Ağ Tabanlı Saldırı Tespit Sistemleri: Kullanılacak En İyi 5 NIDS Aracı

Bu günlerde herkes güvenlikle ilgileniyor gibi görünüyor. Siber suçluluğun önemi göz önüne alındığında mantıklıdır. Kuruluşlar, verilerini çalmaya veya başka zararlara neden olmaya çalışan bilgisayar korsanları tarafından hedeflenir. BT ortamınızı bu saldırılara karşı korumanın bir yolu doğru araçların ve sistemlerin kullanılmasıdır. Genellikle, ilk savunma hattı ağın Çevresi Saldırı Tespit Sistemleri veya NIDS şeklinde ağın çevresindedir.. Bu sistemler, şüpheli etkinlikleri tespit etmek ve sizi hemen uyarmak için ağınızdan internete gelen trafiği analiz eder. NIDS çok popüler ve birçoğu ihtiyaçlarınız için en iyisini bulmaktan çok daha zorlayıcı bir çaba olabilir. Sana yardım etmek için, ağ tabanlı en iyi Saldırı Tespit Sistemlerinin bazılarının listesini oluşturduk.

Yolculuğumuza farklı Saldırı Tespit Sistemi türlerine bir göz atarak başlayacağız. Temel olarak, iki tür vardır: ağ tabanlı ve ana bilgisayar tabanlı. Farklılıklarını açıklayacağız. Saldırı Tespit Sistemleri kullandıkları tespit yöntemine göre de farklılık gösterir. Bazıları imzaya dayalı bir yaklaşım kullanırken diğerleri davranışsal analize dayanmaktadır. En iyi araçlar, her iki algılama yönteminin bir kombinasyonunu kullanır. Pazar hem izinsiz giriş tespiti hem de izinsiz giriş önleme sistemleri ile doymuştur. Ayrımı anlamak önemli olduğu için nasıl farklı olduklarını ve birbirlerine nasıl benzediklerini keşfedeceğiz. Son olarak, en iyi Ağ Tabanlı Saldırı Tespit Sistemlerini inceleyip en önemli özelliklerini sunacağız.

Ağ - Ana Bilgisayar Tabanlı Saldırı Tespiti

Saldırı Tespit Sistemleri iki tipten biridir. Her ikisi de aynı hedefi paylaşıyor - saldırı girişimlerini veya potansiyel olarak yol açabilecek şüpheli etkinlikleri hızla tespit etmek için izinsiz giriş denemeleri - ancak tespit noktasının nerede olduğunu belirten uygulama noktasının bulunduğu yerde farklılık gösterir seslendirdi. Her bir saldırı tespit aracının avantajları ve dezavantajları vardır. Hangisinin tercih edileceğine dair gerçek bir fikir birliği yoktur. Bazıları bir tür yemin ederken diğerleri sadece diğerine güvenir. Her ikisi de muhtemelen haklı. En iyi çözüm - ya da en güvenli - muhtemelen her iki türü de birleştiren çözümdür.

Ağ Saldırı Tespit Sistemleri (NIDS)

İlk Saldırı Tespit Sistemi tipine Ağ Saldırı Tespit Sistemi veya NIDS denir. Bu sistemler, algılamayı zorunlu kılmak için ağın sınırında çalışır. Ağ trafiğini keser ve inceler, izinsiz giriş denemesini gösterebilecek şüpheli etkinlikler ararlar ve ayrıca bilinen izinsiz giriş modellerini ararlar. Davetsiz misafirler genellikle çeşitli sistemlerin bilinen güvenlik açıklarından yararlanarak örneğin ana bilgisayarlara hatalı biçimlendirilmiş paketler göndererek, bunların ihlal edilmesine olanak tanıyan belirli bir şekilde tepki vermelerini sağlar. Ağ Saldırı Tespit Sistemi büyük olasılıkla bu tür saldırı girişimlerini algılayacaktır.

