Пояснені системи виявлення вторгнень: Переглянуто 12 найкращих інструментів IDS

Contents

Що таке система виявлення вторгнень (IDS)?

Система виявлення вторгнень (IDS) контролює мережевий трафік на предмет незвичних або підозрілих дій та надсилає попередження адміністратору.

Виявлення аномальної активності та повідомлення про це адміністратору мережі є основною функцією, однак деякий інструмент IDS може вживати заходів на основі правил, коли виявляється зловмисна активність, наприклад, блокуючи певний трафік.

Ми детально ознайомимось з кожним із інструментів нижче, але у випадку, якщо вам не вистачає часу, ось короткий список цього 12 кращих систем та інструментів виявлення вторгнень:

  1. Менеджер подій SolarWinds Security (БЕЗКОШТОВНА ПРОБЛЕМА) Поєднує функції HIDS та NIDS, щоб отримати повну систему безпеки та управління подіями (SIEM).
  2. Хрип Забезпечена Cisco Systems та безкоштовна у користуванні, провідна мережева система виявлення вторгнень.
  3. OSSEC Відмінна система виявлення вторгнень на основі хоста, яка безкоштовна у використанні.
  4. ManageEngine EventLog Analyzer Аналізатор файлів журналу, який шукає докази вторгнення.
  5. Суріката Мережева система виявлення вторгнень, яка працює на рівні додатків для більшої наочності.
  6. Брат Мережевий монітор та мережева система запобігання вторгнень.
  7. Саган Інструмент аналізу журналів, який може інтегрувати звіти, що генеруються на даних фронт, тож це HIDS з трохи NIDS.
  8. Цибуля безпеки Інструмент моніторингу та безпеки мережі, що складається з елементів, залучених з інших безкоштовних інструментів.
  9. ПОМОЩНИК Розширене середовище виявлення вторгнень є HIDS для Unix, Linux та Mac OS
  10. OpenWIPS-NG Бездротова система боротьби зі СНІДом та запобіганням вторгнень від виробників Aircrack-NG.
  11. Самхайн Безпосередня система виявлення вторгнень на основі хоста для Unix, Linux та Mac OS.
  12. Fail2Ban Легка система виявлення вторгнень на основі хоста для Unix, Linux та Mac OS.

Типи систем виявлення вторгнень

Існує два основні типи систем виявлення вторгнень (обидві детальніше пояснюються далі в цьому посібнику):

  1. Визначення вторгнень на основі хоста (HIDS) – ця система буде вивчати події на комп’ютері у вашій мережі, а не трафік, який проходить навколо системи.
  2. Мережеве виявлення вторгнень (NIDS) – ця система вивчить трафік у вашій мережі.

Інструменти та системи виявлення вторгнень у мережу зараз важливі для безпеки мережі. На щастя, ці системи дуже прості у використанні, і більшість найкращих ІДС на ринку є безкоштовними. У цьому огляді ви прочитаєте про десять найкращих систем виявлення вторгнень, які ви можете встановити зараз, щоб почати захищати вашу мережу від нападу. Ми охоплюємо інструменти для Windows, Linux та Mac.

Системи виявлення вторгнень в хост (HIDS)

Визначення вторгнень на основі хоста, також відомий як хост-системи виявлення вторгнень або ID на базі хоста, вивчити події на комп’ютері у вашій мережі, а не трафік, який проходить навколо системи. Цей тип системи виявлення вторгнень скорочено до HIDS і він працює в основному, переглядаючи дані в адміністраторських файлах на комп’ютері, який він захищає. Ці файли включають файли журналів та конфігураційні файли.

HIDS створить резервну копію ваших конфігураційних файлів, щоб ви могли відновити налаштування, якщо зловмисний вірус послабить безпеку вашої системи, змінивши налаштування комп’ютера. Ще одним ключовим елементом, який ви хочете захистити, є кореневий доступ до платформ Unix-подібних або зміни реєстру в системах Windows. HIDS не зможе заблокувати ці зміни, але він повинен бути в змозі попередити вас про виникнення такого доступу.

Кожен хост моніторів HIDS повинен мати на ньому встановлене програмне забезпечення. Ви можете просто змусити HIDS контролювати один комп’ютер. Однак, більш типово встановлювати HIDS на кожному пристрої вашої мережі. Це тому, що ви не хочете оминати зміни конфігурації на будь-якому елементі обладнання. Природно, якщо у вас є декілька хост HIDS у вашій мережі, вам не потрібно входити в кожен з них, щоб отримати зворотній зв’язок. Тому, розподілена система HIDS повинна включати модуль централізованого управління. Шукайте систему, яка шифрує зв’язок між агентами хосту та центральним монітором.

Мережеві системи виявлення вторгнень (NIDS)

Мережеве виявлення вторгнень, також відоме як мережева система виявлення вторгнень або мережевий IDS, вивчає трафік у вашій мережі. Як такий, типовий СНІД повинен включати сніфтер для пакетів, щоб зібрати мережевий трафік для аналізу.

Двигун аналізу NIDS, як правило, заснований на правилах і може бути модифікований шляхом додавання власних правил. З багатьма NIDS постачальник системи або спільнота користувачів зробить вам доступними правила, і ви можете просто імпортувати їх у свою реалізацію. Ознайомившись із синтаксисом правил вибраного СНІДу, ви зможете створити власні правила.

