Den ultimate guiden til nettverkssikkerhet

Nettverkssikkerhet har blitt et veldig komplisert ansvar de siste årene. Dette er på grunn av bruk av phishing, avanserte vedvarende trusler, doxing og maskering. Disse triksene betyr at ansatte nå har vanskelig for å identifisere om instruksjonene de mottar fra ekstern toppledelse er ekte. I denne typen omgivelser går de tradisjonelle grensene for nettverkssikkerhet utover forebygging av snooping på internett og blokkering av virus med brannmurer. Det må du også nå analysere atferdsmønstre i trafikk og oppdage anomale aktiviteter, selv når de utføres av autoriserte brukere.

Tradisjonelt hadde IT-avdelingen administratorrettigheter som ga noen av støttepersonellene tilgang til alle elementer i bedriftssystemet. Risikoen for utlevering av data er nå høyere. Selv utilsiktede brudd på taushetsplikt kan føre til dyre rettstvister fra de som har personopplysninger på ditt system. Dette nye miljøet krever at du skjerper tilgangsrettighetene og sporer alle aktiviteter for å gjøre det forhindre og logge ondsinnet aktivitet og utilsiktet ødeleggelse.

Heldigvis har moderne nettverksutstyr meldingssystemer innebygd, og du kan utnytte disse informasjonskildene bare ved å installere samleragenter og analyseprogramvare. De nettverkssikkerhetsmarked tilbyr flere kategorier skjermer som vil hjelpe deg å beskytte selskapet ditt mot datatyveri og annen ondsinnet aktivitet.

I denne guiden vil vi se på følgende kategorier av nettverksadministrasjonsprogramvare:

• Trafikkanalysatorer
• Loggledere
• Sårbarhetsskannere
• Konfigurasjonsledere
• Nettverksmonitorer
• Inntrengingsdeteksjons- og innbruddsforebyggende systemer

Her er listen over den beste nettverkssikkerhetsprogramvaren:

• SolarWinds Network Performance Monitor
• WhatsUp Gold
• TrueSight Network Automation / Network Vulnerability Management
• OSSEC
• Sagan
• Paessler PRTG

Du kan lese flere detaljer om hvert av disse alternativene i den neste delen av denne guiden.

Nettverkssikkerhetsprogramvarealternativer

Anbefalingene i denne listen inkluderer en rekke omfattende nettverksadministrasjonsverktøy som vil tjene som generelle nettverksytelsesovervåker, så vel som spesifikt spore sikkerhetsproblemer for du. De tre hovedverktøyene på listen er SolarWinds Network Performance Monitor, WhatsUp Gold og Paessler PRTG. Hver av disse pakkene kan utvides til å omfatte et bredt spekter av ekstrafunksjoner. Arkitekturen til disse verktøyene lar deg også begrense funksjonaliteten deres til å fokusere på bare en oppgave, for eksempel sikkerhetsovervåking. OSSEC og Sagan er høyt ansett spesialiserte inntrengingsdeteksjonssystemer og TrueSight-pakken inkluderer en fin blanding av nettverksbeskyttelsesfunksjoner.

Denne listen inkluderer alternativer som er egnet for små, mellomstore og store nettverk.

De Network Performance manager er det viktigste verktøyet som tilbys av SolarWinds. Den sporer helsen til nettverksenheter ved bruk av Simple Network Management Protocol-meldinger. Alt nettverksutstyr leveres med SNMP-funksjoner, så du trenger bare å installere en SNMP-manager, for eksempel dette SolarWinds-verktøyet for å dra nytte av informasjonen som SNMP gir.

Last ned en gratis prøveperiode på https://www.solarwinds.com/network-performance-monitor/

Verktøyet inneholder et autodiscovery og kartleggingsverktøy, som lager en oversikt over nettverksutstyret ditt. Funnfunksjonen kjører kontinuerlig og vil se nye enheter lagt til nettverket. Dette er en nyttig assistent for intrusjonsdeteksjon fordi maskinvareinvasjoner er en form for inntrenging. De dype pakkekontrollfunksjonene til Network Performance Monitor vil også hjelpe deg beskytt nettverket ditt ved å fremheve og spore anomal atferd i trafikkmønstre og bruker aktivitet.

