Ipinaliwanag ang Mga Sistema sa Pag-tiklop ng Intrusion: 12 Pinagsuri ang Mga Pinakamagandang IDS Tool


Ano ang isang Intrusion Detection System (IDS)?

Sinusubaybayan ng isang intrusion detection system (IDS) ang trapiko sa network para sa hindi pangkaraniwang o kahina-hinalang aktibidad at nagpapadala ng isang alerto sa tagapangasiwa.

Ang pagtuklas ng anomalyang aktibidad at pag-uulat nito sa network administrator ay ang pangunahing pag-andar gayunpaman ang ilang tool ng IDS ay maaaring kumilos batay sa mga panuntunan kapag ang nakakahamak na aktibidad ay nakita halimbawa ang pagharang sa ilang trapiko.

Namin suriin nang detalyado ang bawat isa sa mga tool sa ibaba, ngunit kung sa sandaling ikaw ay maikli sa oras, narito ang isang listahan ng buod ng 12 Pinakamahusay na Mga Sistema sa Pagsunud ng panghihimasok sa Intrusion:

  1. Tagapamahala ng Kaganapan ng SolarWinds Security (FREE TRIAL) Pinagsasama ang parehong mga pag-andar ng mga BATA at NINO upang mabigyan ka ng isang buong sistema ng Impormasyon sa Seguridad at Pamamahala ng Kaganapan (SIEM).
  2. Snort Ipinagkaloob ng Cisco Systems at malayang gamitin, isang nangungunang sistema ng pagtuklas ng batay sa network na batay sa network.
  3. OSSEC Napakahusay na host-based na panghihimasok ng sistema ng pagtuklas na malayang gamitin.
  4. PamahalaanEngine Eventlog Analyzer Isang log file analyzer na naghahanap para sa ebidensya ng panghihimasok.
  5. Suricata Network-based na panghihimasok sistema ng pagtuklas na nagpapatakbo sa application layer para sa higit na kakayahang makita.
  6. Bro Network monitor at network-based na panghihimasok sa sistema ng pag-iwas.
  7. Sagan Ang tool sa pag-analisa ng log na maaaring pagsamahin ang mga ulat na nabuo sa data ng snort, kaya ito ay isang BATA na may kaunting NIDS.
  8. Ang sibuyas ng seguridad Network monitoring at security tool na binubuo mula sa mga elemento na nakuha mula sa iba pang mga libreng tool.
  9. AIDE Ang Advanced na Intrusion Detection Environment ay isang HIDS para sa Unix, Linux, at Mac OS
  10. OpenWIPS-NG Wireless NIDS at sistema ng pag-iwas sa panghihimasok mula sa mga gumagawa ng Aircrack-NG.
  11. Samhain Direkta na host-based na panghihimasok ng sistema ng pagtuklas para sa Unix, Linux, at Mac OS.
  12. Fail2Ban Ang lightweight host-based na panghihimasok ng sistema ng pag-iwas para sa Unix, Linux, at Mac OS.

Mga Uri ng Mga Sistema sa Pag-aaklas ng Pag-intrusion

Mayroong dalawang pangunahing uri ng mga sistema ng pagtuklas ng panghihimasok (ang parehong ay ipinaliwanag nang mas detalyado sa paglaon sa patnubay na ito):

  1. Host-based na panghihimasok panghihimasok (mga bata) – susuriin ng sistemang ito ang mga kaganapan sa isang computer sa iyong network kaysa sa trapiko na dumadaan sa paligid ng system.
  2. Network-based na panghihimasok panghihimasok (NIDS) – susuriin ng sistemang ito ang trapiko sa iyong network.

Ang mga tool at deteksyon ng panghihimasok sa network ay mahalaga ngayon para sa seguridad sa network. sa kabutihang-palad, ang mga sistemang ito ay napakadaling gamitin at karamihan sa mga pinakamahusay na IDS sa merkado ay malayang gamitin. Sa pagsusuri na ito, mababasa mo ang tungkol sa sampung pinakamahusay na mga sistema ng pagtuklas ng panghihimasok na maaari mong mai-install ngayon upang simulan ang pagprotekta sa iyong network mula sa pag-atake. Sinasaklaw namin ang mga tool para sa Windows, Linux, at Mac.

Host Intrusion Detection System (Mga Bata)

Host-based na pagtuklas ng panghihimasok, kilala din sa host ng sistema ng pagtuklas ng panghihimasok o host-based na IDS, suriin ang mga kaganapan sa isang computer sa iyong network kaysa sa trapiko na pumasa sa paligid ng system. Ang ganitong uri ng sistema ng pagtuklas ng panghihimasok ay pinaikling sa Mga anak at higit sa lahat ito ay nagpapatakbo sa pamamagitan ng pagtingin sa data sa mga file ng admin sa computer na pinoprotektahan nito. Kasama sa mga file na iyon ang mga file ng log at i-configure ang mga file.

Susuportahan ng isang bata ang iyong mga file ng config upang maibalik mo ang mga setting ay dapat na paluwagin ng isang malevolent virus ang seguridad ng iyong system sa pamamagitan ng pagbabago ng pag-setup ng computer. Ang isa pang pangunahing elemento na nais mong bantayan laban ay ang pag-access sa ugat sa mga platform na tulad ng Unix o mga pagbabago sa registry sa mga system ng Windows. Ang isang HIDS ay hindi makakapigil sa mga pagbabagong ito, ngunit dapat itong alerto ka kung may naganap na ganoong pag-access.

Ang bawat host ng mga monitor ng HIDS ay dapat magkaroon ng ilang software na naka-install dito. Maaari mo lamang makuha ang iyong mga Anak upang subaybayan ang isang computer. Gayunpaman, mas pangkaraniwan ang pag-install ng mga HIDS sa bawat aparato sa iyong network. Ito ay dahil ayaw mong makaligtaan ang mga pagbabago sa config sa anumang piraso ng kagamitan. Naturally, kung mayroon kang higit sa isang host ng HIDS sa iyong network, hindi mo nais na mag-log in sa bawat isa upang makakuha ng puna. Kaya, ang isang ipinamamahaging sistema ng HIDS ay kailangang magsama ng isang sentralisadong control module. Maghanap para sa isang system na nag-encrypt ng mga komunikasyon sa pagitan ng mga ahente ng host at sentral na monitor.

