Najlepší bezplatný softvér na detekciu narušenia v roku 2020

Bezpečnosť je horúca téma a je už dosť dlho. Pred mnohými rokmi boli vírusmi jedinými problémami správcov systému. Vírusy boli také časté, že viedli cestu k ohromujúcemu rozsahu nástrojov na prevenciu vírusov. V súčasnosti by sotva niekto myslel na spustenie nechráneného počítača. Vniknutie do počítača alebo neoprávnený prístup k vašim údajom zo strany škodlivých používateľov je však „hrozbou du jour“. Siete sa stali terčom mnohých hackerov s nesprávnym úmyslom, ktorých prístup k vašim údajom sa zvýši. Najlepšou obranou proti týmto typom hrozieb je systém detekcie alebo prevencie narušenia. Dnes preskúmavame desať najlepších bezplatných nástrojov na detekciu narušenia.

Skôr ako začneme, najprv sa porozprávame o rôznych metódach detekcie narušenia, ktoré sa používajú. Rovnako ako existuje veľa spôsobov, ako môžu votrelci vstúpiť do vašej siete, existuje ich toľko spôsobov, možno ešte viac, ich odhaliť. Potom diskutujeme o dvoch hlavných kategóriách systému detekcie narušenia: detekciu narušenia siete a detekciu narušenia hostiteľa. Skôr ako budeme pokračovať, vysvetlíme rozdiely medzi detekciou a prevenciou narušenia. Nakoniec vám poskytneme krátku recenziu desiatich najlepších bezplatných nástrojov na detekciu narušenia, ktoré sme našli.

Metódy detekcie narušenia

Na detekciu pokusov o prienik sa v zásade používajú dve rôzne metódy. Môže to byť založené na podpise alebo anomálii. Pozrime sa, ako sa líšia. Detekcia vniknutia na základe podpisu funguje tak, že analyzuje údaje na špecifické vzorce, ktoré sú spojené s pokusmi o prienik. Je to trochu ako tradičné antivírusové systémy, ktoré sa spoliehajú na definície vírusov. Tieto systémy porovnajú údaje so vzorkami podpisov prieniku, aby sa identifikovali pokusy. Ich hlavnou nevýhodou je, že nefungujú, až kým sa nenahrá riadny podpis do softvéru, ku ktorému zvyčajne dochádza po útoku na určitý počet počítačov.

Detekcia narušenia založená na anomáliách poskytuje lepšiu ochranu pred útokmi v nultý deň, ktoré sa vyskytujú predtým, ako mal akýkoľvek softvér na detekciu narušenia šancu získať správny podpisový súbor. Namiesto toho, aby sa pokúsili rozoznať známe vzory narušenia, budú namiesto toho hľadať anomálie. Napríklad by zistili, že niekto sa pokúsil niekoľkokrát získať prístup do systému s nesprávnym heslom, čo je bežný znak útoku hrubou silou. Ako ste asi uhádli, každá metóda detekcie má svoje výhody. Preto najlepšie nástroje často používajú kombináciu oboch pre najlepšiu ochranu.

Dva typy systémov detekcie narušenia

Rovnako ako existujú rôzne metódy detekcie, existujú aj dva hlavné typy systémov detekcie narušenia. Líšia sa väčšinou v mieste, kde sa vykonáva detekcia narušenia, buď na úrovni hostiteľa alebo na úrovni siete. Aj tu má každá svoje výhody a najlepším riešením - alebo najbezpečnejším - je použitie oboch.

Systémy detekcie narušenia hostenia (HIDS)

Prvý typ systému na detekciu vniknutia funguje na úrovni hostiteľa. Mohlo by napríklad skontrolovať rôzne protokolové súbory, či neobsahujú akékoľvek známky podozrivej aktivity. Môže tiež fungovať kontrolou neoprávnených zmien dôležitých konfiguračných súborov. Toto by robili HIDS na báze anomálií. Na druhej strane by systémy založené na podpisoch hľadali rovnaké protokolové a konfiguračné súbory, ale hľadali by konkrétne známe vzory narušenia. Napríklad môže byť známe, že konkrétny spôsob prieniku funguje tak, že do určitého konfiguračného súboru pridá určitý reťazec, ktorý by IDS na základe podpisu detekoval.