Bazıları, Ağ Saldırı Tespit Sistemlerinin, sistemlerinize ulaşmadan önce bile saldırıları tespit edebildikleri için ana bilgisayar tabanlı muadillerinden daha iyi olduğunu iddia ediyor. Bazıları da onları tercih etme eğilimindedir, çünkü her ana bilgisayara etkili bir şekilde korumak için herhangi bir şey yüklemeleri gerekmez. Öte yandan, ne yazık ki hiç de nadir olmayan içeriden gelen saldırılara karşı çok az koruma sağlarlar. Tespit edilmesi için, bir saldırganın izinsiz giriş denemesi, içeriden kaynaklanırken nadiren yaptığı NIDS'ten geçmelidir. Herhangi bir teknolojinin artıları ve eksileri vardır ve izinsiz giriş tespiti özel durumudur, hiçbir şey sizi üstün koruma için her iki aracı da kullanmanıza engel olmaz.

Ana Bilgisayar İzinsiz Giriş Tespit Sistemleri (HIDS)

Ana Makine İzinsiz Giriş Tespit Sistemleri (HIDS) ana makine düzeyinde çalışır; bunu isminden tahmin etmiş olabilirsiniz. Örneğin, şüpheli etkinlik belirtileri için çeşitli günlük dosyalarını ve günlükleri izleyeceklerdir. İzinsiz giriş denemelerini saptayabilmelerinin başka bir yolu da sistem yapılandırma dosyalarını yetkisiz değişiklikler olup olmadığını denetlemektir. Aynı dosyaları bilinen belirli saldırı kalıpları için de inceleyebilirler. Örneğin, belirli bir izinsiz giriş yönteminin belirli bir yapılandırma dosyasına belirli bir parametre eklenerek çalıştığı bilinmektedir. İyi bir Host tabanlı Saldırı Tespit Sistemi bunu yakalar.

Her ne kadar adları sizi tüm HIDS'lerin doğrudan korumak istedikleri cihaza kurulduğunu düşünmesine neden olsa da, durum böyle değildir. Bazılarının tüm bilgisayarlarınıza yüklenmesi gerekirken bazılarının yalnızca yerel bir aracı yüklemesi gerekir. Bazıları tüm çalışmalarını ajan olmadan uzaktan yapar. Nasıl çalışırlarsa çalışsın, çoğu HIDS, uygulamanın her örneğini kontrol edebileceğiniz ve tüm sonuçları görüntüleyebileceğiniz merkezi bir konsola sahiptir.

Saldırı Tespit Yöntemleri

Saldırı tespit sistemleri yalnızca uygulama noktasına göre değil, aynı zamanda saldırı girişimlerini tespit etmek için kullandıkları yöntemle de farklılık gösterir. Bazıları imza tabanlıdır, bazıları ise anomali tabanlıdır. Birincisi, izinsiz giriş denemeleriyle ilişkili belirli kalıplar için verileri analiz ederek çalışır. Bu, virüs tanımlarına dayanan geleneksel virüs koruma sistemlerine benzer. İmza tabanlı izinsiz giriş tespiti izinsiz giriş imzalarına veya kalıplarına dayanır. İzinsiz giriş denemelerini tanımlamak için yakalanan verileri izinsiz giriş imzalarıyla karşılaştırırlar. Tabii ki, yazılıma doğru imza yüklenene kadar çalışmayacaklar, bu bazen sadece bir belirli sayıda makineye saldırıldı ve saldırı imzalarının yayıncılarının yeni güncelleme yayınlamak için zamanları oldu paketler. Bazı tedarikçiler oldukça hızlıdır, diğerleri ise sadece günler sonra tepki verebilirdi. Bu, bu algılama yönteminin birincil dezavantajıdır.

Anomali tabanlı izinsiz giriş tespiti, herhangi bir izinsiz giriş tespit yazılımından önce gerçekleşenler, sıfır günlük saldırılara karşı daha iyi koruma sağlar. Bilinen saldırı kalıplarını tanımaya çalışmak yerine anomaliler ararlar. Örneğin, arka arkaya birkaç kez yanlış parolaya sahip bir sisteme erişmeye çalışan biri, bir kaba kuvvet saldırısının ortak bir işareti olduğu için bir uyarıyı tetikler. Bu sistemler ağdaki şüpheli etkinlikleri hızla algılayabilir. Her algılama yönteminin avantajları ve dezavantajları vardır ve iki araç türünde olduğu gibi, en iyi araçlar muhtemelen imza ve davranış analizinin bir kombinasyonunu kullananlardır.