Прив’язання до збору трафіку, ви не хочете скидати весь трафік у файли або запускати всю партію через інформаційну панель тому що ви просто не змогли б проаналізувати всі ці дані. Таким чином, правила, які керують аналізом в NIDS, також створюють вибіркове захоплення даних. Наприклад, якщо у вас є правило для типового занепокоєння трафіку HTTP, вашим NIDS слід лише підбирати та зберігати пакети HTTP, які відображають ці характеристики.

Як правило, NIDS встановлюється на спеціальному обладнання. Виробничі рішення, що платять за найвищий рівень, поставляються як мережевий комплект із попередньо завантаженим на нього програмним забезпеченням. Однак, вам не доведеться платити великі гроші за спеціальне обладнання. Для NIDS потрібен модуль датчика для збору трафіку, тож ви зможете завантажити його на аналізатор локальної мережі або ви можете виділити комп’ютер для виконання завдання. Однак переконайтеся, що обладнання, яке ви вибрали для завдання, має достатню тактову частоту, щоб не загальмувати вашу мережу.

HIDS або NIDS?

Коротка відповідь – і те, і інше. NIDS дасть вам набагато більше можливостей для моніторингу, ніж HIDS. Ви можете перехоплювати атаки, коли вони трапляються з СНІДом, тоді як HIDS лише помічає щось не так, як тільки файл або налаштування на пристрої вже змінилися. Однак те, що СНІД не має такої активності, як СНІД, не означає, що вони менш важливі.

Той факт, що NIDS зазвичай встановлюється на автономному пристрої, означає, що він не тягне процесори ваших серверів. Однак, активність ВІЛ-інфекції не така агресивна, як активність СНІДу. Функцію HIDS може виконувати легкий демон на комп’ютері і не повинен надмірно спалювати процесор. Жодна система не створює додатковий мережевий трафік.

Методи виявлення: IDS на основі підпису або на аномалії

Незалежно від того, чи шукаєте ви хостової системи виявлення вторгнень або мережевої системи виявлення вторгнень, всі ІДС використовують два режими роботи – деякі можуть використовувати лише той чи інший, але більшість використовує обидва.

  • IDS на основі підпису
  • IDS на основі аномалії

IDS на основі підпису

The метод на основі підпису розглядає контрольні суми та автентифікацію повідомлень. Методи виявлення на основі підписів може застосовуватися так само добре, як і СНІД, як і СНІД. HIDS буде розглядати файли журналу та конфігурувати будь-які несподівані переписування, тоді як NIDS буде дивитися на контрольні суми в пакетах та цілісність аутентифікації повідомлень таких систем, як SHA1.

NIDS може включати в себе базу даних підписів, які здійснюють пакети, які, як відомо, є джерелами шкідливої ​​діяльності. На щастя, хакери не сидять біля своїх комп’ютерів, вводячи як лють, щоб зламати пароль або отримати доступ до кореневого користувача. Натомість вони використовують автоматизовані процедури, що надаються відомими хакерськими інструментами. Ці інструменти, як правило, генерують однакові підписи трафіку щоразу, оскільки комп’ютерні програми повторюють одні й ті ж інструкції знову і знову, а не вводять випадкові зміни.

IDS на основі аномалії

Виявлення на основі аномалії шукає несподіваних або незвичайних зразків діяльності. Ця категорія також може бути реалізована як системою виявлення вторгнень, так і мережею. У випадку з HIDS аномалія може повторитися невдалою спробою входу, або незвична активність на портах пристрою, що означають сканування портів.

Що стосується СНІДу, підхід до аномалії вимагає встановлення базової лінії поведінки, щоб створити стандартну ситуацію, з якою можна порівняти поточні схеми руху. Діапазон трафіку вважається прийнятним, і коли поточний трафік у реальному часі виходить із цього діапазону, провокується попередження про аномалію.

Вибір методу IDS

Витончені СНІДи можуть скласти облік стандартної поведінки та коригувати свої межі у міру просування терміну служби. В цілому аналіз підписів та аномалій набагато простіший в експлуатації та простіший у налаштуванні з програмним забезпеченням HIDS, ніж з NIDS.

Методи на основі підпису набагато швидше, ніж виявлення на основі аномалії. Повномасштабний двигун аномалії стосується методологій ШІ і може коштувати чималих грошей на розвиток. Однак методи, засновані на підписах, зводяться до порівняння значень. Звичайно, у випадку HIDS, узгодження шаблонів із версіями файлів може бути дуже простою задачею, яку кожен може виконувати самостійно, використовуючи утиліти командного рядка з регулярними виразами. Отже, на розробку вони не коштують стільки і, швидше за все, вони будуть впроваджені у безкоштовних системах виявлення вторгнень.

Комплексна система виявлення вторгнень потребує як методів, заснованих на підписах, так і процедур на основі аномалії.

Захистіть мережу за допомогою IPS

Тепер нам потрібно розглянути системи запобігання вторгнень (IPS). Програмне забезпечення IPS та ІДС – це галузі однієї технології, оскільки не можна запобігти без виявлення. Інший спосіб виразити різницю між цими двома гілками інструментів вторгнення – називати їх пасивними чи активними. Просту систему контролю та оповіщення про вторгнення іноді називають a “Пасивний” IDS. Система, яка не тільки виявляє вторгнення, але вживає заходів для усунення будь-яких пошкоджень та блокування подальшої активності з виявленого джерела, також відома як “Реактивні” IDS.

