Најбољи бесплатни софтвер за откривање провале у 2020. годину

Сигурност је врућа тема и то је већ дуго времена. Пре много година вируси су били једина брига администратора система. Вируси су били толико уобичајени да је водио на пут за запањујући низ алата за превенцију вируса. У данашње време, једва да би неко помислио да покрене незаштићени рачунар. Међутим, упада у рачунар или неовлашћени приступ вашим подацима од стране злонамерних корисника представља „претњу за путовање“. Мреже су постале мета бројних злонамјерних хакера који ће у великој мјери доћи до ваших података. Ваша најбоља одбрана од ове врсте претњи је систем за откривање или спречавање упада. Данас прегледавамо десет најбољих бесплатних алата за откривање провале.

Пре него што почнемо, прво ћемо разговарати о различитим методама детекције упада који се користе. Баш као што постоји више начина на који уљези могу ући у вашу мрежу, постоји исто тако много начина - можда чак и више - начина да их открију. Затим ћемо размотрити две главне категорије система за откривање упада: мрежна детекција упада и детекција упада домаћина. Пре него што наставимо, објаснићемо разлике између откривања провале и спречавања провале. И на крају, дат ћемо вам кратак преглед десет најбољих бесплатних алата за откривање провала.

Методе откривања провале

У основи постоје две различите методе које се користе за откривање покушаја провале. Може бити заснована на потпису или аномалији. Да видимо како се разликују. Детекција упада на основу потписа функционише тако што анализира податке за одређене обрасце који су повезани са покушајима провале. Донекле је попут традиционалних антивирусних система који се ослањају на дефиниције вируса. Ови системи ће упоређивати податке са обрасцима потписа за упад како би идентификовали покушаје. Њихов главни недостатак је што не раде све док се одговарајући потпис не постави на софтвер што се обично дешава након напада одређеног броја машина.

Откривање упада засновано на аномалији пружа бољу заштиту од напада без нула дана, оних који се догађају пре него што је било који софтвер за откривање провале имао прилику да добије одговарајућу датотеку потписа. Уместо да покушавају препознати познате обрасце упада, они ће уместо тога тражити аномалије. На примјер, открили би да је неко покушао приступити систему с погрешном лозинком неколико пута, што је уобичајени знак напада грубе силе. Као што сте можда и нагађали, свака метода откривања има своје предности. То је разлог зашто ће најбољи алати често користити комбинацију обоје за најбољу заштиту.

Два типа система за откривање провале

Као што постоје различите методе детекције, постоје и две главне врсте система за откривање провале. Они се углавном разликују у локацији на којој се врши откривање провале, било на нивоу домаћина, било на нивоу мреже. И овде свако има своје предности, а најбоље решење - или најбезбедније - је вероватно да се користи обе.

Системи за детекцију провале домаћина (ХИДС)

Прва врста система за откривање провале ради на нивоу хоста. На пример, може проверити разне датотеке дневника ради било каквих знакова сумњивих активности. Такође може функционисати тако што ће проверити важне конфигурационе датотеке за неовлашћене промене. То је оно што би ХИДС базиран на аномалији. Са друге стране, системи засновани на потписима гледали би исте датотеке дневника и конфигурације, али би тражили одређене познате обрасце упада. На пример, може се знати да одређени метод упада делује додавањем одређеног низа у специфичну конфигурациону датотеку коју би препознао ИДС заснован на потпису.

Као што сте могли замислити, ХИДС се инсталира директно на уређај који треба да заштити, па ћете их морати инсталирати на све своје рачунаре. међутим, већина система има централизовану конзолу на којој можете контролисати сваку инстанцу апликације.

Мрежни системи за откривање упада (НИДС)

Мрежни системи за откривање упада или НИДС-а раде на граници ваше мреже како би извршили откривање. Користе сличне методе као и системи за детекцију упада домаћина. Наравно, уместо да погледају датотеке дневника и конфигурационе датотеке, изгледају мрежни саобраћаји као што су захтеви за повезивање. Познато је да неке методе упада искориштавају рањивости шаљући намерно неисправне пакете хостовима, натерајући их да реагују на одређени начин. Мрежни системи за откривање упада могу их лако открити.