Mga Sistema sa Pagkuha ng Network ng Pag-intrusion (NIDS)

Sinusuri ng network na nakabatay sa panghihimasok, na kilala rin bilang isang sistema ng pagtuklas ng network ng panghihimasok o network IDS, sinusuri ang trapiko sa iyong network. Tulad ng isang, isang tipikal Mga bata ay may kasamang isang packet sniffer upang makalikom ng trapiko sa network para sa pagtatasa.

Ang analysis engine ng isang NIDS ay karaniwang batay sa panuntunan at maaaring mabago sa pamamagitan ng pagdaragdag ng iyong sariling mga patakaran. Sa maraming NIDS, ang tagapagbigay ng system, o ang pamayanan ng gumagamit, ay gagawa ng mga panuntunan na magagamit sa iyo at maaari mo lamang mai-import ang mga ito sa iyong pagpapatupad. Sa sandaling maging pamilyar ka sa mga syntax ng tuntunin ng iyong napiling NIDS, magagawa mong lumikha ng iyong sariling mga patakaran.

Pagbabalik sa koleksyon ng trapiko, hindi mo nais na ibagsak ang lahat ng iyong trapiko sa mga file o patakbuhin ang buong lot sa isang dashboard dahil hindi mo lamang masuri ang lahat ng data na iyon. Kaya, ang mga patakaran na nagtutulak ng pagsusuri sa isang NIDS ay lumilikha din ng pumipili ng pagkuha ng data. Halimbawa, kung mayroon kang isang patakaran para sa isang uri ng nakababahala na trapiko sa HTTP, dapat lamang kunin at itago ng iyong NIDS ang mga packet ng HTTP na nagpapakita ng mga katangiang iyon.

Karaniwan, ang isang NIDS ay naka-install sa isang nakatuong piraso ng hardware. Ang mga high-end na bayad na bayad para sa enterprise ay dumating bilang isang piraso ng network kit kasama ang software na paunang naka-load dito. Gayunpaman, hindi mo kailangang magbayad ng malaking bucks para sa espesyalista na hardware. Ang isang NIDS ay nangangailangan ng isang sensor module upang kunin ang trapiko, kaya maaari mong mai-load ito sa isang LAN analyzer, o maaari mong piliin na maglaan ng isang computer upang patakbuhin ang gawain. Gayunpaman, siguraduhin na ang piraso ng kagamitan na pinili mo para sa gawain ay may sapat na bilis ng orasan upang hindi pabagalin ang iyong network.

Mga anak o mga anak?

Ang maikling sagot ay pareho. Ang isang NIDS ay magbibigay sa iyo ng maraming higit pang kapangyarihan sa pagsubaybay kaysa sa isang BATA. Maaari mong makagambala ang mga pag-atake sa nangyari sa isang NINO, samantalang ang isang HIDS ay napansin lamang ang anumang mali kapag ang isang file o isang setting sa isang aparato ay nagbago na. Gayunpaman, dahil lamang sa mga HIDS ay walang gaanong aktibidad tulad ng mga NIDS ay hindi nangangahulugang hindi gaanong mahalaga.

Ang katotohanan na ang NIDS ay karaniwang naka-install sa isang naka-hiwalay na piraso ng kagamitan ay nangangahulugan na hindi nito i-drag ang mga processors ng iyong mga server. Gayunpaman, ang aktibidad ng HIDS ay hindi agresibo tulad ng sa NIDS. Ang isang function ng HIDS ay maaaring matupad ng isang magaan na daemon sa computer at hindi dapat masunog ang labis na CPU. Ni ang sistema ay bumubuo ng labis na trapiko sa network.

Mga pamamaraan ng pagtuklas: Mga lagda na nakabase sa lagda o Anomaly-based IDS

Kung naghahanap ka para sa isang sistema ng pagtuklas ng host ng panghihimasok o isang sistema ng deteksyon ng panghihimasok sa network, ang lahat ng mga IDS ay gumagamit ng dalawang mga mode ng operasyon – ang ilan ay maaaring gumamit lamang ng isa o iba pa, ngunit ang karamihan ay gumagamit ng pareho.

  • Mga ID na nakabase sa lagda
  • Mga ID na nakabase sa Anomaly

Mga ID na nakabase sa lagda

Ang pamamaraan na batay sa lagda tumingin sa mga tseke at pagpapatunay ng mensahe. Mga pamamaraan ng pagtukoy batay sa lagda maaaring mailapat din tulad ng NIDS tulad ng mga anak. Titingnan ng isang Anak ang mga file at mag-config ng mga file para sa anumang hindi inaasahang pagsulat, samantalang ang isang NIDS ay titingnan ang mga tseke sa mga packet at mensahe ng pagpapatunay ng integridad ng mga system tulad ng SHA1.

Maaaring isama ng NIDS ang isang database ng mga lagda na ang mga packet na kilala na mga mapagkukunan ng mga nakakahamak na aktibidad na dala. Sa kabutihang palad, ang mga hacker ay hindi nakaupo sa kanilang mga computer na nag-type tulad ng matinding galit upang ma-crack ang isang password o ma-access ang gumagamit ng ugat. Sa halip, gumagamit sila ng mga awtomatikong pamamaraan na ibinigay ng mga kilalang tool ng hacker. Ang mga tool na ito ay may posibilidad na makabuo ng parehong lagda ng trapiko sa bawat oras dahil paulit-ulit na paulit-ulit ang mga programa sa computer sa halip na magpakilala sa mga random na pagkakaiba-iba..

Mga ID na nakabase sa Anomaly

Ang detalyeng batay sa Anomaly naghahanap para sa hindi inaasahang o hindi pangkaraniwang mga pattern ng mga aktibidad. Ang kategoryang ito ay maaari ring ipatupad ng parehong mga host at system-based na panghihimasok sa sistema ng pagtuklas. Sa kaso ng mga BATA, ang isang anomalya ay maaaring paulit-ulit na nabigo na mga pagtatangka sa pag-login, o hindi pangkaraniwang aktibidad sa mga port ng isang aparato na nagpapahiwatig ng pag-scan ng port.