Реактивні ІДС, або IPS, як правило, не реалізують рішення безпосередньо. Натомість вони взаємодіють із брандмауерами та програмами, коригуючи налаштування. Реактивний HIDS може взаємодіяти з низкою мережевих посібників для відновлення налаштувань на пристрої, таких як SNMP або встановлений менеджер конфігурації. Атаки на кореневого або адміністратора в Windows, як правило, не розглядаються автоматично, оскільки блокування користувача адміністратора або зміна пароля системи призведе до вимкнення системного адміністратора з мережі та серверів.

Багато користувачів IDS повідомляють про повені помилкові позитиви коли вони вперше встановлюють свої оборонні системи. Оскільки IPS автоматично реалізують оборонну стратегію щодо виявлення стану оповіщення. Неправильно відкалібровані IPS можуть спричинити хаос і припинити вашу законну мережеву діяльність.

Щоб мінімізувати збої в мережі, які можуть бути спричинені помилковими спрацьовуванням, слід запровадити поетапну систему виявлення та запобігання вторгнень. Тригери можна налаштувати, і ви можете комбінувати умови попередження для створення спеціальних сповіщень. Опис дій, які необхідно виконати щодо виявлення загроз, називається a політика. Взаємодія процедур виявлення та запобігання вторгнень із брандмауерами має бути особливо налаштована, щоб запобігти справжнім користувачам вашого бізнесу не бути заблокованими через занадто жорстку політику.

Системи виявлення вторгнень за типом та операційною системою

Виробники програмного забезпечення IDS зосереджуються на операційних системах, схожих на Unix. Деякі виробляють свій код відповідно до стандарту POSIX. У всіх цих випадках це означає, що Windows виключена. Як операційні системи Mac OS Mac OS X і macOS базуються на Unix, ці операційні системи набагато краще обслуговуються у світі IDS, ніж в інших категоріях програмного забезпечення. У нижченаведеній таблиці пояснюється, які IDS засновані на хості, які на базі мережі та які операційні системи можна встановити.

Ви можете прочитати деякі відгуки, які стверджують, що Security Onion можна запускати в Windows. Це може, якщо спочатку встановити віртуальну машину і запустити її через це. Однак для визначень у цій таблиці ми вважаємо програмне забезпечення сумісним лише з операційною системою, якщо його можна встановити безпосередньо.

Найпопулярніші засоби виявлення вторгнень & Програмне забезпечення

IDSHIDS / NIDSUnixLinuxWindowsMac OS
Менеджер подій SolarWinds Security (БЕЗКОШТОВНИЙ ПЕРІОД ВИПРОБОВУВАННЯ)І те й іншеНіНіТакНі
ХрипСНІДТакТакТакНі
OSSECHIDSТакТакТакТак
ManageEngine EventLog AnalyzerHIDSТакТакТакТак
СурікатаСНІДТакТакТакТак
БратСНІДТакТакНіТак
СаганІ те й іншеТакТакНіТак
Цибуля безпекиІ те й іншеНіТакНіНі
ПОМОЩНИКHIDSТакТакНіТак
Відкрийте WIPS-NGСНІДНіТакНіНі
СамхайнHIDSТакТакНіТак
Fail2BanHIDSТакТакНіТак

Системи виявлення вторгнень для Unix

Щоб перезапустити інформацію в таблиці вище в специфічний для Unix список, ось HIDS та NIDS, які ви можете використовувати на платформі Unix.

Системи виявлення вторгнень в хост:

  • OSSEC
  • EventLog Analyzer
  • Саган
  • ПОМОЩНИК
  • Самхайн
  • Fail2Ban

Мережеві системи виявлення вторгнень:

  • Хрип
  • Брат
  • Суріката
  • Саган

Системи виявлення вторгнень для Linux

Ось переліки хост-систем виявлення вторгнень та мережевих систем вторгнення, які можна запустити на платформі Linux.

Системи виявлення вторгнень в хост:

  • OSSEC
  • EventLog Analyzer
  • Саган
  • Цибуля безпеки
  • ПОМОЩНИК
  • Самхайн
  • Fail2Ban

Мережеві системи виявлення вторгнень:

  • Хрип
  • Брат
  • Суріката
  • Саган
  • Цибуля безпеки
  • Відкрийте WIPS-NG

Системи виявлення вторгнень для Windows

Незважаючи на популярність Windows Server, розробники систем виявлення вторгнень, здається, не дуже зацікавлені у виробництві програмного забезпечення для операційної системи Windows. Ось декілька ідентифікаторів, які працюють у Windows.

Системи виявлення вторгнень в хост:

  • Менеджер подій SolarWinds Security
  • OSSEC
  • EventLog Analyzer

Мережеві системи виявлення вторгнень:

  • Менеджер подій SolarWinds Security
  • Хрип
  • Суріката

Системи виявлення вторгнень для Mac OS

Власники Mac виграють від того, що Mac OS X і macOS базуються на Unix, тому для власників Mac існує набагато більше варіантів системи виявлення вторгнень, ніж для тих, хто має комп’ютери з операційною системою Windows..

Системи виявлення вторгнень в хост:

  • OSSEC
  • EventLog Analyzer
  • Саган
  • ПОМОЩНИК
  • Самхайн
  • Fail2Ban

Мережеві системи виявлення вторгнень:

  • Брат
  • Суріката
  • Саган

Кращі системи та засоби виявлення вторгнень

Тепер ви побачили швидке проходження хост-систем виявлення вторгнень та мережевих систем виявлення вторгнень операційною системою, у цьому списку ми детальніше заглиблюємось у деталі кожної з найкращих IDS.

1. SolarWinds Security Event Manager (БЕЗКОШТОВНА ПРОБЛЕМА)

Журнал і менеджер подій Solarwinds

Менеджер подій безпеки SolarWinds (SEM) працює далі Windows Server, але він може реєструвати повідомлення, створені користувачем Unix, Linux, і Mac OS комп’ютери, а також Windows ПК.