Ako ste si mohli predstaviť, HIDS sa inštalujú priamo na zariadenie, ktoré majú chrániť, takže ich budete musieť nainštalovať do všetkých svojich počítačov. Väčšina systémov však má centralizovanú konzolu, kde môžete ovládať každú inštanciu aplikácie.

Systémy detekcie narušenia siete (NIDS)

Systémy detekcie neoprávneného vniknutia do siete (NIDS) pracujú na hranici vašej siete a vynucujú detekciu. Používajú podobné metódy ako systémy detekcie narušenia hostiteľa. Samozrejme, namiesto toho, aby hľadali protokolové a konfiguračné súbory, vyzerajú ako sieťový prenos, napríklad požiadavky na pripojenie. Je známe, že niektoré metódy prieniku zneužívajú zraniteľné miesta tým, že posielajú hostiteľom zámerne chybné pakety, vďaka čomu reagujú určitým spôsobom. Systémy detekcie narušenia siete by ich mohli ľahko zistiť.

Niektorí by tvrdili, že NIDS sú lepšie ako HIDS, keď detekujú útoky ešte predtým, ako sa dostanú k počítačom. Sú tiež lepšie, pretože na ich účinnú ochranu nevyžadujú, aby boli do každého počítača nainštalované žiadne položky. Na druhej strane poskytujú malú ochranu pred útokmi zasvätených osôb, ktoré, žiaľ, nie sú vôbec neobvyklé. Toto je ďalší prípad, keď najlepšia ochrana pochádza z kombinácie oboch typov nástrojov.

Prevencia Vs detekcie narušenia

Vo svete ochrany pred prienikmi existujú dva rôzne žánre nástrojov: systémy na detekciu vniknutia a systémy na prevenciu vniknutia. Aj keď slúžia na iný účel, medzi týmito dvoma nástrojmi sa často prekrývajú. Ako už názov napovedá, detekcia narušenia odhalí pokusy o narušenie a podozrivé aktivity vo všeobecnosti. Ak tak urobí, zvyčajne spustí nejaký druh poplachu alebo oznámenia. Je potom na správcovi, aby podnikol potrebné kroky na zastavenie alebo zablokovanie tohto pokusu.

Na druhej strane systémy prevencie prieniku pracujú na zastavení prenikania všetkých útokov. Väčšina systémov prevencie vniknutia bude obsahovať detekčnú zložku, ktorá pri každom zistení pokusov o prienik spustí určitú akciu. Prevencia vniknutia však môže byť tiež pasívna. Tento výraz sa môže použiť na označenie všetkých krokov, ktoré sú zavedené na zabránenie vniknutiu. Môžeme myslieť na opatrenia, ako je napríklad tvrdenie hesla.

Najlepšie bezplatné nástroje na detekciu narušenia

Systémy detekcie narušenia môžu byť drahé, veľmi drahé. Našťastie existuje celkom veľa alternatív zdarma. prehľadali sme na internete niektoré z najlepších softvérových nástrojov na detekciu narušenia. Našli sme pomerne málo a chystáme sa krátko preskúmať tých najlepších desať, ktoré sme našli.

OSSEC, čo znamená Open Source Security, je zďaleka popredný systém detekcie narušenia hostiteľa. OSSEC vlastní spoločnosť Trend Micro, jedna z vedúcich mien v oblasti IT bezpečnosti. Softvér sa pri inštalácii na operačné systémy podobné Unixu zameriava predovšetkým na protokolové a konfiguračné súbory. Vytvára kontrolné súčty dôležitých súborov a pravidelne ich potvrdzuje, upozorní vás, ak sa stane niečo čudné. Bude tiež sledovať a zachytávať všetky nepárne pokusy o získanie prístupu root. V systéme Windows systém chráni aj neoprávnené úpravy registra.

