tilfelle der den beste beskyttelsen kommer fra å bruke en kombinasjon av begge typer verktøy.
Inntrengingsdeteksjon mot forebygging
Det er to forskjellige sjangre av verktøy i innbruddsbeskyttelsesverdenen: inntrengingsdeteksjonssystemer og inntrengningsforebyggende systemer. Selv om de tjener et annet formål, er det ofte en viss overlapping mellom de to verktøyene. Som navnet tilsier, vil inntrengingsdeteksjonen oppdage innbruddsforsøk og mistenkelige aktiviteter generelt. Når det gjør det, vil det vanligvis utløse en slags alarm eller varsling. Det er da opp til administratoren å ta de nødvendige skritt for å stoppe eller blokkere dette forsøket.
Systemer for forebygging av inntrenging jobber derimot for å hindre at inntrenging skjer helt. De fleste inntrengningsforebyggende systemer vil inneholde en deteksjonskomponent som vil utløse noe handling hver gang inntrengningsforsøk oppdages. Men inntrengningsforebygging kan også være passiv. Begrepet kan brukes til å referere til alle trinn som er iverksatt for å forhindre inntrenging. Vi kan tenke på tiltak som f.eks. Herding av passord.
De beste verktøyene for deteksjon av gratis inntrenging
Inntrengingsdeteksjonssystemer kan være dyre, veldig dyre. Heldigvis er det ganske mange gratis alternativer der ute. vi har søkt på Internett etter noen av de beste programvareverktøyene for inntrengingsdeteksjon. Vi fant ganske mange, og vi skal kort gjennomgå de beste ti vi kunne finne.
OSSEC, som står for Open Source Security, er det desidert ledende open source-vertsinntrengingsdeteksjonssystemet. OSSEC eies av Trend Micro, et av de ledende navnene innen IT-sikkerhet. Programvaren, når den installeres på Unix-lignende operativsystemer, fokuserer først og fremst på logg- og konfigurasjonsfiler. Den lager sjekkesummer av viktige filer og validerer dem med jevne mellomrom, og varsler deg om noe rart skjer. Den vil også overvåke og fange eventuelle rare forsøk på å få root-tilgang. På Windows holder systemet også øye med uautoriserte registerendringer.
OSSEC, som er et vertsinntrengingsdeteksjonssystem, må installeres på hver datamaskin du vil beskytte. Det vil imidlertid konsolidere informasjon fra hver beskyttet datamaskin i en enkelt konsoll for enklere administrasjon. Programvaren kjører bare på Unix-lignende systemer, men en agent er tilgjengelig for å beskytte Windows-verter. Når systemet oppdager noe, vises et varsel på konsollen, og varsler sendes via e-post.
Akkurat som OSSEC var HIDS med åpen kildekode, Snort er den ledende open source NIDS. Snort er faktisk mer enn et inntrengingsdeteksjonsverktøy. Det er også en pakkesniffer og en pakkelogger. Men det vi er interessert i for nå er Snorts funksjoner for inntrengingsdeteksjon. Noe som en brannmur, er Snort konfigurert ved hjelp av regler. Grunnregler kan lastes ned fra Snort-nettstedet og tilpasses dine spesifikke behov. Du kan også abonnere på Snort-regler for å sikre at du alltid får de nyeste når de utvikler seg når nye trusler blir identifisert.
De grunnleggende Snort-reglene kan oppdage et bredt spekter av hendelser som stealth-port-skanninger, bufferoverløpsangrep, CGI-angrep, SMB-sonder og OS-fingeravtrykk. Hva Snort-installasjonen din oppdager avhenger bare av hvilke regler du har installert. Noen av de grunnleggende reglene som tilbys er signaturbaserte, mens andre er anomali-baserte. Å bruke Snort kan gi deg det beste fra begge verdener
Suricata annonserer seg selv som et inntrengingsdeteksjons- og forebyggingssystem og som et komplett økosystem for overvåkning av nettverkssikkerhet. En av dette verktøyets beste fordeler fremfor Snort er at det fungerer helt opp til applikasjonslaget. Dette lar verktøyet for å oppdage trusler som kan gå upåaktet hen i andre verktøy ved å bli delt over flere pakker.
Men Suricata fungerer ikke bare i applikasjonslaget. Den vil også overvåke protokoll på lavere nivå som TLS, ICMP, TCP og UDP. Verktøyet forstår også protokoller som HTTP, FTP eller SMB og kan oppdage innbruddsforsøk skjult i ellers normale forespørsler. Det er også en filuttrekkingsfunksjon som lar administratorer undersøke mistenkelige filer selv.