Як менеджер журналів, це система виявлення вторгнень на основі хоста, оскільки вона стосується управління файлами в системі. Однак він також управляє даними, зібраними Snort, що робить його частиною мережевої системи виявлення вторгнень.

Snort – широко використовуваний сніффер пакетів, створений Cisco Systems (див. Нижче). Він має специфічний формат даних, який інші виробники інструментів IDS інтегрують у свої продукти. Це справа з диспетчером подій SolarWinds Security. Виявлення вторгнення в мережу системи вивчають дані про трафік під час його циркуляції в мережі. Для розгортання можливостей NIDS Менеджера подій безпеки вам потрібно буде використовувати Snort як інструмент захоплення пакетів і воронку захоплених даних направляють до диспетчера подій безпеки для аналізу. Хоча LEM діє як інструмент HIDS, коли він займається створенням і цілісністю файлів журналів, він може приймати мережеві дані в реальному часі через Snort, що є діяльністю NIDS.

Продукт SolarWinds також може діяти як система запобігання вторгнень, оскільки він здатний ініціювати дії щодо виявлення вторгнення. Пакет постачається з більш ніж 700 правилами кореляції подій, що дозволяє йому виявляти підозрілі дії та автоматично здійснювати заходи з виправлення. Ці дії називаються Активні відповіді.

Ці активні відповіді включають:

  • Сповіщення про випадки через SNMP, екранні повідомлення чи електронну пошту
  • Ізоляція USB-пристрою
  • Призупинення облікового запису користувача або виключення користувача
  • Блокування IP-адреси
  • Процеси вбивства
  • Вимкнення або перезапуск системи
  • Відключення сервісу
  • Запуск служби

Можливості обробки повідомлень Snort у Менеджері подій з безпеки роблять це дуже всебічним безпека мережі інструмент. Зловмисна діяльність може бути вимкнено майже миттєво завдяки можливості інструменту поєднувати дані Snort з іншими подіями в системі. Ризик порушити послугу через виявлення помилкові позитиви значно знижується завдяки чітко налаштованим правилам кореляції подій. Ви можете отримати доступ до цього безпека мережі система на a 30-денна безкоштовна пробна версія.

ВИБОР редактора

Найважливіший інструмент для підвищення безпеки, реагування на події та досягнення відповідності.

Завантажити: Завантажте 30-денну безкоштовну пробну версію

Офіційний сайт: https://www.solarwinds.com/security-event-manager

ОС: Windows

2. Хрип

Скріншот скріншота

Снур є лідер галузі в галузі СНІД, але він все ще є безкоштовним у використанні. Це одна з небагатьох ідентифікаторів, які можна встановити в Windows. Його створив Cisco. Система може працювати в трьох різних режимах і може реалізовувати стратегії захисту, тому це система запобігання вторгнень, а також система виявлення вторгнень.

Три режими Snort:

  • Режим Sniffer
  • Реєстратор пакетів
  • Виявлення вторгнень

Ви можете використовувати snort просто як sniffer пакетів, не вмикаючи його можливості виявлення вторгнень. У цьому режимі ви отримуєте зчитування в реальному часі пакетів, що проходять по мережі. У режимі журналу пакетів ці дані пакета записуються у файл.

Коли ви отримуєте доступ до функцій виявлення вторгнень Snort, ви викликаєте модуль аналізу, який застосовує набір правил до трафіку під час його проходження. Ці правила називаються “базовими полісами”, і якщо ви не знаєте, які правила вам потрібні, ви можете завантажити їх з веб-сайту Snort. Однак, як тільки ви станете впевненими у методології Снорта, ви можете написати свої. Існує велика база спільноти для цього IDS і вони дуже активні в Інтернеті на сторінках спільноти веб-сайту Snort. Ви можете отримати поради та допомогу від інших користувачів, а також завантажити правила, розроблені досвідченими користувачами Snort.

Правила визначатимуть такі події, як сканування портів невидимки, атаки переповнення буфера, CGI-атаки, SMB-зонди та відбитки пальців на ОС. Методи виявлення залежать від конкретних правил, які використовуються, і вони включають обидва методи на основі підписів та системи на основі аномалії.

Слава Snort залучила прихильників у галузі розробників програмного забезпечення. Ряд програм, створених іншими програмними будинками, можуть виконати більш глибокий аналіз даних, зібраних Snort. До них відносяться Підводне плавання, БАЗА, Скріп, і Анавал. Ці супутні програми допомагають вам компенсувати той факт, що інтерфейс для Snort не дуже зручний для користувачів.

3. OSSEC

Скріншот OSSEC

OSSEC означає Безпека з відкритим кодом HIDS. це є провідна доступна HIDS, і вона абсолютно безкоштовна у використанні. Як система виявлення вторгнень на основі хоста, програма фокусується на файлах журналів на комп’ютері, де ви її встановите. Він контролює підписи контрольної суми всіх ваших файлів журналу, щоб виявити можливі втручання. У Windows він зберігатиме вкладки про будь-які зміни до реєстру. У системах, схожих на Unix, він відстежує будь-які спроби потрапити до кореневого рахунку. Хоча OSSEC є проектом з відкритим кодом, він фактично належить Trend Micro, відомому виробнику програмного забезпечення для безпеки.