SolarWinds tilbyr en rekke andre nettverksadministrasjonsverktøy som vil forbedre mulighetene til Network Performance Monitor med hensyn til sikkerhetsovervåking. EN NetFlow Traffic Analyzer undersøker trafikkstrømmer rundt nettverket ditt og inkluderer sikkerhetsovervåkingsfunksjoner. Dette inkluderer sporing av misdannet og potensielt skadelig trafikk til nettverksport 0. I tillegg til overvåkningsfunksjonene, hjelper trafikkvisualiseringene og avviksvarslene deg med å oppdage uvanlig aktivitet.

Instrumentpanelet til dette verktøyet inkluderer en god visualisering av live data, og det er også i stand til å lagre pakkedata for historisk analyse. Verktøyet har en rekke alternativer for pakkefangst, som inkluderer prøvetakingsmetoder som reduserer datamengden du trenger å lagre for analyse. Hvis du ikke har budsjettet for SolarWinds Network Performance Monitor og NetFlow Traffic Analyzer, kan du prøve den gratis Båndbreddemåler i sanntid. Imidlertid har dette verktøyet ikke mange funksjoner og vil bare være egnet for små nettverk.

Du får større innsikt i brukeraktiviteter hvis du legger til på Brukerenhetssporing. Dette lar deg spore brukeraktivitet, og det holder også øye med bytte av porthendelser, inkludert forsøk fra hackere til å skanne porter. Verktøyet kan også stenge portene og selektivt blokkere brukere i tilfelle intrusjonsdeteksjon.

Ekstra funksjoner i SolarWinds-stallen kan legges til monitoren fordi selskapet skapte en felles plattform for alle de viktigste verktøyene som muliggjør datadeling og tverrfaglige moduler. De Network Configuration Manager ville være et godt valg for sikkerhetsproblemer fordi det kontrollerer innstillingene til nettverksutstyret ditt. Den vil også se etter firmwareoppdateringer og installere dem for deg - å holde seg oppdatert med operativsystemer og all programvare er en viktig sikkerhetsoppgave for IT-systemer.

SolarWinds tilbyr en rekke gratis verktøy som hjelper deg med å kontrollere sikkerheten til nettverket ditt. Disse inkluderer Solar-PuTTY pakke. Dette er ikke bare en sikker terminalemulator som lar deg få tilgang til eksterne servere sikkert. Det inkluderer også en SFTP-implementering, som du kan bruke til å sikkerhetskopiere og distribuere enhetskonfigurasjonsbilder. Dette vil være et billig alternativ til Network Configuration Manager hvis du har et lite nettverk og et veldig stramt budsjett.

De Kiwi syslog server er et annet nyttig SolarWinds sikkerhetsverktøy som små organisasjoner kan bruke gratis. Du trenger ikke å betale for dette verktøyet hvis du bare overvåker opptil fem enheter. Verktøyet er også egnet for større nettverk, men for det må du betale. Loggbehandleren samler og lagrer også SNMP-meldinger, og du kan angi varsler på volumene av meldingstyper. Dette er en veldig nyttig funksjon hvis du ikke har en SNMP-basert nettverksadministrator. Varslene vil fremheve volumangrep og brute-force passordsprekker. Uvanlig kraftig økning i trafikk og mistenkelig brukeraktivitet kan også oppdages av dette loggstyringsverktøyet.

2. WhatsUp Gold

WhatsUp Gold er en utfordrer til SolarWinds Network Performance Monitor. Den er produsert av Ipswitch, som også tilbyr en rekke tilleggsmoduler som forbedrer sikkerhetsovervåkingsfunksjonene til WhatsUp Gold. Denne nettverksmonitoren vil fremheve uvanlig atferd ved å overvåke brytere og rutere med SNMP-meldingssystemet. Endelig lar konsollen deg konfigurere dine egne tilpassede varsler som vil gi deg advarsler om trafikkstøt og ulogisk brukeraktivitet.