Tespit mi Önleme mi?

Bazı insanlar izinsiz giriş tespiti ve izinsiz giriş önleme sistemleri arasında kafası karışır. Bunlar birbirleriyle yakından ilişkili olsa da, ikisi arasında bazı işlevler çakışmasına rağmen aynı değildirler. Adından da anlaşılacağı gibi, saldırı tespit sistemleri saldırı girişimlerini ve şüpheli etkinlikleri tespit eder. Bir şey algıladıklarında, genellikle bir tür uyarı veya bildirim tetiklerler. İzinsiz giriş denemesini durdurmak veya engellemek için gerekli adımları atmak yöneticilere kalmıştır.

İzinsiz Giriş Önleme Sistemleri (IPS) bir adım daha ileri gider ve izinsiz girişlerin tamamen olmasını engelleyebilir. İzinsiz Girişi Önleme Sistemleri, bir İzinsiz Girişe işlevsel olarak eşdeğer bir algılama bileşeni içerir Detection System (Algılama Sistemi) - bir saldırı girişimi algılandığında bazı otomatik iyileştirme eylemlerini tetikler. Saldırı girişimini durdurmak için hiçbir insan müdahalesine gerek yoktur. İzinsiz giriş önleme, izinsiz girişleri önlemenin bir yolu olarak yapılan veya uygulanan herhangi bir şeyi de ifade edebilir. Örneğin, parola sertleştirme veya davetsiz misafir kilitleme, izinsiz giriş önleme önlemleri olarak düşünülebilir.

En İyi Ağ Saldırı Tespit Araçları

En iyi Ağ Tabanlı Saldırı Tespit Sistemlerini araştırdık. Listemiz, gerçek bir Host tabanlı Saldırı Tespit Sistemi ve ağ tabanlı bir saldırı tespit bileşenine sahip olan veya saldırı girişimlerini tespit etmek için kullanılabilen diğer yazılımların bir karışımını içerir. Önerilen araçlarımızın her biri, ağınızdaki saldırı girişimlerinin algılanmasına yardımcı olabilir.

SolarWinds ağ yönetim araçları alanında yaygın bir isimdir. Şirket yaklaşık 20 yıldır var ve bize en iyi ağ ve sistem yönetim araçlarından bazılarını getirdi. Amiral gemisi ürünü Network Performance Monitor, sürekli olarak en iyi ağ bant genişliği izleme araçları arasında puanlar alıyor. SolarWinds ayrıca her biri belirli bir ağ yöneticisi ihtiyacını karşılayan mükemmel ücretsiz araçlar yapar. Kiwi Syslog Sunucusu ve Gelişmiş Alt Ağ Hesaplayıcısı bunlara iki güzel örnektir.

Ağ tabanlı izinsiz giriş tespiti için, SolarWinds Tehdit Monitörü - IT Ops Sürümü. Diğer SolarWinds araçlarının aksine, bu, yerel olarak yüklenmiş bir yazılımdan ziyade bulut tabanlı bir hizmettir. Sadece abone olursunuz, yapılandırırsınız ve izinsiz giriş denemeleri ve birkaç tehdit türü için ortamınızı izlemeye başlar. Tehdit Monitörü - IT Ops Sürümü çeşitli araçları birleştirir. Hem ağ hem de ana bilgisayar tabanlı İzinsiz Giriş Tespiti'nin yanı sıra günlük merkezileştirmesi ve korelasyonu ve Güvenlik Bilgileri ve Olay Yönetimi'ne (SIEM) sahiptir. Bu çok kapsamlı bir tehdit izleme paketidir.

• ÜCRETSİZ DEMO: SolarWinds Tehdit Monitörü - IT Ops Sürümü
• Resmi indirme bağlantısı: https://www.solarwinds.com/threat-monitor/registration

Tehdit Monitörü - IT Ops Sürümü IP ve Domain Reputation veritabanları da dahil olmak üzere birçok kaynaktan sürekli güncellenen tehdit istihbaratı her zaman günceldir. Hem bilinen hem de bilinmeyen tehditleri izler. Araç, güvenlik saldırılarını hızlı bir şekilde gidermek için otomatik saldırılara sahiptir ve bu da izinsiz giriş önleme benzeri özellikler sunar.