Sa kaso ng NIDS, ang pamamaraan ng anomalya ay nangangailangan ng pagtatatag ng isang baseline ng pag-uugali upang lumikha ng isang pamantayang sitwasyon laban sa kung saan ang patuloy na mga pattern ng trapiko ay maihahambing. Ang isang saklaw ng mga pattern ng trapiko ay itinuturing na katanggap-tanggap, at kapag ang kasalukuyang real-time na trapiko ay lumipat sa saklaw na iyon, isang anomalyang alerto ay pinukaw.

Pagpili ng isang pamamaraan ng IDS

Ang mga sopistikadong NINO ay maaaring makabuo ng isang talaan ng pamantayang pag-uugali at ayusin ang kanilang mga hangganan habang sumusulong ang buhay ng kanilang serbisyo. Sa pangkalahatan, ang parehong pag-sign at pag-analisa ng anomalya ay mas simple sa pagpapatakbo at mas madaling mag-set up sa HIDS software kaysa sa NIDS.

Ang mga pamamaraan na nakabase sa lagda ay mas mabilis kaysa sa pagtuklas na batay sa anomalya. Ang isang ganap na komprehensibong anomalya na makina ay humipo sa mga pamamaraan ng AI at maaaring gastos ng maraming pera upang mabuo. Gayunpaman, ang mga pamamaraan na nakabase sa lagda ay kumulo sa paghahambing ng mga halaga. Tiyak, sa kaso ng mga BATA, ang pagtutugma ng pattern na may mga bersyon ng file ay maaaring maging isang tuwid na gawain na maaaring gawin ng sinuman ang kanilang mga sarili gamit ang mga utility sa utos na may mga regular na expression. Kaya, hindi sila gaanong gastos upang mapaunlad at mas malamang na maipapatupad sa mga libreng sistema ng pagtuklas ng panghihimasok.

Ang isang komprehensibong sistema ng pagtuklas ng panghihimasok ay nangangailangan ng parehong mga pamamaraan na nakabase sa lagda at mga pamamaraan na batay sa anomalya.

Ipagtanggol ang network sa isang IPS

Ngayon kailangan nating isaalang-alang panghihimasok sa mga sistema ng panghihimasok (IPS). Ang mga software ng IPS at IDS ay mga sanga ng parehong teknolohiya dahil hindi ka makakaiwas nang walang pagtuklas. Ang isa pang paraan upang maipahayag ang pagkakaiba sa pagitan ng dalawang sangay na ito ng mga kasangkapan sa panghihimasok ay tawagan silang pasibo o aktibo. Ang isang diretso na pagsubaybay sa panghihimasok at pag-aalerto ay tinatawag minsan na “Passive” na ID. Ang isang sistema na hindi lamang pumutok sa isang panghihimasok ngunit kumikilos upang matanggap ang anumang pinsala at hadlangan ang karagdagang aktibidad ng panghihimasok mula sa isang napansin na mapagkukunan, ay kilala rin bilang isang “Reaktibo” na ID.

Mga reaktibo na IDS, o Ang mga IPS, karaniwang hindi nagpapatupad ng mga solusyon nang direkta. Sa halip, nakikipag-ugnay sila sa mga firewall at application sa pamamagitan ng pag-aayos ng mga setting. Ang isang reaktibong mga BATA ay maaaring makipag-ugnay sa isang bilang ng mga tumutulong sa networking upang maibalik ang mga setting sa isang aparato, tulad ng SNMP o isang naka-install na manager ng pagsasaayos. Ang mga pag-atake sa gumagamit ng ugat, o gumagamit ng admin sa Windows, ay karaniwang hindi awtomatikong inaksyunan bilang pagharang ng isang admin ng gumagamit o pagbabago ng password ng system ay magreresulta sa pag-lock ng system administrator sa labas ng network at server.

Maraming mga gumagamit ng mga IDS ang nag-uulat ng baha ng maling positibo noong una nilang mai-install ang kanilang mga sistema ng pagtatanggol. Tulad ng mga IPS awtomatikong nagpapatupad ng diskarte sa pagtatanggol sa pagtuklas ng isang alerto na kondisyon. Ang mga hindi wastong na-calibrate na mga IPS ay maaaring magdulot ng pagkabagabag at maipalabas ang iyong lehitimong aktibidad sa network.

Upang mabawasan ang pagkagambala sa network na maaaring sanhi ng mga maling positibo, dapat mong ipakilala ang iyong panghihimasok sa pag-iwas at sistema ng pag-iwas sa mga yugto. Maaaring iakma ang mga trigger at maaari mong pagsamahin ang mga kondisyon ng babala upang lumikha ng mga pasadyang mga alerto. Ang pahayag ng mga aksyon na kailangang isagawa sa pagtuklas ng mga banta ay tinatawag na a patakaran. Ang pakikipag-ugnay ng panghihimasok sa pag-iwas at mga pamamaraan sa pag-iwas sa mga firewall ay dapat na partikular na maayos na upang maiiwasan ang mga tunay na gumagamit ng iyong negosyo na mai-lock ng sobrang mahigpit na mga patakaran.

Ang mga sistema ng pagtuklas ng panghihimasok sa pamamagitan ng uri at operating system

Ang mga gumagawa ng software ng IDS ay nakatuon sa mga operating system na katulad ng Unix. Ang ilan ay gumagawa ng kanilang code ayon sa pamantayan ng POSIX. Sa lahat ng mga kasong ito, nangangahulugan ito na ang Windows ay hindi kasama. Bilang ang mga operating system ng Mac OS ng Mac OS X at macOS ay batay sa Unix, ang mga operating system na ito ay mas mahusay na naisagawa sa mundo ng IDS kaysa sa iba pang mga kategorya ng software. Ipinapaliwanag ng talahanayan sa ibaba kung aling mga IDS ang nakabase sa host, na batay sa network, at kung aling mga operating system ang bawat maaaring mai-install.