Неки би тврдили да су НИДС бољи од ХИДС-а јер открију нападе чак и пре него што дођу до рачунара. Такође су бољи јер не захтевају да се на сваки рачунар инсталира било шта што би их ефикасно заштитило. С друге стране, пружају малу заштиту од инсајдерских напада који на жалост нису ретки. Ово је још један случај где најбоља заштита долази од коришћења комбинације обе врсте алата.

Превенција откривања продора против превенције

Постоје два различита жанра алата у свету заштите провале: системи за откривање провале и системе за спречавање провале. Иако служе другачијој сврси, често се преклапају две врсте алата. Као што му име говори, откривање провале откриће покушаје упада и уопште сумњивих активности. Кад то учини, обично ће покренути неку врсту аларма или обавештења. Тада је администратор дужан предузети потребне кораке да заустави или блокира овај покушај.

Системи за спречавање провале, с друге стране, делују на спречавању да се интрузије уопште дешавају. Већина система за спречавање упада укључује компоненту детекције која ће покренути неку радњу сваки пут када се открију покушаји упада. Али спречавање упада такође може бити пасивно. Израз се може користити за означавање свих корака који су предузети ради спречавања упада. На пример, можемо да смислимо мере попут отврдњавања лозинке.

Најбољи бесплатни алати за откривање провале

Системи за откривање провале могу бити скупи, веома скупи. Срећом, постоји прилично мало бесплатних алтернатива. потражили смо на Интернету неке од најбољих софтверских алата за откривање провале. Пронашли смо прилично мало и управо ћемо укратко прегледати најбољих десет које можемо да нађемо.

ОССЕЦ, што представља Опен Соурце Сецурити, далеко је водећи систем за откривање упада у отворени изворни код. ОССЕЦ је у власништву компаније Тренд Мицро, једног од водећих имена у ИТ безбедности. Софтвер, када се инсталира на Уник оперативне системе, првенствено се фокусира на датотеке дневника и конфигурације. Ствара контролне суме важних датотека и периодично их потврђује, упозоравајући вас ако се догоди нешто необично. Такође ће надгледати и ухватити све необичне покушаје да се приступи роот-у. У систему Виндовс такође води рачуна о неовлашћеним изменама регистра.

ОССЕЦ, као систем за детекцију упада домаћина, мора бити инсталиран на сваком рачунару који желите да заштитите. Међутим, објединиће информације са сваког заштићеног рачунара у једној конзоли ради лакшег управљања. Софтвер ради само на Уник-Лике системима, али доступан је агент који штити Виндовс домаћине. Када систем нешто открије, на конзоли се приказује упозорење, а обавештења се шаљу путем е-поште.

Баш као што је ОССЕЦ био топ ХИД-ов отвореног кода, Снорт је водећи отворени изворни НИДС. Снорт је у ствари више од алата за откривање провале. То је такође сниффер пакет и логер-логер. Али оно што нас за сада занима, су Снорт-ове функције откривања провале. Слично као фиревалл, Снорт се конфигурише помоћу правила. Основна правила могу се преузети са веб локације Снорт и прилагодити вашим специфичним потребама. Такође се можете претплатити на Снорт правила како бисте осигурали да увек добијате најновије она која се развијају како буду препознате нове претње.

Основна правила Снорт-а могу открити најразличитије догађаје као што су скенирање невидљивих порта, напади препуњеног међуспремника, ЦГИ напади, СМБ сонде и отисак прста на ОС-у. Оно што ваша инсталација Снорт открива зависи искључиво од правила која сте инсталирали. Нека основна правила која се нуде су заснована на потпису, а друга на аномалији. Коришћење Снорт-а може вам пружити најбоље од оба света

Сурицата се рекламира као систем за откривање и спречавање провале и као потпуни екосистем за праћење сигурности у мрежи. Једна од најбољих предности ове алатке у односу на Снорт је та што делује све до апликативног слоја. Ово омогућава алату да открије претње које би могле проћи неопажено у другим алатима ако се поделе на неколико пакета.

