Melhor Software de Detecção de Intrusão GRÁTIS em 2020

A segurança é um tópico importante e já faz um bom tempo. Muitos anos atrás, os vírus eram as únicas preocupações dos administradores de sistema. Os vírus eram tão comuns que abriram caminho para uma gama impressionante de ferramentas de prevenção de vírus. Atualmente, quase ninguém pensaria em rodar um computador desprotegido. No entanto, a invasão do computador ou o acesso não autorizado a seus dados por usuários mal-intencionados é a "ameaça do dia". As redes se tornaram alvo de inúmeros hackers mal intencionados, que se esforçam ao máximo para obter acesso aos seus dados. Sua melhor defesa contra esses tipos de ameaças é um sistema de detecção ou prevenção de intrusões. Hoje, estamos analisando dez das melhores ferramentas gratuitas de detecção de intrusões.

Antes de começarmos, discutiremos os diferentes métodos de detecção de intrusão que estão em uso. Assim como existem muitas maneiras pelas quais os invasores podem entrar na sua rede, há muitas maneiras - talvez até mais - de detectá-las. Em seguida, discutiremos as duas principais categorias de sistema de detecção de intrusão: detecção de intrusão na rede e detecção de intrusão no host. Antes de continuarmos, explicaremos as diferenças entre a detecção e a prevenção de invasões. E, finalmente, forneceremos uma breve revisão das dez das melhores ferramentas gratuitas de detecção de intrusões que pudemos encontrar.

Métodos de detecção de intrusão

Existem basicamente dois métodos diferentes usados ​​para detectar tentativas de invasão. Pode ser baseado em assinatura ou em anomalia. Vamos ver como eles diferem. A detecção de intrusões com base em assinaturas funciona analisando os dados para padrões específicos que foram associados a tentativas de invasão. É como os sistemas antivírus tradicionais que dependem das definições de vírus. Esses sistemas irão comparar dados com padrões de assinatura de intrusão para identificar tentativas. A principal desvantagem é que eles não funcionam até que a assinatura apropriada seja carregada no software, o que normalmente acontece após um certo número de máquinas ter sido atacado.

A detecção de intrusões com base em anomalias fornece uma melhor proteção contra ataques de dia zero, aqueles que ocorrem antes de qualquer software de detecção de intrusões ter a chance de adquirir o arquivo de assinatura adequado. Em vez de tentar reconhecer padrões de intrusão conhecidos, eles procurarão anomalias. Por exemplo, eles detectariam que alguém tentou acessar um sistema com uma senha errada várias vezes, um sinal comum de um ataque de força bruta. Como você deve ter adivinhado, cada método de detecção tem suas vantagens. É por isso que as melhores ferramentas costumam usar uma combinação de ambas para a melhor proteção.

Dois tipos de sistemas de detecção de intrusão

Assim como existem métodos de detecção diferentes, também existem dois tipos principais de sistemas de detecção de intrusão. Eles diferem principalmente no local em que a detecção de intrusão é realizada, no nível do host ou no nível da rede. Aqui, novamente, cada um tem suas vantagens e a melhor solução - ou a mais segura - é possivelmente usar os dois.

Sistemas de detecção de intrusão de host (HIDS)

O primeiro tipo de sistema de detecção de intrusão opera no nível do host. Poderia, por exemplo, verificar vários arquivos de log em busca de qualquer sinal de atividade suspeita. Também poderia funcionar verificando arquivos de configuração importantes em busca de alterações não autorizadas. Isto é o que o HIDS baseado em anomalia faria. Por outro lado, os sistemas baseados em assinaturas analisariam os mesmos arquivos de log e configuração, mas procurariam padrões de intrusão conhecidos específicos. Por exemplo, um método de intrusão específico pode funcionar, adicionando uma certa sequência a um arquivo de configuração específico que o IDS baseado em assinatura detectaria.

Como você poderia imaginar, o HIDS é instalado diretamente no dispositivo que eles devem proteger, e você precisará instalá-lo em todos os seus computadores. no entanto, a maioria dos sistemas possui um console centralizado no qual você pode controlar cada instância do aplicativo.