OSSEC, ako systém detekcie narušenia hostiteľa, musí byť nainštalovaný na každom počítači, ktorý chcete chrániť. Pre ľahšiu správu však bude konsolidovať informácie z každého chráneného počítača do jedinej konzoly. Softvér beží iba na systémoch Unix-Like, ale agent je k dispozícii na ochranu hostiteľov Windows. Keď systém niečo zistí, na konzole sa zobrazí upozornenie a oznámenia sa odosielajú e-mailom.

Rovnako ako OSSEC bol najlepší open-source HIDS, opäť normálne je popredným NIDS s otvoreným zdrojom. Snort je v skutočnosti viac ako nástroj na detekciu narušenia. Je to tiež identifikátor paketov a záznamník paketov. Čo nás však teraz zaujíma, sú funkcie Snortovej detekcie narušenia. Trochu ako firewall je Snort nakonfigurovaný podľa pravidiel. Základné pravidlá si môžete stiahnuť z webovej stránky Snort a prispôsobiť ich konkrétnym potrebám. Môžete sa tiež prihlásiť na odber pravidiel Snort, aby ste sa ubezpečili, že pri vývoji nových hrozieb budete vždy informovaní o najnovších.

Základné Snortove pravidlá dokážu detekovať širokú škálu udalostí, ako sú skenovanie tajných portov, útoky s pretečením vyrovnávacej pamäte, útoky CGI, sondy SMB a snímanie odtlačkov operačných systémov. To, čo vaša Snort inštalácia zistí, závisí výlučne od toho, aké pravidlá máte nainštalované. Niektoré zo základných ponúkaných pravidiel sú založené na podpise, zatiaľ čo iné sú založené na anomálii. Použitie Snort vám dá to najlepšie z oboch svetov

Šurice inzeruje sa ako systém detekcie a prevencie narušenia a ako kompletný ekosystém monitorovania bezpečnosti siete. Jednou z najlepších výhod tohto nástroja v porovnaní so Snortom je to, že funguje až po aplikačnú vrstvu. To umožňuje nástroju rozoznať hrozby, ktoré by mohli zostať nepovšimnuté v iných nástrojoch, rozdelením na niekoľko paketov.

Suricata však nepracuje iba na aplikačnej vrstve. Bude tiež monitorovať protokol nižšej úrovne, ako sú TLS, ICMP, TCP a UDP. Nástroj tiež rozumie protokolom ako HTTP, FTP alebo SMB a dokáže zistiť pokusy o prienik skryté v inak normálnych požiadavkách. Existuje tiež možnosť extrahovania súborov, ktorá správcom umožňuje preskúmať podozrivé súbory sami.

Z hľadiska architektúry je Suricata veľmi dobre vyrobená a svoje pracovné zaťaženie rozdelí medzi niekoľko jadier procesorov a vlákien pre najlepší výkon. Niektoré grafické spracovanie môže dokonca načítať na grafickú kartu. To je skvelá vlastnosť na serveroch, pretože ich grafická karta je väčšinou voľnobežná.

Ďalej na našom zozname je produkt s názvom Monitor zabezpečenia siete Bro, ďalší bezplatný systém detekcie narušenia siete. Bro pracuje v dvoch fázach: záznam a analýza prevádzky. Rovnako ako Suricata, aj Bro pracuje na aplikačnej vrstve, čo umožňuje lepšiu detekciu pokusov o prienik. Vyzerá to, že všetko je v dvojiciach s Bro a jeho analytický modul sa skladá z dvoch prvkov. Prvým je mechanizmus udalostí, ktorý sleduje spúšťacie udalosti, ako sú čisté pripojenia TCP alebo požiadavky HTTP. Udalosti sú potom ďalej analyzované pomocou politických skriptov, ktoré rozhodujú o tom, či spustiť varovanie a začať akciu, čím sa Bro stáva okrem detekčného systému aj prevenciou vniknutia.