Varsler vises i dashbordet til systemet, og du kan også nominere for å få dem sendt som e-post eller SMS-varsler. Det er mulig å rette forskjellige varsler til forskjellige teammedlemmer i henhold til meldingskilde og alvorlighetsgrad. Et gratis ledsagerverktøy, WhatsUp Syslog Server forbedrer informasjonen du kan få ut av systemmeldinger, og oppretter også tilpassede varsler. Syslog-meldinger kan vises i konsollen, videresendes til andre applikasjoner og lagres i filer. Serveren vil administrere syslog-filene dine i et logisk katalogtre for å gjøre spesifikke meldinger enklere å hente. Arkiverte meldinger kan leses tilbake i dashbordet for analyse. I tillegg til dette lar grensesnittet deg sortere og filtrere meldinger slik at du kan identifisere atferdsmønstre og i tillegg se anomal atferd.

WhatsUp Gold ledsages av en rekke betalte forbedringer som vil forbedre sikkerhetsovervåkingskraften din. Du bør vurdere å legge til på Network Traffic Management modul for å få informasjon om datastrøm på nettverket ditt. Den viktigste WhatsUp Gold-pakken fokuserer på statusene til enheter, og Traffic Management-modulen samler informasjon om datastrøm. Modulen inkluderer trafikkmerkingsfunksjoner for QoS-implementeringer. Den kan dele trafikkvolumrapportering etter kilde- og destinasjonsenhet, etter kilde og destinasjonsland og domene, etter samtale, applikasjon, protokoll eller portnummer. Denne detaljene vil hjelpe deg med å spore uvanlig aktivitet, og du vil til og med kunne blokkere visse applikasjoner, for eksempel filoverføringsverktøy i tilfelle en nødsituasjon.

De Network Configuration Management modulen hjelper deg med å kontrollere eventuelle endringer i innstillingene til nettverksenhetene dine. Uautoriserte endringer i enhetsinnstillinger er ofte et forspill til inntrenging og avanserte vedvarende trusler. Dette er fordi hackere kan åpne porter og deretter blokkere rapporteringsfunksjoner som indikerer uautoriserte aktiviteter. Du må lage en policy for hver enhetstype, lage og modell og lage en standardinnstillingsprofil for hver gruppe. WhatsUp Network Configuration Management-tillegget lar deg distribuere disse standardkonfigurasjonsbildene, ta sikkerhetskopier av godkjente konfigurasjoner og til slutt rullering til standardinnstillingene hvis det skulle være endringer i konfigurasjonen detektert.

WhatsUp Gold-betalte verktøy kan nås gratis i 30 dager. All WhatsUp Gold-programvare installeres i Windows-miljøet.

3. TrueSight Network Automation / Network Vulnerability Management

Disse to produktene fra BMC Software kombineres for å lage en virkelig omfattende sikkerhetsverktøysett. Network Automation-verktøyet vil overvåke nettverket ditt etter at du først har oppdaget alt utstyret ditt, logget det og kartlagt det. Konfigurasjonsadministrasjonsmodulen til Network Automation-pakken er den virkelig imponerende funksjonen i dette nettverksovervåkingssystemet. Den integrerer maler, eller "policyer", som automatisk implementerer sikkerhetsstandarder. Det er en policy for hver av de velkjente standardene: NIST, HIPAA, PCI, CIS, DISA, SOX og SCAP. Så hvis du har forpliktet deg til å overholde et av disse dataintegritetssystemene, vil Network Automation-verktøyet til og med håndheve det for deg.

Konfigurasjonsbehandleren i TrueSight Network Automation vil justere konfigurasjonen for hver nettverksenhet slik at den overholder den valgte policyen. Den vil deretter sikkerhetskopiere den konfigurasjonen og monitoren for eventuelle endringer i enhetens innstillinger. Hvis det gjøres endringer som tar enheten ut av å overholde retningslinjene, vil konfigurasjonsbehandleren laste inn den sikkerhetskopierte konfigurasjonsfilen på nytt. Denne handlingen har effekten av å utslette de uautoriserte endringene. Network Automation-systemet er også en patch manager. Den vil holde kontakt med varslingssystemene til produsentene av utstyr for oppdateringer og firmware. Når en patch er tilgjengelig, vil verktøyet varsle deg, og til og med rulle ut disse oppdateringene til nettverksenhetene dine.