Maaari mong basahin ang ilang mga pagsusuri na nagsasabing ang Security Onion ay maaaring tumakbo sa Windows. Maaari nito kung una mong mai-install ang isang virtual machine at patakbuhin ito. Gayunpaman, para sa mga kahulugan sa talahanayan na ito, binibilang lamang namin ang software bilang katugma sa isang operating system kung direkta itong mai-install.

Nangungunang Mga tool sa Pag-iikot ng Intrusion & Software

IDSHIDS / NIDSUnixLinuxWindowsMac OS
Tagapamahala ng Kaganapan ng SolarWinds Security (LIBRENG SUBOK)ParehongHindiHindiOoHindi
SnortMga bataOoOoOoHindi
OSSECMga anakOoOoOoOo
PamahalaanEngine Eventlog AnalyzerMga anakOoOoOoOo
SuricataMga bataOoOoOoOo
BroMga bataOoOoHindiOo
SaganParehongOoOoHindiOo
Ang sibuyas ng seguridadParehongHindiOoHindiHindi
AIDEMga anakOoOoHindiOo
Buksan ang WIPS-NGMga bataHindiOoHindiHindi
SamhainMga anakOoOoHindiOo
Fail2BanMga anakOoOoHindiOo

Mga Sistema sa Pagkuha ng Intrusion para sa Unix

Upang maibalik ang impormasyon sa talahanayan sa itaas sa isang listahan ng tukoy na Unix, narito ang mga Anak at mga anak na maaari mong magamit sa platform ng Unix.

Host sistema ng pagtuklas ng host:

  • OSSEC
  • Anunsyo ng EventLog
  • Sagan
  • AIDE
  • Samhain
  • Fail2Ban

Mga sistema ng pagtuklas ng panghihimasok sa network:

  • Snort
  • Bro
  • Suricata
  • Sagan

Mga Sistema sa Pagkuha ng Intrusion para sa Linux

Narito ang mga listahan ng mga sistema ng pagtuklas ng host ng panghihimasok at mga sistema ng panghihimasok sa network na maaari mong patakbuhin sa platform ng Linux.

Host sistema ng pagtuklas ng host:

  • OSSEC
  • Anunsyo ng EventLog
  • Sagan
  • Ang sibuyas ng seguridad
  • AIDE
  • Samhain
  • Fail2Ban

Mga sistema ng pagtuklas ng panghihimasok sa network:

  • Snort
  • Bro
  • Suricata
  • Sagan
  • Ang sibuyas ng seguridad
  • Buksan ang WIPS-NG

Mga Sistema sa Pagkuha ng Intrusion para sa Windows

Sa kabila ng katanyagan ng Windows Server, ang mga nag-develop ng mga sistema ng pagtuklas ng panghihimasok ay hindi masyadong interesado sa paggawa ng software para sa operating system ng Windows. Narito ang ilang mga IDS na tumatakbo sa Windows.

Host sistema ng pagtuklas ng host:

  • Tagapamahala ng Kaganapan ng SolarWinds Security
  • OSSEC
  • Anunsyo ng EventLog

Mga sistema ng pagtuklas ng panghihimasok sa network:

  • Tagapamahala ng Kaganapan ng SolarWinds Security
  • Snort
  • Suricata

Mga Sistema sa Pagkuha ng Intrusion para sa Mac OS

Ang mga nagmamay-ari ng Mac ay nakikinabang mula sa katotohanan na ang Mac OS X at macOS ay parehong batay sa Unix at sa gayon mayroong higit na mga pagpipilian sa sistema ng pag-iintroba ng panghihimasok para sa mga may-ari ng Mac kaysa sa mga may mga computer na nagpapatakbo ng Windows operating system.

Host sistema ng pagtuklas ng host:

  • OSSEC
  • Anunsyo ng EventLog
  • Sagan
  • AIDE
  • Samhain
  • Fail2Ban

Mga sistema ng pagtuklas ng panghihimasok sa network:

  • Bro
  • Suricata
  • Sagan

Pinakamahusay na sistema ng pagtuklas ng panghihimasok

Ngayon ay nakakita ka ng isang mabilis na rundown ng mga host-based na panghihimasok sa mga sistema ng panghihimasok at mga network na nakabatay sa panghihimasok sa pamamagitan ng operating system, sa listahang ito, mas malalim kami sa mga detalye ng bawat isa sa mga pinakamahusay na IDS.

1. Tagapamahala ng Kaganapan ng SolarWinds Security (FREE TRIAL)

Ang Solarwinds Log at Manager ng Kaganapan

Ang Tagapamahala ng Kaganapan ng SolarWinds Security (SEM) ay tumatakbo sa Windows Server, ngunit nagagawa itong mag-log ng mga mensahe na nabuo ng Unix, Linux, at Mac OS mga computer pati na rin Windows Mga PC.

Bilang isang manager ng log, ito ay isang host-based na intrusion detection system dahil nababahala ito sa pamamahala ng mga file sa system. Gayunpaman, pinamamahalaan din nito ang data na nakolekta ni Snort, na ginagawang bahagi ito ng isang sistema ng deteksyon ng intrusion na nakabase sa network.

Ang Snort ay isang malawak na ginagamit na packet sniffer na nilikha ng Cisco Systems (tingnan sa ibaba). Mayroon itong isang tiyak na format ng data, na isinasama ng iba pang mga tagagawa ng tool ng IDS sa kanilang mga produkto. Ito ang kaso sa SolarWinds Security Event Manager. Deteksyon ng panghihimasok sa network sinusuri ng mga system ang data ng trapiko habang nagpapalibot ito sa network. Upang ma-deploy ang mga kakayahan ng NIDS ng Security Event Manager, kakailanganin mong gumamit ng Snort bilang isang tool ng pagkuha ng packet at nakuha ng funnel ang data hanggang sa Security Event Manager para sa pagsusuri. Kahit na ang LEM ay kumikilos bilang isang tool ng HIDS kapag nakikipag-usap sa paglikha ng log file at integridad, may kakayahang makatanggap ng data ng network ng real-time sa pamamagitan ng Snort, na isang aktibidad ng NIDS.