Ürünün uyarı özellikleri oldukça etkileyici. Aracın Aktif Yanıt motoruyla birlikte çalışan ve önemli olayların tanımlanmasına ve özetlenmesine yardımcı olan çok koşullu, çapraz korelasyonlu alarmlar vardır. Raporlama sistemi uyarısı kadar iyidir ve önceden oluşturulmuş mevcut rapor şablonlarını kullanarak uyumluluğu göstermek için kullanılabilir. Alternatif olarak, iş gereksinimlerinize tam olarak uyacak şekilde özel raporlar oluşturabilirsiniz.

Fiyatları SolarWinds Tehdit Monitörü - IT Ops Sürümü 10 gün endeksle 25 adede kadar düğüm için 4500 $ 'dan başlayın. Özel ihtiyaçlarınıza uyarlanmış ayrıntılı bir teklif için SolarWinds ile iletişime geçebilirsiniz. Ve ürünü çalışırken görmeyi tercih ederseniz, SolarWinds'ten ücretsiz bir demo talep edebilirsiniz.

2. homurdanma

homurdanma kesinlikle en iyi bilinen açık kaynaklı NIDS. Fakat homurdanma aslında bir saldırı tespit aracından daha fazlasıdır. Aynı zamanda bir paket dinleyicisi ve bir paket kaydedici ve birkaç başka işlevi de paketliyor. Şimdilik, bu yayının konusu olduğu için aracın izinsiz giriş algılama özelliklerine odaklanacağız. Ürünün yapılandırılması, bir güvenlik duvarının yapılandırılmasını anımsatır. Kurallar kullanılarak yapılandırılır. Temel kuralları homurdanma web sitenizi olduğu gibi kullanın veya özel ihtiyaçlarınıza göre özelleştirin. Ayrıca abone olabilirsiniz homurdanma geliştikçe veya yeni tehditler keşfedildikçe en son kuralları otomatik olarak almak için kurallar.

Çeşit çok kapsamlı ve temel kuralları bile gizli port taramaları, arabellek taşması saldırıları, CGI saldırıları, SMB probları ve OS parmak izi gibi çok çeşitli olayları tespit edebilir. Bu araçla neleri algılayabileceğiniz konusunda neredeyse hiçbir sınır yoktur ve algıladığı şey yalnızca yüklediğiniz kural kümesine bağlıdır. Tespit yöntemlerine gelince, temel Snort kurallarının bazıları imza tabanlıdır, diğerleri ise anomali tabanlıdır. Snort, bu nedenle, size her iki dünyanın en iyisini verebilir.

3. Suricata

Suricata sadece bir Saldırı Tespit Sistemi değildir. Ayrıca bazı İzinsiz Giriş Önleme özellikleri de vardır. Aslında, tam bir ağ güvenliği izleme ekosistemi olarak ilan edilir. Aracın en iyi varlıklarından biri, uygulama katmanına kadar nasıl çalıştığıdır. Bu, onu, aracın diğer araçlar tarafından fark edilmeyecek tehditleri tespit etmesini sağlayan karma bir ağ ve ana bilgisayar tabanlı bir sistem haline getirir.

Suricata gerçek bir Ağ Tabanlı Saldırı Tespit Sistemi'dir ve yalnızca uygulama katmanında çalışmaz. TLS, ICMP, TCP ve UDP gibi alt düzey ağ protokollerini izleyecektir. Araç ayrıca HTTP, FTP veya SMB gibi daha yüksek düzeydeki protokolleri anlar ve deşifre eder ve normal isteklerde gizlenen saldırı girişimlerini algılayabilir. Araç ayrıca, yöneticilerin şüpheli dosyaları incelemesine izin veren dosya çıkarma özelliklerine de sahiptir.