Основна програма моніторингу може охоплювати один комп’ютер або кілька хостів, консолідуючи дані в одній консолі. Хоча є агент Windows, який дозволяє контролювати комп’ютери під керуванням Windows, основну програму можна встановити лише в Unix-подібній системі, що означає Unix, Linux або Mac OS. Для основної програми є інтерфейс для OSSEC, але він встановлюється окремо і більше не підтримується. Постійні користувачі OSSEC виявили інші додатки, які добре працюють як інструмент збору даних: включаючи Splunk, Kibana та Graylog.

Файли журналів, охоплені OSSEC, включають дані FTP, пошту та веб-сервери. Він також відстежує журнали подій операційної системи, брандмауер та антивірусні журнали та таблиці, а також журнали трафіку. Поведінка OSSEC контролюється політикою, яку ви встановлюєте на нього. Їх можна придбати як додатки від великої спільноти користувачів, яка активна для цього продукту. Політика визначає умову попередження. Ці сповіщення можуть відображатися на консолі або надсилатись як сповіщення електронною поштою. Trend Micro пропонує підтримку OSSEC за окрему плату.

4. ManageEngine EventLog Analyzer

ManageEngine є провідним виробником рішень для моніторингу та управління ІТ-інфраструктурою. EventLog Analyzer є частиною продуктів безпеки компанії. Це HIDS яка зосереджена на управлінні та аналізі файлів журналів, створених стандартними програмами та операційними системами. Інструмент встановлюється на Windows Server або Linux. Він збирає дані з цих операційних систем, а також з Mac OS, IBM AIX, HP UX, і Соляріс систем. Журнали із систем Windows включають джерела з Windows Server Windows Vista та новіших версій та Windows DHCP Server.

Крім операційних систем, служба збирає та консолідує журнали з Microsoft SQL Server і Oracle бази даних. Він також може передавати сповіщення від ряду антивірусних систем, у тому числі Програмне забезпечення Microsoft, ESET, Софос, Нортон, Касперський, FireEye, Malwarebytes, Макфай, і Symantec. Він збиратиме журнали з веб-серверів, брандмауерів, гіпервізорів, маршрутизаторів, комутаторів та сканерів на вразливість..

EventLog Analyzer збирає повідомлення журналу та працює як сервер файлів журналу, організовуючи повідомлення у файли та каталоги за джерелом повідомлення та датою. Термінові попередження також пересилаються на інформаційну панель аналізатора EventLog і їх можна подавати на Системи довідкової служби як квитки, щоб викликати негайну увагу з боку технік. Вирішується рішення щодо того, які події є потенційним порушенням безпеки модуль розвідки про загрозу що вбудовано в пакет.

Послуга включає автоматичний пошук журналу та кореляцію подій для складання регулярних звітів про безпеку. Серед цих звітів є формат моніторингу та аудиту привілейованих користувачів (PUMA) та різноманітні формати, необхідні для демонстрації відповідності PCI DSS, FISMA, ISO 27001, GLBA, HIPAA, SOX, і GDPR.

Аналізатор подій ManageEngine EventLog доступний у трьох виданнях. Перший з них – це Безкоштовно. Однак безкоштовне видання обмежується моніторингом повідомлень журналу з п’яти джерел, що насправді недостатньо для будь-якого сучасного бізнесу за межами дуже малих підприємств. Два платних видання є Преміум і Поширений. Розподілений план значно дорожчий, ніж план Преміум. Система Premium повинна бути достатньою для більшості підприємств, що займаються одним сайтом, тоді як розподілена версія охоплюватиме декілька сайтів та необмежену кількість джерел запису журналів. Ви можете спробувати систему з 30-денною безкоштовною пробною версією, що має обмеження до 2000 джерел повідомлень журналу.

5. Суріката

Скриншот Суріката

Суріката, мабуть, головна альтернатива Снорта. Існує ключова перевага, яке має Suricata перед Snort, – це те, що він збирає дані на рівні додатків. Це долає сліпоту, що Snort має підписи, розділені на декілька пакетів TCP. Suricata чекає, поки всі дані в пакетах будуть зібрані, перш ніж перенести інформацію в аналіз.

Хоча система працює на рівні додатків, вона може контролювати активність протоколу на нижчих рівнях, таких як IP, TLS, ICMP, TCP та UDP. Він вивчає трафік у режимі реального часу для різних мережевих додатків, включаючи FTP, HTTP та SMB. Монітор не просто дивиться на структуру пакетів. Він може перевірити TLS-сертифікати і зосередитись на HTTP-запитах та DNS-дзвінках. Засіб вилучення файлів дозволяє вивчити та виділити підозрілі файли з характеристиками вірусної інфекції.

Suricata сумісний з Snort, і ви можете використовувати ті самі правила VRT, які написані для цього лідера NIDS. Ці сторонні інструменти, такі як Підводне плавання, БАЗА, Скріп, і Анавал які інтегруються з Snort, також можуть підключити до Suricata. Отже, доступ до спільноти Snort за порадами та безкоштовними правилами може стати великою користю для користувачів Suricata. Вбудований модуль сценаріїв дозволяє поєднувати правила та отримувати точніший профіль виявлення, ніж може дати вам Snort. Suricata використовує методи підпису та аномалії.

Suricata має розумну архітектуру обробки, яка дозволяє прискорити апаратне забезпечення за допомогою безлічі різних процесорів для одночасної, багатопотокової діяльності. Він навіть може частково працювати на вашій графічній карті. Такий розподіл завдань утримує навантаження від зниження лише одного хоста. Це добре, тому що одна з проблем з цим СНІД полягає в тому, що він досить важкий в обробці. Suricata має дуже гладкий приладну панель, яка включає в себе графіку, щоб зробити аналіз та розпізнавання проблем набагато простішими. Незважаючи на це дорогий на вигляд фронт-енд, Suricata – безкоштовно.