Ang produkto ng SolarWinds ay maaaring kumilos bilang isang sistema ng pag-iwas sa panghihimasok dahil nagagawa nitong mag-trigger ng mga aksyon sa pagtuklas ng panghihimasok. Ang mga package ship na may higit sa 700 mga patakaran ng ugnayan sa kaganapan, na nagbibigay-daan sa ito upang makita ang mga kahina-hinalang aktibidad at awtomatikong nagpapatupad ng mga aktibidad sa remediation. Ang mga pagkilos na ito ay tinawag Mga Aktibong Tugon.

Ang mga Aktibong Tugon ay kinabibilangan ng:

  • Mga alerto sa insidente sa pamamagitan ng SNMP, mga mensahe sa screen, o email
  • Paghihiwalay ng USB aparato
  • Ang pagsuspinde ng account sa gumagamit o pagpapatalsik ng gumagamit
  • Pag-block ng address ng IP
  • Mga proseso ng pagpatay
  • Ang pagsara ng system o pag-restart
  • Ang pagsara ng serbisyo
  • Pag-trigger ng serbisyo

Ang mga kakayahan sa pagproseso ng mensahe ng Snort ng Tagapamahala ng Kaganapan ng Seguridad na gawin itong isang komprehensibo seguridad ng network tool. Nakakahamak na aktibidad maaaring maisara halos agad-agad salamat sa kakayahan ng tool upang pagsamahin ang data ng Snort sa iba pang mga kaganapan sa system. Ang panganib ng pagkagambala sa serbisyo sa pamamagitan ng pagtuklas ng maling positibo ay lubos na nabawasan salamat sa mga pinahusay na patakaran ng ugnayan ng ugnayan ng kaganapan. Maaari mong ma-access ito seguridad ng network sistema sa a 30-araw na libreng pagsubok.

PILIPINO NG EDITOR

Mahalagang tool para sa pagpapabuti ng seguridad, pagtugon sa mga kaganapan at pagkamit ng pagsunod.

I-download: I-download ang 30-araw na LIBRENG Pagsubok

Opisyal na Site: https://www.solarwinds.com/security-event-manager

OS: Windows

2. Snort

Snort screenshot

Snort ay ang pinuno ng industriya sa NIDS, ngunit libre pa rin itong gamitin. Ito ay isa sa ilang mga IDS sa paligid na maaaring mai-install sa Windows. Ito ay nilikha ng Cisco. Ang sistema ay maaaring patakbuhin sa tatlong magkakaibang mga mode at maaaring magpatupad ng mga diskarte sa pagtatanggol, kaya’t ito ay isang sistema ng pag-iwas sa panghihimasok pati na rin isang sistema ng pag-iintriga.

Ang tatlong mga mode ng Snort ay:

  • Mode ng Sniffer
  • Packet logger
  • Ang pagtuklas ng panghihimasok

Maaari kang gumamit ng snort tulad ng isang packet sniffer nang hindi binabali ang mga kakayahan sa pag-iikot ng panghihimasok. Sa mode na ito, nakakakuha ka ng isang live na pagbabasa ng mga packet na dumadaan sa network. Sa mode ng pag-log in ng packet, ang mga detalye ng packet ay nakasulat sa isang file.

Kapag na-access mo ang mga pag-andar ng deteksyon ng panghihimasok sa panghihimasok, humihingi ka ng isang module ng pagsusuri na nalalapat ang isang hanay ng mga patakaran sa trapiko habang dumadaan ito. Ang mga patakarang ito ay tinatawag na “mga patakaran sa batayan,” at kung hindi mo alam kung aling mga patakaran ang kailangan mo, mai-download mo ang mga ito mula sa website ng Snort. Gayunpaman, sa sandaling maging tiwala ka sa mga pamamaraan ng Snort, posible na magsulat ng iyong sarili. Mayroong isang malaking base ng komunidad para sa IDS na ito at sila ay napaka-aktibo sa online sa mga pahina ng komunidad ng website ng Snort. Maaari kang makakuha ng mga tip at tulong mula sa iba pang mga gumagamit at mag-download din ng mga patakaran na naranasan ng mga gumagamit ng Snort.

Ang mga patakaran ay makakakita ng mga kaganapan tulad ng pag-scan ng stealth port, pag-atake ng overlay ng buffer, pag-atake ng CGI, SMB probes, at pag-fingerprint ng OS. Ang mga pamamaraan ng pagtuklas ay nakasalalay sa mga tukoy na patakaran na ginagamit at kasama nila ang pareho mga pamamaraan na batay sa lagda at mga sistema na batay sa anomalya.

Ang katanyagan ni Snort ay nakakaakit ng mga tagasunod sa industriya ng developer ng software. Ang isang bilang ng mga application na nilikha ng iba pang mga software na bahay ay maaaring magsagawa ng mas malalim na pagsusuri ng data na nakolekta ni Snort. Kabilang dito Snorby, BASE, Balot, at Anaval. Tinulungan ka ng mga application na kasama na ito na ang interface para sa Snort ay hindi masyadong user-friendly.

3. OSSEC

OSSEC screenshot

Ang OSSEC ay naninindigan Buksan ang Pinagmulan ng HIDS Security. Ito ay magagamit ang nangungunang mga anak at libre itong gamitin. Bilang isang sistema ng deteksyon ng intrusion na nakabase sa host, ang programa ay nakatuon sa mga file ng log sa computer kung saan mo ito mai-install. Sinusubaybayan nito ang mga lagda ng checksum ng lahat ng iyong mga file ng log upang makita ang posibleng pagkagambala. Sa Windows, panatilihin nito ang mga tab sa anumang mga pagbabago sa pagpapatala. Sa mga system na tulad ng Unix, susubaybayan nito ang anumang mga pagtatangka na makarating sa root account. Bagaman ang OSSEC ay isang open-source project, ito ay tunay na pag-aari ng Trend Micro, isang kilalang tagagawa ng software ng seguridad.