Verktøyet Network Vulnerability Management skanner alle enheter etter sårbarheter. Systemet er avhengig av kontroller med leverandørvarsler og NIST National Vulnerability Database for å registrere kjente svakheter i nettverksutstyret og serverne du opererer. Endelig vil verktøyet oppdatere programvare for å blokkere utnyttelser og følge med på ytelsen til enheter og servere.

4. OSSEC

OSSEC står for Open Source HIDS Security. Et HIDS-system er et vertsbasert intrusjonsdeteksjonssystem. Inntrengingsdeteksjon har blitt en viktig spesialisering i en verden av nettverkssikkerhet, og du trenger virkelig å installere en IDS som en del av sikkerhetspakken.

De to store egenskapene til OSSEC er at det er den ledende HIDS som er tilgjengelig og at den er helt gratis å bruke. Produktet eies og støttes av den kjente produsenten av sikkerhetsprogramvare, Trend Micro. HIDS-metodologier er avhengige av håndtering av loggfiler. Korrekt avhør av loggfilene dine bør avsløre handlinger fra hackere for å utforske systemet ditt og stjele data og ressurser. Dette er grunnen til at hackere alltid endrer loggfiler. OSSEC oppretter et sjekkesum for hver loggfil, slik at den kan oppdage manipulering. Verktøyet overvåker loggfiler som registrerer filoverføringer, brannmur og antivirusaktivitet, hendelseslogger, post- og webserverlogger. Du må sette opp retningslinjer som dikterer handlingene til verktøyet. Disse retningslinjene kan skrives i hus, eller du kan til og med skaffe dem fra OSSEC-samfunnet. Politikken dikterer forholdene som OSSEC skal overvåke, og den vil generere et varsel hvis en av de overvåkte loggene viser uautorisert aktivitet. Disse varslene kan sendes til grensesnittet eller sendes som e-postvarsler.

Hvis du installerer systemet på Windows, vil det overvåke registeret for uautoriserte endringer. På Unix-lignende systemer vil den spore tilgangen til root-kontoen. OSSEC kjører på Windows, Linux, Mac OS og Unix.

OSSEC er et flott datainnsamlingsverktøy, men frontenden er et eget produkt og støttes ikke lenger. Siden dette HIDS er så godt respektert, har en rekke programvareleverandører laget grensesnitt som er kompatible med OSSEC-dataformatene. Mange av disse er gratis. Så du vil installere OSSEC, pluss en frontend fra en annen kilde for datavisning og analyse. Sjekk ut Kibana eller Splunk for denne funksjonen.

5. Sagan

Sagan er en gratis loggfilbehandler. Den har mange funksjoner som gjør det til et godt vertsbasert inntrengingsdeteksjonssystem. Sagan er også i stand til å analysere data samlet inn av nettverksbaserte inntrengingsdeteksjonssystemer. En NIDS samler inn trafikkdata gjennom en pakkesniffer. Sagan har ikke en pakkesniffer, men den kan lese i trafikkdata samlet inn av Snort, bro, og Suricata - som alle er gratis å bruke. Så du får en blanding av både HIDS og NIDS sikkerhetsaktiviteter med Sagan.

Du kan installere Sagan på Unix, Linux og Mac OS. Dessverre er det ingen versjon for Windows. Selv om den ikke har tilgang til datamaskiner som bruker Windows-operativsystemet, kan den behandle Windows-hendelsesloggmeldinger. Behandlingsmetodene til Sagan distribuerer belastningen over flere servere eller annet utstyr i nettverket ditt som har en prosessor. Dette letter behandlingsbyrden for hvert utstyr.