Suricata er arkitekturmessig veldig godt laget, og den vil fordele arbeidsmengden over flere prosessorkjerner og tråder for best mulig ytelse. Det kan til og med laste ned noe av behandlingen til grafikkortet. Dette er en flott funksjon på servere, ettersom grafikkortet deres for det meste går på tomgang.
Neste på vår liste er et produkt som heter Bro Network Security Monitor, et annet gratis nettverksinntrengingsdeteksjonssystem. Bro opererer i to faser: trafikklogging og analyse. I likhet med Suricata opererer Bro på applikasjonslaget, noe som muliggjør bedre påvisning av delte innbruddsforsøk. Det virker som om alt kommer i par med Bro og analysemodulen består av to elementer. Den første er hendelsesmotoren som sporer utløsende hendelser som netto TCP-tilkoblinger eller HTTP-forespørsler. Hendelsene blir deretter videre analysert av policy-manus som bestemmer om de skal utløse et varsel eller starte en handling, noe som gjør Bro til en forebygging av inntrenging i tillegg til et deteksjonssystem.
Bro vil la deg spore HTTP-, DNS- og FTP-aktivitet, samt overvåke SNMP-trafikk. Dette er en god ting fordi, mens SNMP ofte brukes til nettverksovervåking, det er ikke en sikker protokoll. Bro lar deg også se på enhetskonfigurasjonsendringer og SNMP-feller. Bro kan installeres på Unix, Linux og OS X, men den er ikke tilgjengelig for Windows, kanskje den viktigste ulempen.
Åpne WIPS NG laget den på listen vår hovedsakelig fordi den er den eneste som spesifikt retter seg mot trådløse nettverk. Open WIPS NG - der WIPS står for Wireless Intrusion Prevention System - er et åpen kildekodeverktøy som består av tre hovedkomponenter. For det første er det sensoren som er en stum enhet som bare fanger trådløs trafikk og sender den til serveren for analyse. Neste er serveren. Denne samlet data fra alle sensorer, analyserer de innsamlede dataene og reagerer på angrep. Det er hjertet i systemet. Sist men ikke minst er grensesnittkomponenten som er GUI som du bruker for å administrere serveren og vise informasjon om trusler på det trådløse nettverket.
Ikke alle liker Open WIPS NG. Produktet er fra den samme utvikleren som Aircrack NG en trådløs pakker sniffer og passord cracker som er en del av hver WiFi-hacker sin verktøysett. På den annen side, gitt sin bakgrunn, kan vi anta at utvikleren vet ganske mye om Wi-Fi-sikkerhet.
Samhain er et gratis vertsinntrengingsdeteksjonssystem som gir filintegritetskontroll og overvåking / analyse av loggfiler. I tillegg utfører produktet også rootkit-deteksjon, portovervåking, deteksjon av useriøse SUID-kjørbare filer og skjulte prosesser. Dette verktøyet er designet for å overvåke flere systemer med forskjellige operativsystemer med sentralisert logging og vedlikehold. Samhain kan imidlertid også brukes som et frittstående program på en enkelt datamaskin. Samhain kan kjøre på POSIX-systemer som Unix Linux eller OS X. Den kan også kjøres på Windows under Cygwin, selv om bare overvåkingsagenten og ikke serveren er testet i den konfigurasjonen.
En av Samhains mest unike funksjoner er stealth-modus som lar den løpe uten å bli oppdaget av eventuelle angripere. Altfor ofte inntrengere dreper deteksjonsprosesser de kjenner igjen, slik at de kan gå upåaktet hen. Samhain bruker steganography for å skjule prosessene sine for andre. Den beskytter også de sentrale loggfilene og konfigurasjonssikkerhetskopiene med en PGP-nøkkel for å forhindre manipulering.
Fail2Ban er et interessant gratis vertsinntrengingsdeteksjonssystem som også har noen forebyggingsfunksjoner. Dette verktøyet fungerer ved å overvåke loggfiler for mistenkelige hendelser som mislykkede påloggingsforsøk, utnyttelse av søk osv. Når den oppdager noe mistenkelig, oppdaterer den automatisk de lokale brannmurreglene for å blokkere kildens IP-adresse til den ondsinnede oppførselen. Dette er verktøyets standardhandling, men alle andre vilkårlige handlinger - for eksempel sende e-postvarsler - kan konfigureres.