Sistemas de detecção de intrusão de rede (NIDS)

Os sistemas de detecção de intrusão de rede, ou NIDS, funcionam na borda da sua rede para impor a detecção. Eles usam métodos semelhantes aos sistemas de detecção de intrusão de host. Obviamente, em vez de procurar arquivos de log e configuração, eles parecem um tráfego de rede, como solicitações de conexão. Sabe-se que alguns métodos de invasão exploram vulnerabilidades enviando pacotes malformados propositadamente aos hosts, fazendo-os reagir de uma maneira específica. Os sistemas de detecção de intrusão de rede podem detectá-los facilmente.

Alguns argumentam que o NIDS é melhor que o HIDS, pois eles detectam ataques antes mesmo de chegarem aos seus computadores. Eles também são melhores porque não exigem que nada seja instalado em cada computador para protegê-los efetivamente. Por outro lado, eles fornecem pouca proteção contra ataques internos, que infelizmente não são incomuns. Esse é outro caso em que a melhor proteção vem do uso de uma combinação dos dois tipos de ferramentas.

Detecção de intrusão versus prevenção

Existem dois gêneros diferentes de ferramentas no mundo da proteção contra invasões: sistemas de detecção de invasões e sistemas de prevenção de invasões. Embora eles sirvam a um propósito diferente, geralmente há alguma sobreposição entre os dois tipos de ferramentas. Como o próprio nome indica, a detecção de intrusão detectará tentativas de invasão e atividades suspeitas em geral. Quando isso acontece, normalmente dispara algum tipo de alarme ou notificação. Cabe ao administrador tomar as medidas necessárias para interromper ou bloquear esta tentativa.

Os sistemas de prevenção de intrusões, por outro lado, trabalham para impedir que as intrusões aconteçam completamente. A maioria dos sistemas de prevenção de intrusões incluirá um componente de detecção que acionará alguma ação sempre que forem detectadas tentativas de invasão. Mas a prevenção de intrusões também pode ser passiva. O termo pode ser usado para se referir a todas as etapas implementadas para evitar invasões. Podemos pensar em medidas como proteção de senha, por exemplo.

As melhores ferramentas gratuitas de detecção de intrusões

Os sistemas de detecção de intrusões podem ser caros, muito caros. Felizmente, existem algumas alternativas gratuitas disponíveis. pesquisamos na Internet algumas das melhores ferramentas de software de detecção de intrusões. Encontramos alguns e estamos prestes a revisar brevemente os dez melhores que pudemos encontrar.

OSSEC, que significa Open Source Security, é de longe o principal sistema de detecção de intrusão de host de código aberto. A OSSEC pertence à Trend Micro, um dos principais nomes em segurança de TI. O software, quando instalado em sistemas operacionais semelhantes ao Unix, concentra-se principalmente em arquivos de log e configuração. Ele cria somas de verificação de arquivos importantes e as valida periodicamente, alertando-o se algo estranho acontecer. Ele também monitora e captura quaisquer tentativas estranhas de obter acesso root. No Windows, o sistema também fica de olho nas modificações não autorizadas no registro.

O OSSEC, sendo um sistema de detecção de intrusão de host, deve ser instalado em cada computador que você deseja proteger. No entanto, consolidará as informações de cada computador protegido em um único console para facilitar o gerenciamento. O software é executado apenas em sistemas Unix-Like, mas um agente está disponível para proteger os hosts do Windows. Quando o sistema detecta algo, um alerta é exibido no console e as notificações são enviadas por email.

Assim como o OSSEC foi o principal HIDS de código aberto, Snort é o principal NIDS de código aberto. O Snort é na verdade mais do que uma ferramenta de detecção de intrusões. É também um farejador de pacotes e um registrador de pacotes. Mas o que nos interessa no momento são os recursos de detecção de intrusão do Snort. Um pouco como um firewall, o Snort é configurado usando regras. As regras básicas podem ser baixadas no site do Snort e personalizadas de acordo com suas necessidades específicas. Você também pode se inscrever nas regras do Snort para garantir que você sempre obtenha as mais recentes à medida que elas evoluem à medida que novas ameaças são identificadas.

As regras básicas do Snort podem detectar uma ampla variedade de eventos, como varreduras de portas furtivas, ataques de estouro de buffer, ataques CGI, análises de SMB e impressões digitais do SO. O que a sua instalação do Snort detecta depende apenas das regras que você instalou. Algumas das regras básicas oferecidas são baseadas em assinaturas, enquanto outras são baseadas em anomalias. Usar o Snort pode oferecer o melhor dos dois mundos

Suricata anuncia-se como um sistema de detecção e prevenção de intrusões e como um ecossistema completo de monitoramento de segurança de rede. Uma das melhores vantagens dessa ferramenta sobre o Snort é que ela funciona até a camada do aplicativo. Isso permite que a ferramenta detecte ameaças que podem passar despercebidas em outras ferramentas, sendo divididas em vários pacotes.