Bro vám umožní sledovať aktivity HTTP, DNS a FTP, ako aj sledovať prenos SNMP. Je to dobrá vec, pretože SNMP sa často používa monitorovanie siete, nejde o bezpečný protokol. Bro tiež umožňuje sledovať zmeny konfigurácie zariadenia a SNMP pasce. Bro môže byť nainštalovaný na Unix, Linux a OS X, ale nie je k dispozícii pre Windows, možno jeho hlavnou nevýhodou.

Otvorte WIPS NG urobil to na našom zozname hlavne preto, že je jediný, ktorý sa špecificky zameriava na bezdrôtové siete. Open WIPS NG - kde WIPS je skratka pre Wireless Intrusion Prevention System - je nástroj s otvoreným zdrojovým kódom, ktorý pozostáva z troch hlavných komponentov. Po prvé, je tu snímač, ktorý je nemý prístroj, ktorý zachytáva iba bezdrôtový prenos a odošle ho na analýzu na server. Ďalší je server. Ten agreguje údaje zo všetkých senzorov, analyzuje zhromaždené údaje a reaguje na útoky. Je to srdce systému. V neposlednom rade je to komponent rozhrania, ktorým je GUI, ktoré používate na správu servera a zobrazovanie informácií o hrozbách vo vašej bezdrôtovej sieti.

Nie každému sa však Open WIPS NG páči. Produkt, ktorý od toho istého vývojára ako Aircrack NG je bezdrôtový identifikátor paketov a cracker hesiel, ktorý je súčasťou každej sady nástrojov hackerov siete WiFi. Na druhej strane, vzhľadom na jeho pozadie, môžeme predpokladať, že vývojár vie dosť o zabezpečení Wi-Fi.

Samhain je bezplatný systém detekcie narušenia hostiteľa, ktorý poskytuje kontrolu integrity súborov a monitorovanie / analýzu protokolových súborov. Okrem toho produkt vykonáva aj detekciu rootkitov, monitorovanie portov, detekciu nečestných spustiteľných súborov SUID a skryté procesy. Tento nástroj bol navrhnutý na monitorovanie viacerých systémov s rôznymi operačnými systémami s centralizovaným protokolovaním a údržbou. Samhain sa však dá použiť aj ako samostatná aplikácia na jednom počítači. Samhain môže bežať na systémoch POSIX ako Unix Linux alebo OS X. Môže bežať aj na Windows pod Cygwinom, hoci v tejto konfigurácii bol testovaný iba monitorovací agent a nie server.

Jednou z najunikátnejších funkcií Samhainu je jeho tajný režim, ktorý umožňuje spustiť ho bez toho, aby ho odhalili prípadní útočníci. Príliš často votrelci zabíjajú detekčné procesy, ktoré rozpoznávajú, čo im umožňuje zostať nepovšimnuté. Samhain používa steganografiu na skrytie svojich procesov pred ostatnými. Chráni tiež svoje centrálne protokolové súbory a zálohy konfigurácie pomocou kľúča PGP, aby sa zabránilo neoprávnenému zásahu.

fail2ban je zaujímavý bezplatný systém detekcie narušenia hostiteľa, ktorý má aj niektoré preventívne funkcie. Tento nástroj pracuje s monitorovaním protokolových súborov pre podozrivé udalosti, ako sú neúspešné pokusy o prihlásenie, zneužitie vyhľadávania atď. Keď zistí niečo podozrivé, automaticky aktualizuje pravidlá lokálneho firewallu, aby blokovalo zdrojovú IP adresu škodlivého správania. Toto je predvolená akcia nástroja, ale je možné nakonfigurovať ľubovoľnú akciu - napríklad odosielanie e-mailových upozornení.

Systém je dodávaný s rôznymi preddefinovanými filtrami pre niektoré z najbežnejších služieb, ako sú Apache, Courrier, SSH, FTP, Postfix a mnoho ďalších. Prevencia sa vykonáva úpravou tabuliek brány firewall hostiteľa. Tento nástroj môže pracovať s programami Netfilter, IPtables alebo tabuľkou hosts.deny TCP Wrapper. Každý filter môže byť spojený s jednou alebo viacerými akciami. Filtre a akcie sa spolu označujú ako väzenie.