Али Сурицата не ради само на апликативном слоју. Такође ће надгледати протокол нижег нивоа, као што су ТЛС, ИЦМП, ТЦП и УДП. Алат такође разуме протоколе попут ХТТП, ФТП или СМБ и може открити покушаје провале скривене у иначе нормалним захтевима. Постоји и могућност издвајања датотека која омогућава администраторима да сами прегледају сумњиве датотеке.

Архитектонски гледано, Сурицата је врло добро направљен и распоређиват ће своје радно оптерећење на неколико процесорских језгара и нити за најбоље перформансе. Чак може пребацити део своје обраде на графичку картицу. Ово је сјајна карактеристика на серверима јер њихова графичка картица углавном ради у празном ходу.

Следећи на нашој листи је производ који се зове Бро Нетворк Сецурити Монитор, још један бесплатни мрежни систем за откривање упада. Бро послује у две фазе: евидентирање саобраћаја и анализа. Као и Сурицата, Бро дјелује на апликацијском слоју, омогућавајући бољу детекцију покушаја подјеле подјеле. Чини се као да све долази у пару с Броом и његов модул за анализу састоји се од два елемента. Први је покретачки механизам који прати покретање догађаја као што су нето ТЦП везе или ХТТП захтеви. Догађаји се затим даље анализирају скриптама политика које одлучују да ли да активирају упозорење и покрену акцију, чинећи Бро да спречи упад поред система детекције.

Бро ће вам омогућити да пратите ХТТП, ДНС и ФТП активности као и да надгледа СНМП саобраћај. То је добра ствар јер се СНМП често користи надгледање мреже, то није сигуран протокол. Бро вам такође омогућава гледање промјена у конфигурацији уређаја и СНМП замки. Бро се може инсталирати на Уник, Линук и ОС Кс, али није доступан за Виндовс, можда је његов главни недостатак.

Отворите ВИПС НГ уврстио је на нашу листу углавном зато што је једини који посебно циља бежичне мреже. Отворени ВИПС НГ - где ВИПС значи бежични систем за спречавање провале - је алат отвореног кода који се састоји од три главне компоненте. Прво, ту је сензор који је глупи уређај који само хвата бежични промет и шаље га серверу на анализу. Следи сервер. Овај обједињује податке са свих сензора, анализира прикупљене податке и реагује на нападе. То је срце система. На крају, али не најмање битно, компонента интерфејса је ГУИ који користите за управљање сервером и приказивање информација о претњама на вашој бежичној мрежи.

Нису сви воле Опен ВИПС НГ. Производ је од истог развојног програмера као што је Аирцрацк НГ, бежични снаффер за пакете и провалник лозинке који је део сваког пакета алата за ВиФи хакер. С друге стране, с обзиром на његову позадину, можемо претпоставити да програмер зна доста о Ви-Фи безбедности.

Самхаин је бесплатни систем за откривање упада домаћина који омогућава провјеру интегритета датотеке и надзор / анализу датотека записа. Поред тога, производ такође врши детекцију рооткита, надгледање портова, откривање рогуе СУИД извршних датотека и скривене процесе. Овај алат је дизајниран за надгледање више система са различитим оперативним системима са централизованим евидентирањем и одржавањем. Међутим, Самхаин се такође може користити као самостална апликација на једном рачунару. Самхаин се може покретати на ПОСИКС системима као што су Уник Линук или ОС Кс. Такође се може покретати у Виндовс-у под Цигвин-ом иако је у тој конфигурацији тестиран само агент за праћење а не сервер.

Једна од најважнијих карактеристика Самхаина је тајни режим који му омогућава да се покрене без да га открију евентуални нападачи. Пречесто уљези убијају процесе откривања које препознају, омогућавајући им да прођу незапажено. Самхаин користи стеганографију да сакрије своје процесе од других. Такође штити своје централне датотеке дневника и сигурносне копије са ПГП кључем како би се спречило неовлаштено дирање.