6. Брат

Екран Бро

Бро – а безкоштовні СНІД що виходить за рамки виявлення вторгнень і може надавати вам і інші функції моніторингу мережі. Спільнота користувачів Bro включає багато академічних та науково-дослідних установ.

Функція виявлення вторгнення Bro виконується у дві фази: ведення журналу трафіку та аналіз. Як і у Суріката, Bro має головну перевагу перед Snort тим, що його аналіз працює на рівні додатків. Це дає вам видимість для пакетів для отримання більш широкого аналізу активності мережевого протоколу.

Модуль аналізу Bro містить два елементи, які працюють як на аналізі підпису, так і на виявленні аномалії. Перший із цих інструментів аналізу – це Двигун подій Bro. Це трек для запуску подій, таких як нове з’єднання TCP або запит HTTP. Кожна подія реєструється, тому ця частина системи є нейтральною щодо політики – вона просто надає перелік подій, під час яких аналіз може виявити повторення дій або підозріло різноманітну діяльність, породжену тим самим обліковим записом користувача.

Видобуток даних про подію здійснює сценарії політики. Оповіщений стан спровокує дію, так Bro – система запобігання вторгнень а також аналізатор мережевого трафіку. Сценарії політики можуть бути налаштовані, але вони, як правило, функціонують уздовж стандартної рамки, яка включає відповідність підписів, виявлення аномалії та аналіз з’єднання..

Ви можете відстежувати активність HTTP, DNS та FTP за допомогою Bro, а також контролювати трафік SNMP, дозволяє перевірити зміни в конфігурації пристрою та умови SNMP Trap. Кожна політика – це набір правил, і ви не обмежуєтесь кількістю активних політик або шарами стеку протоколів, які ви можете вивчити. На нижчих рівнях ви можете стежити за DDoS синхронними атаками наводнення та виявляти сканування портів.

Bro можна встановити на Unix, Linux та Mac OS.

7. Саган

Скріншот Сагана

Саган – це хост-система виявлення вторгнень, тож це альтернатива OSSEC, і це теж вільний у користуванні. Незважаючи на те, що є HIDS, програма сумісна з даними, зібраними компанією Snort, яка є системою NIDS. Ця сумісність поширюється і на інші інструменти, які можна використовувати спільно з Snort, наприклад Підводне плавання, БАЗА, Скріп, і Анавал. Джерела даних Bro та Suricata також можуть надходити в Sagan. Цей інструмент можна встановити на Unix, Linux та Mac OS. Хоча Sagan не можна запускати в Windows, ви можете подавати в нього журнали подій Windows.

Строго кажучи, Sagan – це інструмент аналізу журналів. Елемент, який йому не вистачає, щоб зробити його самостійним NIDS – це модуль сніфферів для пакетів. Однак, з позитивного боку, це означає, що Sagan не потребує спеціального обладнання та має можливість аналізувати як хости, так і дані мережевого трафіку. Цей інструмент повинен бути супутником інших систем збору даних, щоб створити повну систему виявлення вторгнень.

Деякі приємні риси Sagan включають IP-локатор, який дозволяє бачити географічне розташування IP-адрес які виявляються як підозрілі. Це дасть змогу об’єднати дії IP-адрес, які, здається, працюють узгоджено для формування атаки. Sagan може поширювати свою обробку на декілька пристроїв, полегшуючи навантаження на процесор вашого ключового сервера.

Ця система включає виконання сценарію, а це означає, що вона буде генерувати попередження та виконувати дії з виявлення сценаріїв вторгнення. Він може взаємодіяти з таблицями брандмауера для реалізації заборон IP у разі підозрілої діяльності з конкретного джерела. Отже, це система запобігання вторгнень. Модуль аналізу працює як з методологіями виявлення підписів, так і з аномаліями.

Sagan не потрапляє до списку найкращих ідентифікаторів, оскільки він не є справжнім IDS, будучи аналізатором файлів журналів. Однак його HIDS із сплеском концепції NIDS робить його цікавим пропозицією як компонента гібридного інструмента аналізу IDS.

8. Цибуля безпеки

Скріншот цибулі безпеки

Для поєднання рішень IDS ви можете спробувати безкоштовна система безпеки лука. Більшість інструментів IDS у цьому списку – це проекти з відкритим кодом. Це означає, що кожен може завантажити вихідний код і змінити його. Саме це і зробив розробник Security Onion. Він взяв елементи з вихідного коду Хрип, Суріката, OSSEC, і Брат і зшити їх разом, щоб це зробити безкоштовний гібрид NIDS / HIDS на базі Linux. Security Onion написаний для роботи на Ubuntu, він також інтегрує елементи із передніх систем та інструментів аналізу, в тому числі Підводне плавання, Пагін, Скверт, Кібана, ELSA, Xplico, і NetworkMiner.

Хоча цибуля безпеки є класифікованим як СНІД, він також включає функції HIDS. Він буде контролювати ваш журнал та конфігурувати файли на підозрілі дії та перевіряти контрольні суми цих файлів на наявність несподіваних змін. Одним із недоліків всебічного підходу системи Onion до моніторингу мережі є її складність. Він має декілька різних операційних структур, і в Інтернеті не існує достатнього навчального матеріалу, який не використовується, щоб допомогти адміністратору мережі зрозуміти всі можливості цього інструменту..