Mas Suricata não funciona apenas na camada de aplicativos. Ele também monitorará o protocolo de nível inferior, como TLS, ICMP, TCP e UDP. A ferramenta também entende protocolos como HTTP, FTP ou SMB e pode detectar tentativas de invasão ocultas em solicitações normais. Há também um recurso de extração de arquivo para permitir que os administradores examinem os arquivos suspeitos.

Em termos de arquitetura, o Suricata é muito bem feito e distribuirá sua carga de trabalho por vários núcleos e threads de processador para obter o melhor desempenho. Ele pode até descarregar parte de seu processamento na placa de vídeo. Esse é um ótimo recurso nos servidores, pois sua placa de vídeo fica ociosa.

O próximo da lista é um produto chamado Monitor de segurança de rede Bro, outro sistema gratuito de detecção de intrusões de rede. Bro opera em duas fases: registro e análise de tráfego. Como Suricata, o Bro opera na camada de aplicação, permitindo uma melhor detecção de tentativas de invasão divididas. Parece que tudo vem em pares com Bro e seu módulo de análise é composto de dois elementos. O primeiro é o mecanismo de eventos que rastreia eventos de acionamento, como conexões TCP líquidas ou solicitações HTTP. Os eventos são analisados ​​posteriormente por scripts de política que decidem se um alerta deve ser acionado ou não e iniciar uma ação, tornando o Bro uma prevenção contra invasões, além de um sistema de detecção.

O Bro permitirá rastrear as atividades HTTP, DNS e FTP, além de monitorar o tráfego SNMP. Isso é bom porque, embora o SNMP seja frequentemente usado para monitoramento de rede, não é um protocolo seguro. Bro também permite que você assista alterações na configuração do dispositivo e armadilhas SNMP. O Bro pode ser instalado no Unix, Linux e OS X, mas não está disponível para Windows, talvez sua principal desvantagem.

Open WIPS NG constava em nossa lista principalmente porque é o único que segmenta especificamente redes sem fio. O WIPS NG aberto - onde WIPS significa Sistema de prevenção de intrusões sem fio - é uma ferramenta de código aberto que compreende três componentes principais. Primeiro, existe o sensor, que é um dispositivo idiota que captura apenas o tráfego sem fio e o envia ao servidor para análise. O próximo é o servidor. Este agrega dados de todos os sensores, analisa os dados coletados e responde a ataques. É o coração do sistema. Por último, mas não menos importante, é o componente da interface, que é a GUI que você usa para gerenciar o servidor e exibir informações sobre ameaças na sua rede sem fio.

Mas nem todo mundo gosta do Open WIPS NG. O produto é do mesmo desenvolvedor que o Aircrack NG, um farejador de pacotes sem fio e quebra de senha que faz parte do kit de ferramentas de todos os hackers de WiFi. Por outro lado, considerando seu histórico, podemos assumir que o desenvolvedor conhece bastante a segurança Wi-Fi.

Samhain é um sistema gratuito de detecção de intrusões de host que fornece verificação de integridade de arquivos e monitoramento / análise de arquivos de log. Além disso, o produto também realiza detecção de rootkits, monitoramento de portas, detecção de executáveis ​​suspeitos de SUID e processos ocultos. Essa ferramenta foi projetada para monitorar vários sistemas com vários sistemas operacionais, com registro e manutenção centralizados. No entanto, o Samhain também pode ser usado como um aplicativo independente em um único computador. O Samhain pode ser executado em sistemas POSIX como Unix Linux ou OS X. Ele também pode ser executado no Windows no Cygwin, embora apenas o agente de monitoramento e não o servidor tenham sido testados nessa configuração.

Um dos recursos mais exclusivos do Samhain é o seu modo furtivo, que permite que ele funcione sem ser detectado por eventuais atacantes. Com muita frequência, os invasores matam os processos de detecção que reconhecem, permitindo que eles passem despercebidos. Samhain usa a esteganografia para esconder seus processos dos outros. Ele também protege seus arquivos de log centrais e backups de configuração com uma chave PGP para evitar violações.

