Sistemas de detecção de intrusão baseados em rede: 5 melhores ferramentas de NIDS a serem usadas
Parece que todo mundo hoje em dia está preocupado com segurança. Faz sentido quando se considera a importância da cibercriminalidade. As organizações são alvo de hackers que tentam roubar seus dados ou causar-lhes outros danos. Uma maneira de proteger seu ambiente de TI contra esses ataques é através do uso das ferramentas e sistemas corretos. Freqüentemente, a primeira linha de defesa está no perímetro da rede na forma de sistemas de detecção de intrusão baseados em rede ou NIDS. Esses sistemas analisam o tráfego vindo da sua rede da Internet para detectar qualquer atividade suspeita e alertá-lo imediatamente. Os NIDS são tão populares e muitos deles estão disponíveis. Encontrar o melhor para suas necessidades pode ser um empreendimento desafiador. Para ajudá-lo, reunimos esta lista dos melhores sistemas de detecção de intrusão baseados em rede.
Começaremos nossa jornada analisando os diferentes tipos de sistema de detecção de intrusões. Essencialmente, existem dois tipos: baseado em rede e baseado em host. Vamos explicar as diferenças deles. Os sistemas de detecção de intrusão também diferem no método de detecção usado. Alguns deles usam uma abordagem baseada em assinaturas, enquanto outros confiam na análise comportamental. As melhores ferramentas usam uma combinação dos dois métodos de detecção. O mercado está saturado com os sistemas de detecção e prevenção de invasões. Vamos explorar como elas diferem e como são semelhantes, pois é importante entender a distinção. Por fim, analisaremos os melhores sistemas de detecção de intrusão baseados em rede e apresentaremos os recursos mais importantes.
Detecção de intrusão baseada em rede x host
Os sistemas de detecção de intrusão são de um dos dois tipos. Ambos compartilham um objetivo idêntico - detectar rapidamente tentativas de invasão ou atividades suspeitas que potencialmente levem a tentativas de intrusão - mas diferem no local do ponto de execução que se refere ao local onde a detecção é realizada. Cada tipo de ferramenta de detecção de intrusões tem vantagens e desvantagens. Não existe um consenso real sobre qual deles é preferível. Alguns juram por um tipo, enquanto outros só confiam no outro. Ambos provavelmente estão certos. A melhor solução - ou a mais segura - é provavelmente aquela que combina os dois tipos.
Sistemas de detecção de intrusão de rede (NIDS)
O primeiro tipo de sistema de detecção de intrusão é chamado de sistema de detecção de intrusão de rede ou NIDS. Esses sistemas funcionam na fronteira da rede para impor a detecção. Eles interceptam e examinam o tráfego de rede, procurando atividades suspeitas que possam indicar uma tentativa de invasão e também procurando padrões conhecidos. Os invasores geralmente tentam explorar vulnerabilidades conhecidas de vários sistemas, por exemplo, enviando pacotes malformados aos hosts, fazendo-os reagir de uma maneira específica que permite que eles sejam violados. Um sistema de detecção de intrusões de rede provavelmente detectará esse tipo de tentativa de invasão.
Alguns argumentam que os sistemas de detecção de intrusão de rede são melhores do que seus equivalentes baseados em host, pois podem detectar ataques mesmo antes de chegarem aos seus sistemas. Alguns também tendem a preferi-los porque não precisam instalar nada em cada host para protegê-los efetivamente. Por outro lado, eles fornecem pouca proteção contra ataques internos, que infelizmente não são incomuns. Para ser detectada, a tentativa de invasão de um invasor deve passar pelo NIDS, o que raramente ocorre quando é originário de dentro. Qualquer tecnologia tem prós e contras e, no caso específico de detecção de intrusões, nada impede você de usar os dois tipos de ferramentas para a proteção máxima.
Sistemas de detecção de intrusão de host (HIDS)
Os sistemas de detecção de intrusão de host (HIDS) operam no nível do host; você deve ter adivinhado isso pelo nome deles. Eles irão, por exemplo, monitorar vários arquivos de registro e diários em busca de sinais de atividades suspeitas. Outra maneira de detectar tentativas de invasão é verificar os arquivos de configuração do sistema em busca de alterações não autorizadas. Eles também podem examinar esses mesmos arquivos para padrões específicos de invasão conhecidos. Por exemplo, um método de intrusão específico pode funcionar, adicionando um determinado parâmetro a um arquivo de configuração específico. Um bom sistema de detecção de intrusões baseado em host capturaria isso.