Аналіз мережі проводиться a sniffer пакетів, який може відображати дані, що передаються на екрані, а також записувати у файл. Двигун аналізу Security Onion – це те, де все ускладнюється, оскільки існує стільки різних інструментів з різними операційними процедурами, що ви цілком можете ігнорувати більшість із них. Інтерфейс Kibana забезпечує інформаційну панель для безпеки Onion і вона містить кілька приємних графіків та діаграм, щоб полегшити розпізнавання статусу.

Правила оповіщення на основі підписів та аномалії включені до цієї системи. Ви отримуєте інформацію про стан пристрою, а також про схему руху. Все це справді могло б зробити деяку автоматизацію дій, якої не вистачає Security Onion.

9. ДОПОМОГА

Скріншот AIDE

Про «Розширене середовище виявлення вторгнень» можна писати багато, тому розробники цього IDS вирішили скоротити його ім’я до AIDE. Це є безкоштовний HIDS який зосереджується на виявленні руткітів та порівнянні підписів файлів для Unix та Unix-подібних операційних систем, тому він буде працювати і на Mac OS та Linux.

Якщо ви розглядали Tripwire, вам краще дивитися на AIDE замість цього, оскільки це безкоштовна заміна цього зручного інструменту. Tripwire має безкоштовну версію, але багато ключових функцій, які потребують більшість людей від IDS, доступні лише за умови оплати за Tripwire, тому ви отримуєте набагато більше функціональних можливостей безкоштовно з AIDE.

Система збирає базу даних адміністраторських даних з конфігураційних файлів при її першому встановленні. Це створює базову лінію, і тоді будь-які зміни в конфігураціях можна відкотити назад кожного разу, коли виявляються зміни в системних налаштуваннях. Інструмент включає як методи моніторингу підписів, так і аномалії. Системні чеки видаються на вимогу і не працюють постійно, що дефіцит цього ВІЛ. Оскільки це функція командного рядка, ви можете запланувати її періодичне виконання методом роботи, наприклад, cron. Якщо ви хочете отримати дані в режимі реального часу, ви можете просто запланувати їх запуск дуже часто.

AIDE насправді є лише інструментом порівняння даних, і він не містить жодної мови сценаріїв, вам доведеться покладатися на свої навички сценаріїв оболонок, щоб отримати пошук даних і виправити функції впровадження в цей HIDS. Можливо, AIDE слід розглядати скоріше як інструмент управління конфігурацією, а не як система виявлення вторгнень.

10. Відкрийте WIPS-NG

Скріншот OpenWIPS-NG

Якщо ви чули про Aircrack-NG, то ви можете бути з цим трохи обережними мережевий IDS бо його розробив той самий підприємець. Aircrack-NG – це снайпер пакету бездротових мереж та злом паролів, який став частиною інструментарію всіх хакерських мереж Wi-Fi.

У WIPS-NG ми бачимо випадок браконьєра, який перетворився на дичину. Це безкоштовне програмне забезпечення призначене для захисту бездротових мереж. Хоча Aircrack-NG може працювати в багатьох операційних системах, Open WIPS-NG працює лише на Linux. Назва “WIPS” означає “бездротову систему запобігання вторгненням”, тому цей NIDS виявляє і блокує вторгнення..

Система включає три елементи:

  • Датчик
  • Сервер
  • Інтерфейс

Плануються дозволити установку WIPS-NG контролювати декілька датчиків. Однак, На даний момент кожна установка може включати лише один датчик. Це не повинно бути великою проблемою, оскільки за допомогою одного датчика ви можете досягти кількох завдань. Датчик – це снайпер пакету, який також має можливість керувати бездротовими передачами в середньому потоці. Тож датчик виконує роль приймача для системи.

Інформація, зібрана датчиком, передається на сервер, і саме там відбувається магія. Набір серверних програм містить механізм аналізу, який буде виявляти схеми вторгнення. Політика втручання для блокування виявлених вторгнень також виробляється на сервері. Дії, необхідні для захисту мережі, надсилаються як вказівки датчику.

Інтерфейсний модуль системи – це інформаційна панель, на якій відображаються події та попередження системного адміністратора. Тут також можна налаштувати налаштування, а захисні дії можна налаштувати або змінити.

11. Самхайн

Скріншот Samhain

Samhain, що випускається фірмою Samhain Design Labs у Німеччині, є система виявлення вторгнень на основі хоста, яка є безкоштовною для використання. Його можна запустити на одному комп’ютері або на багатьох хостах, пропонуючи централізований збір даних про події, виявлені агентами, що працюють на кожній машині.

Завдання, що виконуються кожним агентом, включають перевірку цілісності файлів, моніторинг файлів журналу та моніторинг портів. Процеси шукають віруси rootkit, несанкціоновані SUID (права доступу користувачів) та приховані процеси. Система застосовує шифрування для зв’язку між агентами та центральним контролером у кількох хост-реалізаціях. З’єднання для доставки даних файлів журналу включають вимоги аутентифікації, які запобігають зловмисникам викрадення або заміни процесу моніторингу.

Дані, зібрані Samhain, дозволяють проаналізувати діяльність в мережі та виділити попереджувальні ознаки вторгнення. Однак, це не блокує вторгнення чи очищення шахрайських процесів. Вам потрібно буде зберігати резервні копії файлів конфігурації та особистих даних, щоб вирішити проблеми, виявлені на моніторі Samhain.