Ang pangunahing application ng pagsubaybay ay maaaring masakop ang isang computer o maraming mga host, pagsasama ng data sa isang console. Bagaman mayroong isang ahente ng Windows na nagpapahintulot sa mga computer ng Windows na masusubaybayan, ang pangunahing aplikasyon ay maaari lamang mai-install sa isang system na tulad ng Unix, na nangangahulugang Unix, Linux o Mac OS. Mayroong isang interface para sa OSSEC para sa pangunahing programa, ngunit ito ay naka-install nang hiwalay at hindi na suportado. Ang mga regular na gumagamit ng OSSEC ay natuklasan ang iba pang mga aplikasyon na gumagana nang maayos bilang isang front-end sa tool ng pangangalap ng data: kasama ang Splunk, Kibana, at Greylog.

Ang mga file ng log na sakop ng OSSEC ay may kasamang FTP, mail, at data ng web server. Sinusubaybayan din nito ang mga log ng kaganapan ng operating system, mga log ng firewall at antivirus, at mga log ng trapiko. Ang pag-uugali ng OSSEC ay kinokontrol ng mga patakaran na na-install mo dito. Maaaring makuha ang mga ito bilang mga add-on mula sa malaking pamayanan ng gumagamit na aktibo para sa produktong ito. Ang patakaran ay tumutukoy sa isang kondisyon ng alerto. Ang mga alerto na iyon ay maaaring ipakita sa console o ipinadala bilang mga abiso sa pamamagitan ng email. Nag-aalok ang Trend Micro ng suporta para sa OSSEC ng bayad.

4. PamahalaanEngine Eventlog Analyzer

PamahalaanEngine ay isang nangungunang tagagawa ng monitoring ng imprastraktura ng IT at mga solusyon sa pamamahala. Anunsyo ng EventLog ay bahagi ng mga produkto ng seguridad ng kumpanya. Ito ay Mga anak na nakatuon sa pamamahala at pagsusuri ng mga file ng log na nabuo ng mga karaniwang aplikasyon at operating system. Naka-install ang tool Windows Server o Linux. Kinokolekta nito ang data mula sa mga operating system at mula sa Mac OS, IBM AIX, HP UX, at Solaris mga sistema. Ang mga log mula sa mga system ng Windows ay nagsasama ng mga mapagkukunan mula sa Windows Server Windows Vista at sa itaas at sa Windows DHCP Server.

Bukod sa mga operating system, ang serbisyo ay nagtitipon at pinagsama ang mga log mula sa Microsoft SQL Server at Oracle mga database. Nagagawa rin nitong mag-channel ng mga alerto mula sa isang bilang ng mga sistema ng anti-virus, kasama na Microsoft Antimalware, ESET, Si Sophos, Norton, Kaspersky, FireEye, Malwarebytes, McAfee, at Symantec. Ito ay magtipon ng mga log mula sa mga web server, firewall, hypervisors, routers, switch, at kahinaan scanner.

Ang EventLog Analyzer ay nagtitipon ng mga mensahe ng log at nagpapatakbo bilang isang server ng log file, pag-aayos ng mga mensahe sa mga file at direktoryo sa pamamagitan ng mapagkukunan ng mensahe at petsa. Ang madaliang mga babala ay ipinapasa rin sa dashboard ng EventLog Analyzer at maaaring pakainin hanggang sa Mga sistema ng Tulong sa Desk bilang mga tiket upang mapukaw ang agarang atensyon mula sa mga technician. Ang pagpapasya sa kung ano ang mga kaganapan na bumubuo ng isang potensyal na paglabag sa seguridad ay hinihimok ng isang module ng banta sa banta na itinayo sa package.

Kasama sa serbisyo ang awtomatikong paghahanap ng log at pag-ugnay ng kaganapan upang makatipon ang mga regular na ulat sa seguridad. Kabilang sa mga ulat na iyon ay isang format para sa Pribadong Pagsubaybay ng Gumagamit at Pag-awdit (PUMA) at iba’t ibang mga format na kinakailangan upang maipakita ang pagsunod sa Ang PCI DSS, FISMA, ISO 27001, GLBA, HIPAA, KAYA, at GDPR.

Ang ManageEngine EventLog Analyzer ay magagamit sa tatlong mga edisyon. Ang una sa mga ito ay Libre. Gayunpaman, ang Free edition ay limitado sa pagsubaybay sa mga mensahe ng log mula sa limang mapagkukunan, na hindi sapat na sapat para sa anumang modernong negosyo na lampas sa napakaliit na negosyo. Ang dalawang bayad na edisyon ay Premium at Ipinamamahagi. Ang ipinamamahaging plano ay makabuluhang mas mahal kaysa sa plano ng Premium. Ang Premium system ay dapat na sapat para sa karamihan ng mga negosyo na single-site, habang ang ipinamamahaging bersyon ay magsasakop ng maraming mga site at isang walang limitasyong bilang ng mga mapagkukunan ng log record. Maaari mong subukan ang system na may isang 30-araw na libreng pagsubok na may limitasyon ng 2,000 mga mapagkukunan ng log message.

5. Suricata

Screenshot ng Suricata

Ang Suricata ay marahil ang pangunahing kahalili sa Snort. May isang pangunahing bentahe na ang Suricata ay may higit sa Snort, na kung saan ay kinokolekta nito ang data sa layer ng application. Natapos nito ang isang pagkabulag na kinailangan ni Snort sa mga lagda na nahati sa maraming mga pack ng TCP. Naghihintay ang Suricata hanggang sa ang lahat ng data sa mga packet ay nagtitipon bago ilipat ang impormasyon sa pagsusuri.

Bagaman gumagana ang system sa layer layer ng aplikasyon, nagagawa nitong subaybayan ang aktibidad ng protocol sa mas mababang antas, tulad ng IP, TLS, ICMP, TCP, at UDP. Sinusuri nito ang real-time na trapiko para sa iba’t ibang mga aplikasyon ng network kasama ang FTP, HTTP, at SMB. Ang monitor ay hindi lamang tumingin sa istraktura ng packet. Maaari itong suriin ang mga sertipiko ng TLS at tumuon sa mga kahilingan sa HTTP at mga tawag sa DNS. Ang isang pasilidad ng pagkuha ng file ay nagbibigay-daan sa iyo upang suriin at ibukod ang mga kahina-hinalang mga file na may mga katangian ng impeksyon sa virus.