Verktøyet inneholder funksjoner som gjør det til et inntrengningsforebyggende system (IPS). Når Sagan oppdager anormal oppførsel, kan den skrive til brannmurstabellene dine for å forby bestemte IP-adresser fra nettverket enten permanent eller midlertidig. Dette er en flott assistent for nettverkssikkerhet fordi den implementerer IP-forbud automatisk og holder systemet tilgjengelig for ekte brukere. Sagan vil samtidig generere et varsel for å informere deg om inntrengingen. Forebyggingstiltakene trenger ikke å bli implementert hvis du bare vil bruke Sagan som IDS.

For rapporteringsformål har Sagan en fin funksjon, som sporer mistenkelige IP-adresser til deres beliggenhet. Dette kan være et veldig nyttig verktøy for å spore hackere som sykler angrepene sine gjennom flere forskjellige adresser for å prøve å unngå deteksjon. Sagan lar deg samle nettverksaktivitet etter IP-adresseplass for kilde, og dermed forene alle handlingene til en feilaktig bruker flere adresser.

6. Paessler PRTG

Paessler PRTG er et veldig stort overvåkingssystem som implementeres av en serie sensorer. Hver sensor overvåker ett attributt for et nettverk. Du kan redusere omfanget av overvåkningsverktøyet for bare å fokusere på ett aspekt av infrastrukturen din av sensorene du velger å aktivere. Hele systemet vil overvåke nettverksenheter, nettverkstrafikk, applikasjoner og servere. Paessler gjorde dette til et rent overvåkningsverktøy, så det har ikke noen administrasjonsfunksjoner, for eksempel konfigurasjonsadministrasjon.

En av sensorene i PRTG er Syslog-mottakeren. Denne samler inn syslog-meldinger og setter dem inn i en database. Når disse meldingene er lagret, kan de sorteres, skrives ut til filer eller til og med vurderes som utløsende hendelser som kan ha automatiserte handlinger tilknyttet dem.

Sikkerhetsovervåkingsfunksjonene til PRTG inkluderer et dypt pakkeinspeksjonsanlegg som kalles "pakkesniffer-sensor." Dette vil ta en prøve på nettverkstrafikkens pakker og lagre dem i en fil. Når du har fanget nok data, kan du analysere trafikk i PRTG-dashbordet. Dette anlegget lar deg målrette trafikk på nett, post og filoverføring med dette verktøyet, så det er en god hjelpemiddel for å overvåke brukeraktivitet og også for å beskytte en webserver mot angrep. Brannmurskjermen holder oversikt over angrepshendelser og varsler deg om dem gjennom varsler. Verktøyet vil også jevnlig sjekke med brannmurleverandøren din for oppdateringer og oppdateringer for programvaren, laste dem ned og installere dem for deg. Dette sikrer at du har de siste løsningene for nylig oppdagede sikkerhetssvakheter.

PRTG-systemet installeres på Windows. Alternativt kan du velge å få tilgang til tjenesten online. Uansett kan du bruke den gratis hvis du bare aktiverer opptil 100 sensorer. Du kan også få en 30-gratis prøveversjon av Paessler PRTG med ubegrensede sensorer inkludert.

Verktøy for nettverkssikkerhet

Det er mange forskjellige typer spesialiserte nettverkssikkerhetsverktøy tilgjengelig, og du må gjøre det installer flere for å holde dataene og ressursene til selskapet ditt fritt for tyveri, skade og utnyttelse.

Du vil legge merke til fra forklaringene på programvare i vår liste over anbefalte verktøy at mange av dem er gratis. De betalte verktøyene har ofte gratis versjon eller prøveperioder, så du mister ingenting ved å prøve ut hvert av dem.

Noen av disse verktøyene fungerer på Windows og andre fungerer på Linux og Unix. Så hvis du bare har ett operativsystem på vertene i ditt selskap, vil valget av sikkerhetsverktøy bli innsnevret for deg. Størrelsen på nettverket ditt er en annen påvirkningsfaktor som vil lede deg til å velge et spesifikt verktøy.

Har du et favorittverktøy for nettverkssikkerhet? Har du prøvd noe av programvaren på listen vår? Legg igjen en melding i kommentarfeltet nedenfor for å dele opplevelsen din med fellesskapet.