Фаил2Бан је интересантан бесплатни систем за откривање провале домаћина који такође има неке функције превенције. Овај алат делује тако што надгледа датотеке дневника због сумњивих догађаја као што су неуспели покушаји пријаве, експлоатације и сл. Када открије нешто сумњиво, аутоматски ажурира локална правила фиревалл-а да блокира изворну ИП адресу злонамерног понашања. Ово је задата радња алата, али било која друга произвољна радња - попут слања е-порука - може бити конфигурисана.

Систем долази са разним унапред уграђеним филтерима за неке од најчешћих сервиса као што су Апацхе, Цоурриер, ССХ, ФТП, Постфик и многи други. Превенција се врши модификовањем табела фиревалл-а домаћина. Алат може радити са Нетфилтер-ом, ИПтабле-овима или хост.дени таблом ТЦП Враппер-а. Сваки филтар може бити повезан са једном или више радњи. Заједно, филтери и акције се називају затвором.

ПОМОЋ је акроним за Адванцед Аттусион Детецтион Енвиронмент. Систем за откривање упада бесплатног домаћина углавном се фокусира на откривање рооткита и упоређивање потписа датотека. Када прво инсталирате АИДЕ, он ће саставити базу података административних података из конфигурационих датотека система. Ово се затим користи као основна линија са којом се било каква промена може упоредити и на крају вратити ако је потребно.

АИДЕ користи анализу засновану на потпису и аномалији која се изводи на захтев, а не планира се или непрекидно ради. Ово је заправо главни недостатак овог производа. Међутим, АИДЕ је алат наредбеног ретка и може се креирати ЦРОН посао који ће га покретати у редовним интервалима. А ако је покренете врло често - као што је свако минут или приближно - добићете квази реалне податке. У основи, АИДЕ није ништа друго него алат за упоређивање података. Спољне скрипте морају бити створене да би постале прави ХИДС.

Безбедносни лук је занимљива звер која вам може уштедети много времена. Ово није само систем за откривање или спречавање провале. Сецурити Онион је комплетна дистрибуција Линука са фокусом на откривање провале, надзор безбедности предузећа и управљање евиденцијама. То укључује много алата, од којих смо неке управо прегледали. На пример, Сецурити Онион има Еластицсеарцх, Логстасх, Кибана, Снорт, Сурицата, Бро, ОССЕЦ, Сгуил, Скуерт, НетворкМинер и још много тога. Све је то у пакету са чаробњаком за једноставно постављање који вам омогућава да заштитите своју организацију у року од неколико минута. Сигурност Лук можете сматрати ножем швајцарске војске ИТ-ове компаније.

Најзанимљивија ствар овог алата је да све добијете у једној једноставној инсталацији. А добијате и мрежне и домаће алате за откривање упада. Постоје алати који користе приступ заснован на потпису и неки који се заснивају на аномалији. Дистрибуција такође садржи комбинацију текстуалних и ГУИ алата. Стварно је одлична комбинација свега. Недостатак је, наравно, што добијате толико да то конфигурисање може потрајати. Али не морате да користите све алате. Можете одабрати само оне које више волите.

Саган заправо је више систем анализе дневника него истински ИДС, али има неке карактеристике сличне ИДС-у за које смо мислили да гарантују његово уврштавање на нашу листу. Овај алат може да гледа локалне евиденције система на којима је инсталиран, али може и да комуницира са другим алаткама. На пример, могао би да анализира Снортове записе, ефикасно додајући неку НИДС функционалност ономе што је у ствари ХИДС. И неће само комуницирати са Снортом. Такође може комуницирати са Сурицата-ом и компатибилан је с неколико алата за прављење правила попут Оинкмастера или Пуленог свињског меса.

Саган такође има могућности извршења скрипти што га чини грубим системом за спречавање упада. Овај алат се вероватно неће користити као ваша једина одбрана од провале, али биће сјајна компонента система који може да укључи много алата корелирањем догађаја из различитих извора.

Закључак

Системи за откривање провале само су један од многих доступни алати да помогну мрежним и системским администраторима у обезбеђивању оптималног рада њиховог окружења. Сви овде описани алати су одлични, али сваки има мало другачију сврху. Она коју одаберете зависиће у великој мери од личних склоности и специфичних потреба.