Ang Suricata ay katugma sa Snort at maaari mong gamitin ang parehong mga patakaran sa VRT na isinulat para sa pinuno ng NIDS. Ang mga tool ng third-party na, tulad ng Snorby, BASE, Balot, at Anaval na pagsasama sa Snort ay maaari ring tumungo sa Suricata. Kaya, ang pag-access sa komunidad ng Snort para sa mga tip at libreng mga patakaran ay maaaring maging isang malaking pakinabang para sa mga gumagamit ng Suricata. Pinapayagan ka ng isang built-in na script ng script na pagsamahin ang mga patakaran at makakuha ng isang mas tumpak na profile ng pagtuklas kaysa sa maibibigay sa iyo ni Snort. Ang Suricata ay gumagamit ng parehong lagda at mga pamamaraan na batay sa anomalya.

Ang Suricata ay may isang matalinong arkitektura sa pagproseso na nagbibigay-daan sa pagpabilis ng hardware sa pamamagitan ng paggamit ng maraming iba’t ibang mga processors para sa sabay-sabay, maraming aktibidad na may sinulid. Maaari ring tumakbo nang bahagya sa iyong graphics card. Ang pamamahagi ng mga gawain ay nagpapanatili ng pag-load mula sa pagdala sa isang host lamang. Mabuti iyon dahil ang isang problema sa NIDS na ito ay medyo mabigat sa pagproseso. Ang Suricata ay may isang napaka slick-looking dashboard na nagsasama ng mga graphics upang mas madali ang pagsusuri at pagkilala sa problema. Sa kabila ng mamahaling harapan na harapan na ito, Ang Suricata ay walang bayad.

6. Bro

Bro screenshot

Si Bro ay a libreng NINO na lampas sa pagtuklas ng panghihimasok at maaaring magbigay sa iyo ng iba pang mga pag-andar sa pagsubaybay sa network. Kasama sa pamayanan ng gumagamit ng Bro ang maraming mga institusyong pang-akademikong at pang-agham.

Ang pag-andar ng deteksyon ng panghihimasok sa Bro ay natutupad sa dalawang yugto: trapiko sa pag-log at pagsusuri. Tulad ng Suricata, Ang Bro ay may isang malaking bentahe sa Snort na ang pagsusuri nito ay nagpapatakbo sa application layer. Nagbibigay ito sa iyo ng kakayahang makita sa buong mga packet upang makakuha ng isang mas malawak na pagsusuri sa aktibidad ng protocol ng network.

Ang module ng pagsusuri ng Bro ay may dalawang elemento na parehong nagtatrabaho sa pagsusuri sa lagda at anomalya na pagtuklas. Ang una sa mga tool na ito ng pagsusuri ay ang Bro event engine. Sinusubaybayan ito para sa mga nagaganap na mga kaganapan, tulad ng isang bagong koneksyon sa TCP o isang kahilingan sa HTTP. Ang bawat kaganapan ay naka-log, kaya ang bahaging ito ng system ay hindi patakaran sa neutral – nagbibigay lamang ito ng isang listahan ng mga kaganapan kung saan ang pagsusuri ay maaaring magbunyag ng pag-uulit ng mga aksyon o kahina-hinala na magkakaibang aktibidad na nilikha ng parehong account ng gumagamit.

Ang pagmimina ng data ng kaganapan na iyon ay isinagawa ng mga script ng patakaran. Ang isang alerto na kondisyon ay magpapasigla ng isang pagkilos, kaya Ang Bro ay isang sistema ng pag-iwas sa panghihimasok pati na rin isang network traffic analyzer. Ang mga script ng patakaran ay maaaring ipasadya ngunit sa pangkalahatan sila ay tumatakbo kasama ang isang karaniwang balangkas na nagsasangkot ng pagtutugma sa lagda, anomalya na pagtuklas, at pagtatasa ng koneksyon.

Maaari mong subaybayan ang aktibidad ng HTTP, DNS, at FTP kay Bro at subaybayan din ang trapiko ng SNMP, nagbibigay-daan sa iyo upang suriin ang mga pagbabago sa pagsasaayos ng aparato at mga kondisyon ng SNMP Trap. Ang bawat patakaran ay isang hanay ng mga patakaran at hindi ka limitado sa bilang ng mga aktibong patakaran o ang mga layer ng protocol stack na maaari mong suriin. Sa mas mababang antas, maaari kang magbantay para sa mga pag-atake ng baha sa DDoS at makita ang pag-scan ng port.

Maaaring mai-install ang Bro sa Unix, Linux, at Mac OS.

7. Sagan

Sagan screenshot

Si Sagan ay a host-based na sistema ng pagtuklas ng panghihimasok, kaya ito ay isang kahalili sa OSSEC at ito rin malayang gamitin. Sa kabila ng pagiging isang HIDS, ang programa ay katugma sa data na natipon ni Snort, na kung saan ay isang sistema ng NIDS. Ang katugma na ito ay umaabot din sa iba pang mga tool na maaaring magamit kasabay ng Snort, tulad ng Snorby, BASE, Balot, at Anaval. Ang mga mapagkukunan ng data mula sa Bro at Suricata ay maaari ring feed sa Sagan. Ang tool na ito ay maaaring mai-install sa Unix, Linux, at Mac OS. Kahit na hindi mo maaaring patakbuhin ang Sagan sa Windows, maaari mong feed ang mga log ng kaganapan sa windows.

Mahigpit na nagsasalita, Ang Sagan ay isang tool sa pagsusuri ng log. Ang elemento na kulang ito upang gawin itong isang stand-alone NIDS ay isang packet sniffer module. Gayunman, sa dagdag na bahagi, nangangahulugan ito na hindi kailangan ng Sagan ng nakatuon na hardware at mayroon itong kakayahang umangkop upang suriin ang parehong mga host log at data ng trapiko sa network. Ang tool na ito ay kailangang maging kasama sa iba pang mga sistema ng pangangalap ng data upang lumikha ng isang buong sistema ng pagtuklas ng panghihimasok.