Suricata’Nin uygulama mimarisi oldukça yenilikçi. Araç, en iyi performans için iş yükünü birkaç işlemci çekirdeği ve iş parçacığı üzerinde dağıtacaktır. Gerekirse, işleminin bir kısmını grafik kartına bile boşaltabilir. Grafik kartı genellikle yetersiz kullanıldığı için aracı sunucularda kullanırken bu harika bir özelliktir.

4. kanka Ağ Güvenliği İzleyicisi

Bro Ağ Güvenliği İzleyicisi, başka bir ücretsiz ağ saldırı tespit sistemi. Araç iki aşamada çalışır: trafik kaydı ve trafik analizi. Tıpkı Suricata gibi, Bro Ağ Güvenliği İzleyicisi uygulama katmanının üst katlarında çalışır. Bu, bölünmüş saldırı girişimlerinin daha iyi tespit edilmesini sağlar. Bro Ağ Güvenliği İzleyicisi’In analiz modülü iki unsurdan oluşur. İlk öğeye olay motoru denir ve net TCP bağlantıları veya HTTP istekleri gibi tetikleyici olayları izler. Olaylar daha sonra, bir alarmı tetikleyip tetiklememeye ve / veya bir eylem başlatmaya karar veren ikinci öğe olan politika komut dosyaları tarafından analiz edilir. Bir eylem başlatma olasılığı, Bro Ağ Güvenliği İzleyicisi bazı IPS benzeri işlevler.

Bro Ağ Güvenliği İzleyicisi HTTP, DNS ve FTP etkinliğini izlemenize izin verir ve ayrıca SNMP trafiğini de izler. Bu iyi bir şeydir, çünkü SNMP genellikle ağ izleme için kullanılır, ancak güvenli bir protokol değildir. Yapılandırmaları değiştirmek için de kullanılabileceğinden, kötü niyetli kullanıcılar tarafından kullanılabilir. Araç ayrıca cihaz yapılandırma değişikliklerini ve SNMP Tuzaklarını izlemenize izin verir. Unix, Linux ve OS X'e yüklenebilir, ancak belki de ana dezavantajı olan Windows için mevcut değildir.

5. Güvenlik Soğanı

Ne tanımlamak zor Güvenlik Soğanı dır-dir. Sadece bir saldırı tespit veya önleme sistemi değildir. Gerçekte, saldırı tespitine, kurumsal güvenlik izlemeye ve günlük yönetimine odaklanan eksiksiz bir Linux dağıtımıdır. Bu nedenle, yöneticilere çok zaman kazandırabilir. Bazıları henüz gözden geçirdiğimiz birçok araç içerir. Güvenlik Soğanı Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner ve daha fazlasını içerir. Her şeyi ayarlamayı kolaylaştırmak için dağıtım, kuruluşunuzu birkaç dakika içinde korumanıza izin veren kullanımı kolay bir kurulum sihirbazı ile birlikte gelir. Açıklamak gerekirse Güvenlik Soğanı bir cümleyle, bunun kurumsal BT güvenliğinin İsviçre Ordusu bıçağı olduğunu söyleyebiliriz.

Bu araçla ilgili en ilginç şeylerden biri, her şeyi tek bir basit kurulumda almanızdır. İzinsiz Giriş Tespiti için, araç size hem Ağ hem de Ana Bilgisayar Tabanlı İzinsiz Giriş Tespiti araçlarını verir. Paket ayrıca imza tabanlı bir yaklaşım kullanan araçları ve anomali tabanlı araçları da birleştirir. Ayrıca, metin tabanlı ve GUI araçlarının bir kombinasyonunu bulacaksınız. Gerçekten mükemmel bir güvenlik araçları karışımı var. Güvenlik Soğanının birincil dezavantajı vardır. Bu kadar çok sayıda araçla, hepsini yapılandırmak önemli bir görev olabilir. Ancak, tüm araçları kullanmanız ve yapılandırmanız gerekmez. Yalnızca kullanacağınız kişileri seçmekte özgürsünüz. Birlikte verilen araçlardan sadece bir kaçını kullansanız bile, muhtemelen bunları ayrı olarak yüklemekten daha hızlı bir seçenek olacaktır.