Embora o nome deles possa levar você a pensar que todos os HIDS estão instalados diretamente no dispositivo que eles devem proteger, não é necessariamente o caso. Alguns precisarão ser instalados em todos os seus computadores, enquanto outros exigirão apenas a instalação de um agente local. Alguns até fazem todo o trabalho remotamente sem agente. Não importa como eles operem, a maioria dos HIDS possui um console centralizado, onde você pode controlar todas as instâncias do aplicativo e visualizar todos os resultados.
Métodos de detecção de intrusão
Os sistemas de detecção de intrusão não diferem apenas pelo ponto de execução, mas também pelo método usado para detectar tentativas de invasão. Alguns são baseados em assinaturas, enquanto outros são baseados em anomalias. Os primeiros trabalham analisando dados para padrões específicos que foram associados a tentativas de invasão. Isso é semelhante aos sistemas tradicionais de proteção contra vírus, que dependem das definições de vírus. A detecção de intrusão baseada em assinatura depende de assinaturas ou padrões de intrusão. Eles comparam dados capturados com assinaturas de invasão para identificar tentativas de invasão. Obviamente, eles não funcionarão até que a assinatura apropriada seja carregada no software, o que às vezes pode acontecer apenas após um certo número de máquinas foi atacado e os editores de assinaturas de intrusão tiveram tempo para publicar novas atualizações pacotes. Alguns fornecedores são bastante rápidos, enquanto outros só podem reagir dias depois. Essa é a principal desvantagem desse método de detecção.
A detecção de intrusões com base em anomalias fornece melhor proteção contra ataques de dia zero, aqueles que ocorrem antes que qualquer software de detecção de intrusões tenha a chance de adquirir o arquivo de assinatura adequado. Eles procuram anomalias em vez de tentar reconhecer padrões de intrusão conhecidos. Por exemplo, alguém tentando acessar um sistema com uma senha errada várias vezes seguidas acionaria um alerta, pois esse é um sinal comum de um ataque de força bruta. Esses sistemas podem detectar rapidamente qualquer atividade suspeita na rede. Cada método de detecção tem vantagens e desvantagens e, assim como nos dois tipos de ferramentas, as melhores são provavelmente as que utilizam uma combinação de análise de assinatura e comportamento.
Detecção ou prevenção?
Algumas pessoas tendem a ficar confusas entre os sistemas de detecção e prevenção de invasões. Embora estejam intimamente relacionados, eles não são idênticos, embora exista alguma sobreposição de funcionalidade entre os dois. Como o nome sugere, os sistemas de detecção de intrusão detectam tentativas de invasão e atividades suspeitas. Quando detectam algo, normalmente acionam alguma forma de alerta ou notificação. Cabe aos administradores tomar as medidas necessárias para interromper ou bloquear a tentativa de invasão.
Os Sistemas de Prevenção de Intrusões (IPS) vão um passo além e podem impedir que as intrusões aconteçam completamente. Os sistemas de prevenção de intrusões incluem um componente de detecção - que é funcionalmente equivalente a um sistema de intrusão Sistema de detecção - que acionará alguma ação corretiva automática sempre que uma tentativa de invasão for detectada. Nenhuma intervenção humana é necessária para interromper a tentativa de invasão. A prevenção de intrusões também pode se referir a qualquer coisa que seja feita ou implementada como forma de impedir invasões. Por exemplo, o fortalecimento de senha ou o bloqueio de invasores podem ser considerados medidas de prevenção contra invasões.
As melhores ferramentas de detecção de intrusão de rede
Pesquisamos no mercado os melhores sistemas de detecção de intrusão baseados em rede. Nossa lista contém uma mistura de verdadeiros sistemas de detecção de intrusões baseados em host e outros softwares que possuem um componente de detecção de intrusões na rede ou que podem ser usados para detectar tentativas de invasão. Cada uma das nossas ferramentas recomendadas pode ajudar a detectar tentativas de invasão na sua rede.