Одна з проблем вторгнення хакерів та вірусів полягає в тому, що зловмисник вживе заходів, щоб сховатися. Сюди входить вбивчі процеси моніторингу. Самхейн використовує технологію стелс щоб зберегти його процеси прихованими, тим самим запобігаючи зловмисникам маніпулювати або вбивати IDS. Цей метод стелс називається “стеганографія”.

Центральні файли журналів та резервні копії конфігурації підписуються ключем PGP, щоб запобігти підробці зловмисників.

Samhain – це система з відкритим кодом, яку можна завантажити безкоштовно. Він був розроблений відповідно до рекомендацій POSIX, щоб зробити його сумісним з Unix, Linux та Mac OS. Центральний монітор збирає дані з різних операційних систем.

12. Fail2Ban

Скріншот Fail2ban

Fail2Ban – це безкоштовна система виявлення вторгнень на основі хоста яка зосереджена на виявленні тривожних подій, записаних у файлах журналів, таких як надмірні невдалі спроби входу. Система встановлює блоки на IP-адреси, які відображають підозрілу поведінку. Зазвичай ці заборони тривають декілька хвилин, але цього може бути достатньо, щоб зірвати стандартний сценарій автоматичного злому пароля. Ця політика також може бути ефективною проти DoS-атак. Фактична довжина заборони IP-адреси може регулюватися адміністратором.

Fail2Ban насправді є система запобігання вторгнень оскільки він може вжити заходів, коли буде виявлено підозрілу активність, а не просто записувати та виділяти можливе вторгнення.

Тому системний адміністратор повинен бути обережним щодо політики доступу при налаштуванні програмного забезпечення, оскільки Занадто жорстка стратегія запобігання може легко заблокувати добросовісних користувачів. Проблема з Fail2Ban полягає в тому, що він фокусується на повторних діях з однієї адреси. Це не дає йому можливості впоратися з розповсюдженими кампаніями злому паролів або DDoS-атаками.

Fail2Ban написаний на Python, і він може записати в системні таблиці, щоб заблокувати підозрілі адреси. Ці автоматичні блокування відбуваються в Netfilter, iptables, правилах брандмауера PF та таблиці hosts.deny TCP Wrapper.

Область моніторингу атак системи визначається серією фільтри які вказують IPS, на яких службах слідкувати. До них належать Postfix, Apache, Courier Mail Server, Lighttpd, sshd, vsftpd та qmail. Кожен фільтр поєднується з дією, яку потрібно виконати у разі виявлення стану попередження. Поєднання фільтра та дії називається “в’язниця”.

Ця система записана у стандарт POSIX, тому її можна встановити на операційних системах Unix, Linux та Mac OS.

Як вибрати IDS

Вимоги до обладнання мережевих систем виявлення вторгнень можуть відключити вас і підштовхнути до хост-системи, що набагато простіше встати та працювати. Однак не забувайте про те, що вам не потрібно спеціалізоване обладнання для цих систем, а лише спеціалізований хост.

По правді, ви повинні шукати як HIDS, так і NIDS для своєї мережі. Це тому, що потрібно стежити за змінами конфігурації та кореневим доступом на своїх комп’ютерах, а також дивитися на незвичні дії в потоках трафіку у вашій мережі..

Хороша новина полягає в тому, що всі системи в нашому списку безкоштовні або мають безкоштовні випробування, тому ви можете спробувати декілька з них. Аспект спільноти користувачів цих систем може привернути вас до конкретного, якщо у вас вже є колега, який має досвід роботи з цим. Можливість отримувати поради від інших адміністраторів мережі є остаточним приводом для цих систем і робить їх навіть більш привабливими, ніж платні рішення з професійною підтримкою Help Desk.

Якщо ваша компанія перебуває у секторі, який вимагає дотримання стандартів безпеки, наприклад, PCI, вам дійсно знадобиться IDS. Також, якщо ви зберігаєте особисту інформацію серед представників громадськості, ваші процедури захисту даних повинні бути надруковані щоб запобігти позову вашої компанії за витік даних.

Хоча це, ймовірно, займає весь ваш робочий день просто для того, щоб бути в курсі мережевого адміністратора, не відкладайте рішення про встановлення системи виявлення вторгнень. Сподіваємось, цей посібник підштовхнув вас у правильному напрямку. Якщо у вас є якісь рекомендації щодо улюбленого IDS і якщо у вас є досвід роботи з будь-якою із систем, згаданих у цьому посібнику, залиште записку в розділі коментарів нижче та поділіться своїми думками з громадою.

Подальше читання

Посібники для мережевих порівнянь

  • Топ-10 засобів моніторингу локальної мережі на 2018 рік
  • Остаточне керівництво DHCP
  • Остаточне керівництво SNMP
  • Кінцевий посібник з управління мобільними пристроями (MDM) у 2018 році
  • Кінцевий путівник BYOD у 2018 році
  • Топ-10 управління сервером & інструменти моніторингу на 2018 рік
  • Кращі безкоштовні аналізатори та колектори NetFlow для Windows
  • 6 кращих безкоштовних сканерів на вразливість мережі та способи їх використання
  • 8 найкращих снайперів пакетів та мережевих аналізаторів за 2018 рік
  • Найкраще програмне забезпечення та інструменти для моніторингу пропускної здатності для аналізу використання мережевого трафіку

Інша інформація про моніторинг мережі

  • Вікіпедія: система виявлення вторгнень
  • Технічна мета: система виявлення вторгнень (IDS)
  • ОГС: Що таке система виявлення вторгнень?
  • Lifewire: знайомство з системами виявлення вторгнень
  • YouTube: Системи виявлення вторгнень
Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me