AIDE je skratka pre pokročilé prostredie detekcie narušenia. Bezplatný systém detekcie narušenia hostiteľa sa zameriava hlavne na detekciu rootkitov a porovnávanie podpisov súborov. Keď pôvodne inštalujete AIDE, zostaví databázu správcovských údajov z konfiguračných súborov systému. Toto sa potom používa ako základná línia, s ktorou je možné porovnávať každú zmenu a prípadne ju vrátiť späť.

AIDE používa analýzu založenú na podpisoch a anomáliách, ktorá je spustená na požiadanie a nie je naplánovaná alebo nepretržite beží. Toto je vlastne hlavná nevýhoda tohto produktu. AIDE je však nástrojom príkazového riadku a je možné vytvoriť úlohu CRON, aby sa spustila v pravidelných intervaloch. A ak ho spúšťate veľmi často - napríklad každú minútu - získate údaje takmer v reálnom čase. Jadrom AIDE nie je nič iné ako nástroj na porovnávanie údajov. Aby sa z neho stal skutočný HIDS, musia sa vytvoriť externé skripty.

Bezpečnostná cibuľa je zaujímavé zviera, ktoré vám môže ušetriť veľa času. Nejde iba o systém detekcie alebo prevencie narušenia. Security Onion je kompletná distribúcia systému Linux so zameraním na detekciu narušenia, monitorovanie podnikovej bezpečnosti a správu protokolov. Obsahuje veľa nástrojov, z ktorých niektoré sme práve skontrolovali. Napríklad Security Onion má Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner a ďalšie. To všetko je dodávané s ľahko použiteľným sprievodcom nastavením, ktorý vám umožní chrániť vašu organizáciu v priebehu niekoľkých minút. Môžete myslieť na bezpečnostnú cibuľu ako nôž švajčiarskej armády pre bezpečnosť IT.

Najzaujímavejšou vecou tohto nástroja je to, že všetko získate jednoduchou inštaláciou. Získate aj nástroje na detekciu narušenia siete aj hostiteľa. Existujú nástroje, ktoré používajú prístup založený na podpise, a niektoré, ktoré sú založené na anomálii. Distribúcia obsahuje aj kombináciu textových a GUI nástrojov. Existuje naozaj vynikajúca zmes všetkého. Nevýhodou je samozrejme to, že získate toľko, že konfigurácia toho všetkého môže chvíľu trvať. Nemusíte však používať všetky nástroje. Môžete si vybrať iba tie, ktoré uprednostňujete.

Sagan je vlastne skôr systém analýzy protokolov ako skutočné IDS, má však niektoré funkcie podobné IDS, ktoré sme považovali za oprávnené na ich zaradenie do nášho zoznamu. Tento nástroj môže sledovať miestne denníky systému, v ktorom je nainštalovaný, ale môže tiež interagovať s inými nástrojmi. Mohlo by to napríklad analyzovať Snortove denníky a účinne pridať niektoré funkcie NIDS k tomu, čo je v podstate HIDS. A nebude to iba komunikovať so Snortom. Môže tiež komunikovať so Suricatou a je kompatibilný s niekoľkými nástrojmi na tvorbu pravidiel, ako sú Oinkmaster alebo Pulled Pork.

Sagan má tiež schopnosti na vykonávanie skriptov, čo z neho robí hrubý systém prevencie prienikov. Tento nástroj sa pravdepodobne nebude používať ako vaša jediná obrana proti vniknutiu, bude to však veľká súčasť systému, ktorý dokáže začleniť mnoho nástrojov porovnávaním udalostí z rôznych zdrojov.

záver

Systémy detekcie narušenia sú len jedným z mnohých dostupné nástroje pomáhať správcom sietí a systémov pri zabezpečovaní optimálnej prevádzky ich prostredia. Ktorýkoľvek z tu diskutovaných nástrojov je vynikajúci, ale každý má trochu iný účel. Výber, ktorý si vyberiete, bude vo veľkej miere závisieť od osobných preferencií a konkrétnych potrieb.