SolarWinds é um nome comum no campo das ferramentas de administração de rede. A empresa existe há 20 anos e nos trouxe algumas das melhores ferramentas de administração de redes e sistemas. Seu principal produto, o Network Performance Monitor, pontua consistentemente entre as principais ferramentas de monitoramento de largura de banda da rede. O SolarWinds também oferece excelentes ferramentas gratuitas, cada uma abordando uma necessidade específica de administradores de rede. O Kiwi Syslog Server e a Calculadora de sub-rede avançada são dois bons exemplos disso.
Para detecção de intrusão baseada em rede, a SolarWinds oferece o Monitor de ameaças - Edição de operações de TI. Ao contrário da maioria das outras ferramentas SolarWinds, este é um serviço baseado em nuvem, e não um software instalado localmente. Você simplesmente assina, configura e começa a observar seu ambiente em busca de invasões e mais alguns tipos de ameaças. o Monitor de ameaças - Edição de operações de TI combina várias ferramentas. Possui detecção de intrusão baseada em rede e host, além de centralização e correlação de log, além de gerenciamento de informações e eventos de segurança (SIEM). É um conjunto de monitoramento de ameaças muito completo.
- DEMO GRÁTIS: Monitor de ameaças SolarWinds - Edição IT Ops
- Link para download oficial: https://www.solarwinds.com/threat-monitor/registration
o Monitor de ameaças - Edição de operações de TI está sempre atualizado, recebendo constantemente informações atualizadas sobre ameaças de várias fontes, incluindo bancos de dados de reputação de IP e domínio. Ele observa ameaças conhecidas e desconhecidas. A ferramenta apresenta respostas inteligentes e automatizadas para remediar rapidamente incidentes de segurança, oferecendo alguns recursos semelhantes a prevenção de intrusões.
Os recursos de alerta do produto são bastante impressionantes. Existem alarmes multicondicionais e correlacionados que funcionam em conjunto com o mecanismo de resposta ativa da ferramenta e ajudam a identificar e resumir eventos importantes. O sistema de relatórios é tão bom quanto seus alertas e pode ser usado para demonstrar conformidade usando modelos de relatório pré-criados existentes. Como alternativa, você pode criar relatórios personalizados para atender com precisão às suas necessidades de negócios.
Preços para o Monitor de ameaças SolarWinds - Edição IT Ops comece em US $ 4 500 para até 25 nós com 10 dias de índice. Você pode entrar em contato com a SolarWinds para obter uma cotação detalhada adaptada às suas necessidades específicas. E se você preferir ver o produto em ação, você pode solicitar uma demonstração gratuita da SolarWinds.
2. Snort
Snort é certamente o NIDS de código aberto mais conhecido. Mas Snort é realmente mais do que uma ferramenta de detecção de intrusões. É também um farejador de pacotes e um registrador de pacotes, além de incluir algumas outras funções. Por enquanto, vamos nos concentrar nos recursos de detecção de intrusão da ferramenta, pois este é o assunto desta postagem. A configuração do produto lembra a configuração de um firewall. É configurado usando regras. Você pode baixar regras básicas a partir do Snort site e use-os como estão ou personalize-os de acordo com suas necessidades específicas. Você também pode assinar Snort regras para obter automaticamente todas as regras mais recentes à medida que evoluem ou à medida que novas ameaças são descobertas.
Ordenar é muito completo e até mesmo suas regras básicas podem detectar uma grande variedade de eventos, como verificações de portas furtivas, ataques de estouro de buffer, ataques de CGI, análises de SMB e impressões digitais do SO. Praticamente não há limite para o que você pode detectar com esta ferramenta e o que ela detecta depende exclusivamente do conjunto de regras que você instala. Quanto aos métodos de detecção, algumas das regras básicas do Snort são baseadas em assinaturas, enquanto outras são baseadas em anomalias. O Snort pode, portanto, dar o melhor dos dois mundos.
3. Suricata
Suricata não é apenas um sistema de detecção de intrusões. Ele também possui alguns recursos de prevenção de intrusões. De fato, é anunciado como um ecossistema completo de monitoramento de segurança de rede. Um dos melhores ativos da ferramenta é como ela funciona até a camada do aplicativo. Isso o torna um sistema híbrido baseado em rede e host que permite que a ferramenta detecte ameaças que provavelmente passariam despercebidas por outras ferramentas.