Systemet leveres med forskjellige forhåndsbygde filtre for noen av de vanligste tjenestene som Apache, Courrier, SSH, FTP, Postfix og mange flere. Forebygging utføres ved å endre vertens brannmurstabeller. Verktøyet kan fungere med Netfilter, IPtables eller hosts.deny-tabellen til TCP Wrapper. Hvert filter kan knyttes til en eller mange handlinger. Sammen blir filtre og handlinger referert til som et fengsel.
ASSISTENT er et forkortelse for Advanced Intrusion Detection Environment. Det gratis vertsinntrengingsdeteksjonssystemet fokuserer hovedsakelig på rootkit-deteksjon og sammenligning av filsignatur. Når du først installerer AIDE, vil den sammenstille en database med administratordata fra systemets konfigurasjonsfiler. Dette blir deretter brukt som en grunnlinje som enhver endring kan sammenlignes mot og etter hvert rulles tilbake om nødvendig.
AIDE bruker både signaturbasert og anomali-basert analyse som kjøres på forespørsel og ikke planlegges eller kontinuerlig kjører. Dette er faktisk dette produktets viktigste ulempe. AIDE er imidlertid et kommandolinjeverktøy og en CRON-jobb kan opprettes for å kjøre det med jevne mellomrom. Og hvis du kjører det veldig ofte - for eksempel hvert minutt eller så - får du kvasi-sanntidsdata. I kjernen er AIDE ingenting annet enn et data-sammenligningsverktøy. Eksterne skript må lages for å gjøre det til et sant HIDS.
Sikkerhetsløk er et interessant beist som kan spare deg for mye tid. Dette er ikke bare et inntrengingsdeteksjons- eller forebyggingssystem. Security Onion er en komplett Linux-distribusjon med fokus på intrusjonsdeteksjon, bedriftssikkerhetsovervåking og loggstyring. Den inneholder mange verktøy, hvorav noen nettopp har gjennomgått. For eksempel har Security Onion Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner og mer. Alt dette er samlet med en brukervennlig installasjonsveiviser, slik at du kan beskytte organisasjonen din i løpet av få minutter. Du kan tenke på Security Onion som den sveitsiske hærens kniv av enterprise IT-sikkerhet.
Det mest interessante med dette verktøyet er at du får alt i en enkel installasjon. Og du får både nettverks- og vertsinntrengingsdeteksjonsverktøy. Det er verktøy som bruker en signaturbasert tilnærming og noen som er anomalibaserte. Distribusjonen har også en kombinasjon av tekstbaserte og GUI-verktøy. Det er virkelig en utmerket blanding av alt. Ulempen er selvfølgelig at du får så mye at det kan ta en stund å konfigurere det hele. Men du trenger ikke å bruke alle verktøyene. Du kan bare velge de du foretrekker.
Sagan er faktisk mer et logganalysesystem enn et ekte IDS, men det har noen IDS-lignende funksjoner som vi trodde berettiget at det ble tatt med på listen vår. Dette verktøyet kan se de lokale loggene for systemet der det er installert, men det kan også samhandle med andre verktøy. Det kan for eksempel analysere Snorts logger og effektivt legge til noen NIDS-funksjonalitet til det som egentlig er et HIDS. Og det vil ikke bare samhandle med Snort. Det kan samhandle med Suricata også, og det er kompatibelt med flere regelbyggingsverktøy som Oinkmaster eller Pulled Pork.
Sagan har også utførelsesmuligheter for skript som gjør det til et grovt innbruddsforebyggende system. Dette verktøyet kan sannsynligvis ikke brukes som ditt eneste forsvar mot inntrenging, men det vil være en flott komponent i et system som kan innlemme mange verktøy ved å korrelere hendelser fra forskjellige kilder.
Konklusjon
Inntrengingsdeteksjonssystemer er bare ett av mange verktøy tilgjengelig å hjelpe nettverks- og systemadministratorer med å sikre optimal drift av miljøet. Noen av verktøyene som er omtalt her er utmerket, men hvert har et litt annet formål. Den du velger vil i stor grad avhenge av personlig preferanse og spesifikke behov.
Søke
Siste Innlegg
Trojanere for ekstern tilgang (RATS) - Hva er de og hvordan beskytte seg mot dem?
Remote Access Trojan, eller RAT, er en av de skiteste typene malwar...
IBM WebSphere Application Server: Beste overvåkningsverktøy i 2020
Data er kjernen i de fleste organisasjoner i dag. Dette betyr at de...
Beste SFTP- og FTPS-server for Windows og Linux i 2020
Før eller senere må hver nettverksadministrator overføre filer fra ...