Fail2Ban é um interessante sistema de detecção de intrusão de host gratuito que também possui alguns recursos de prevenção. Essa ferramenta opera monitorando os arquivos de log em busca de eventos suspeitos, como tentativas falhas de login, explorações de buscas etc. Quando detecta algo suspeito, atualiza automaticamente as regras do firewall local para bloquear o endereço IP de origem do comportamento malicioso. Essa é a ação padrão da ferramenta, mas qualquer outra ação arbitrária, como o envio de notificações por email, pode ser configurada.

O sistema vem com vários filtros pré-criados para alguns dos serviços mais comuns, como Apache, Courrier, SSH, FTP, Postfix e muitos mais. A prevenção é realizada modificando as tabelas de firewall do host. A ferramenta pode trabalhar com o Netfilter, IPtables ou a tabela hosts.deny do TCP Wrapper. Cada filtro pode ser associado a uma ou várias ações. Juntos, filtros e ações são chamados de prisão.

AIDE é um acrônimo para Advanced Intrusion Detection Environment. O sistema de detecção de intrusão de host gratuito concentra-se principalmente na detecção de rootkit e comparações de assinatura de arquivo. Quando você instala o AIDE, ele compila um banco de dados de dados de administrador a partir dos arquivos de configuração do sistema. Isso é usado como uma linha de base com a qual qualquer alteração pode ser comparada e, eventualmente, revertida, se necessário.

O AIDE usa análises baseadas em assinaturas e anomalias, que são executadas sob demanda e não agendadas ou continuamente. Essa é a principal desvantagem deste produto. No entanto, o AIDE é uma ferramenta de linha de comando e um trabalho CRON pode ser criado para executá-lo em intervalos regulares. E se você executá-lo com muita frequência, como a cada minuto, você obterá dados em tempo quase real. Na sua essência, o AIDE não passa de uma ferramenta de comparação de dados. Scripts externos devem ser criados para torná-lo um verdadeiro HIDS.

Cebola de Segurança é uma fera interessante que pode economizar muito tempo. Este não é apenas um sistema de detecção ou prevenção de intrusões. O Security Onion é uma distribuição completa do Linux, com foco na detecção de intrusões, monitoramento de segurança corporativa e gerenciamento de logs. Inclui muitas ferramentas, algumas das quais acabamos de revisar. Por exemplo, o Security Onion possui Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, Squert, NetworkMiner e muito mais. Tudo isso é fornecido com um assistente de configuração fácil de usar, permitindo proteger sua organização em questão de minutos. Você pode pensar em Security Onion como o canivete suíço da segurança corporativa de TI.

O mais interessante dessa ferramenta é que você obtém tudo em uma instalação simples. E você obtém as ferramentas de detecção de intrusão na rede e no host. Existem ferramentas que usam uma abordagem baseada em assinaturas e outras baseadas em anomalias. A distribuição também apresenta uma combinação de ferramentas baseadas em texto e GUI. Existe realmente uma excelente mistura de tudo. A desvantagem, é claro, é que você recebe tanto que a configuração de tudo isso pode demorar um pouco. Mas você não precisa usar todas as ferramentas. Você pode escolher apenas aqueles que preferir.

Sagan Na verdade, é mais um sistema de análise de logs do que um IDS verdadeiro, mas possui alguns recursos semelhantes ao IDS que julgávamos justificáveis ​​à sua inclusão em nossa lista. Essa ferramenta pode assistir aos logs locais do sistema em que está instalado, mas também pode interagir com outras ferramentas. Poderia, por exemplo, analisar os logs do Snort, adicionando efetivamente algumas funcionalidades do NIDS ao que é essencialmente um HIDS. E não apenas interage com o Snort. Ele também pode interagir com a Suricata e é compatível com várias ferramentas de criação de regras, como Oinkmaster ou Pulled Pork.

Sagan também possui recursos de execução de script, tornando-o um sistema bruto de prevenção de intrusões. É provável que essa ferramenta não seja usada como sua única defesa contra invasões, mas será um ótimo componente de um sistema que pode incorporar muitas ferramentas correlacionando eventos de diferentes fontes.

Conclusão

Os sistemas de detecção de intrusão são apenas um dos muitos ferramentas disponíveis auxiliar os administradores de rede e sistema a garantir a operação ideal de seu ambiente. Qualquer uma das ferramentas discutidas aqui é excelente, mas cada uma tem uma finalidade ligeiramente diferente. O que você escolher dependerá em grande parte da preferência pessoal e das necessidades específicas.