Suricata é um verdadeiro sistema de detecção de intrusões baseado em rede e não funciona apenas na camada de aplicativos. Ele monitorará os protocolos de rede de nível inferior, como TLS, ICMP, TCP e UDP. A ferramenta também compreende e decodifica protocolos de nível superior, como HTTP, FTP ou SMB, e pode detectar tentativas de invasão ocultas em solicitações normais. A ferramenta também possui recursos de extração de arquivos, permitindo que os administradores examinem qualquer arquivo suspeito.
SuricataA arquitetura de aplicativos da empresa é bastante inovadora. A ferramenta distribuirá sua carga de trabalho por vários núcleos e threads de processador para obter o melhor desempenho. Se necessário, ele pode até descarregar parte de seu processamento na placa de vídeo. Esse é um ótimo recurso ao usar a ferramenta em servidores, pois sua placa gráfica geralmente é subutilizada.
4. Mano Monitor de segurança de rede
o Monitor de segurança de rede Bro, outro sistema gratuito de detecção de intrusões de rede. A ferramenta opera em duas fases: registro de tráfego e análise de tráfego. Assim como Suricata, Monitor de segurança de rede Bro opera em várias camadas na camada de aplicação. Isso permite uma melhor detecção de tentativas de invasão divididas. o Monitor de segurança de rede BroO módulo de análise é composto por dois elementos. O primeiro elemento é chamado de mecanismo de eventos e rastreia eventos acionadores, como conexões TCP líquidas ou solicitações HTTP. Os eventos são então analisados por scripts de política, o segundo elemento, que decide se deve ou não acionar um alarme e / ou iniciar uma ação. A possibilidade de iniciar uma ação dá ao Monitor de segurança de rede Bro algumas funcionalidades do tipo IPS.
o Monitor de segurança de rede Bro permitirá rastrear as atividades HTTP, DNS e FTP e também monitorará o tráfego SNMP. Isso é bom porque o SNMP é frequentemente usado para monitoramento de rede, mas não é um protocolo seguro. E, como também pode ser usado para modificar configurações, pode ser explorado por usuários mal-intencionados. A ferramenta também permitirá que você assista alterações na configuração do dispositivo e SNMP Traps. Ele pode ser instalado no Unix, Linux e OS X, mas não está disponível para Windows, o que talvez seja sua principal desvantagem.
5. Cebola de Segurança
É difícil definir o que o Cebola de Segurança é. Não é apenas um sistema de detecção ou prevenção de intrusões. É, na realidade, uma distribuição completa do Linux, com foco na detecção de intrusões, monitoramento de segurança corporativa e gerenciamento de logs. Como tal, pode economizar muito tempo aos administradores. Inclui muitas ferramentas, algumas das quais acabamos de revisar. O Security Onion inclui Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner e muito mais. Para facilitar a configuração, a distribuição é fornecida com um assistente de instalação fácil de usar, permitindo proteger sua organização em questão de minutos. Se tivéssemos que descrever o Cebola de Segurança em uma frase, diríamos que é o canivete suíço da segurança corporativa de TI.
Uma das coisas mais interessantes sobre essa ferramenta é que você obtém tudo em uma instalação simples. Para a detecção de intrusões, a ferramenta fornece ferramentas de detecção de intrusões baseadas em rede e em host. O pacote também combina ferramentas que usam uma abordagem baseada em assinaturas e ferramentas baseadas em anomalias. Além disso, você encontrará uma combinação de ferramentas baseadas em texto e GUI. Existe realmente uma excelente combinação de ferramentas de segurança. Há uma desvantagem principal na cebola de segurança. Com tantas ferramentas incluídas, configurá-las todas pode se tornar uma tarefa considerável. No entanto, você não precisa usar e configurar todas as ferramentas. Você é livre para escolher apenas aqueles que deseja usar. Mesmo se você usar apenas algumas das ferramentas incluídas, provavelmente seria uma opção mais rápida do que instalá-las separadamente.
Pesquisa
Postagens Recentes
Revisão e classificação do ManageEngine OpManager para 2020
Estamos analisando detalhadamente ManageEngine OpManager, uma plata...
Melhores alternativas de MRTG para melhorar o monitoramento da sua rede em 2020
O Multi Router Traffic Grapher, ou MRTG, é o avô de todas as plataf...
Como usar o Nmap na linha de comando no Linux
O Nmap é um poderoso ferramenta de digitalização em rede para Linux...