Ang ilang mga magagandang tampok ng Sagan ay may kasamang isang IP tagahanap, na nagbibigay-daan sa iyo upang makita ang lokasyon ng heograpiya ng mga IP address na napansin bilang pagkakaroon ng mga kahina-hinalang aktibidad. Ito ay magpapahintulot sa iyo na pag-iipon ang mga pagkilos ng mga IP address na tila nagtatrabaho sa konsyerto upang makabuo ng isang pag-atake. Maaaring ipamahagi ng Sagan ang pagproseso nito sa maraming mga aparato, pinagaan ang pag-load sa CPU ng iyong key server.

Kasama sa sistemang ito ang pagpapatupad ng script, na nangangahulugang bubuo ito ng mga alerto at magsagawa ng mga aksyon sa pagtuklas ng mga senaryo ng panghihimasok. Maaari itong makipag-ugnay sa mga talahanayan ng firewall upang maipatupad ang mga pagbabawal ng IP sa kaganapan ng kahina-hinalang aktibidad mula sa isang tiyak na mapagkukunan. Kaya, ito ay isang sistema ng pag-iwas sa panghihimasok. Ang module ng pagsusuri ay gumagana sa parehong mga pamamaraan sa pag-sign at anomalya na pagtuklas.

Hindi ito inilalagay ni Sagan sa listahan ng lahat ng mga pinakamagandang IDS sapagkat hindi ito tunay na karapat-dapat bilang isang IDS, pagiging isang analyst ng log file. Gayunpaman, ang mga HIDS nito na may isang splash ng konsepto ng NIDS ay ginagawang isang kawili-wiling panukala bilang isang sangkap na tool na pagsusuri ng hybrid na IDS.

8. Sibuyas ng Seguridad

Screenshot sa sibuyas na screenshot

Para sa isang timpla ng mga solusyon sa IDS, maaari mong subukan ang libreng Security Onion system. Karamihan sa mga tool ng IDS sa listahang ito ay mga bukas na mapagkukunan na proyekto. Nangangahulugan ito na maaaring mai-download ng sinuman ang source code at baguhin ito. Iyon mismo ang ginawa ng developer ng Security Onion. Kinuha niya ang mga elemento mula sa source code ng Snort, Suricata, OSSEC, at Bro at pinagsama ang mga ito upang gawin ito libreng Linux na batay sa Linux / Hibrid. Ang Security Onion ay nakasulat upang tumakbo sa Ubuntu at isinasama rin nito ang mga elemento mula sa mga front-end system at mga tool sa pagsusuri kabilang ang Snorby, Sguil, Squert, Kibana, ELSA, Xplico, at NetworkMiner.

Kahit na ang Security Onion ay inuri bilang isang NIDS, kasama rin dito ang mga pag-andar ng mga BATA. Susubaybayan nito ang iyong mag-log at i-configure ang mga file para sa mga kahina-hinalang aktibidad at suriin sa mga tseke ng mga file na iyon para sa anumang hindi inaasahang mga pagbabago. Ang isang downside ng komprehensibong pamamaraan ng Security Onion sa pagmamanman ng network ay ang pagiging kumplikado nito. Mayroong iba’t ibang iba’t ibang mga istraktura ng operating at walang sapat na materyal sa pag-aaral sa online o naka-bundle upang matulungan ang administrator ng network na makuha ang buong kakayahan ng tool.

Ang pagsusuri sa network ay isinasagawa ng isang packet sniffer, na maaaring magpakita ng pagpasa ng data sa isang screen at magsulat din sa isang file. Ang analysis engine ng Security Onion ay kung saan kumplikado ang mga bagay dahil maraming iba’t ibang mga tool na may iba’t ibang mga pamamaraan ng pagpapatakbo na maaari mong mahusay na tapusin ang karamihan sa mga ito. Ang interface ng Kibana ay nagbibigay ng dashboard para sa Security Onion at kasama dito ang ilang mga magagandang grap at tsart upang mapagaan ang pagkilala sa katayuan.

Ang parehong mga patakaran na batay sa lagda at anomalya na batay sa alerto ay kasama sa sistemang ito. Nakakakuha ka ng impormasyon sa katayuan ng aparato pati na rin ang mga pattern ng trapiko. Ang lahat ng ito ay maaaring talagang gawin sa ilang mga pag-aautomat ng pagkilos, na kakulangan ng Security sibuyas.

9. AIDE

AIDE screenshot

Ang “Advanced na Intrusion Detection Environment” ay maraming isulat, kaya’t nagpasya ang mga developer ng IDS na ito na maikli ang pangalan nito sa AIDE. Ito ay isang libreng mga anak na nakatuon sa pagtuklas ng rootkit at mga paghahambing sa file ng lagda para sa mga operating system na tulad ng Unix at Unix, kaya gagana rin ito sa Mac OS at Linux.

Kung isaalang-alang mo ang Tripwire, mas mahusay mong tingnan ang AIDE sa halip, dahil ito ay isang libreng kapalit para sa madaling gamiting tool. Ang Tripwire ay may libreng bersyon, ngunit maraming mga pangunahing pag-andar na kailangan ng karamihan sa mga tao mula sa isang IDS ay magagamit lamang kasama ang bayad na para sa Tripwire, kaya makakakuha ka ng higit pang pag-andar nang libre sa AIDE.

Pinagsasama ng system ang isang database ng data ng admin mula sa mga file ng config kapag ito ay nai-install. Na lumilikha ng isang baseline at pagkatapos ang anumang mga pagbabago sa mga pagsasaayos ay maaaring i-roll pabalik tuwing nakikita ang mga pagbabago sa mga setting ng system. Kasama sa tool ang kapwa pirma at mga pamamaraan ng pagsubaybay sa anomalya. Ang mga pagsusuri sa system ay inisyu sa demand at hindi patuloy na tumatakbo, na kung saan ay isang maliit na pagkukulang sa mga BATA na ito. Bilang ito ay isang function na linya ng utos, gayunpaman, maaari mong i-iskedyul ito upang tumakbo nang pana-panahon gamit ang isang paraan ng pagpapatakbo, tulad ng cron. Kung nais mo malapit sa data ng real-time, maaari mo lamang itong iskedyul upang tumakbo nang madalas.

Ang AIDE ay talagang isang tool lamang sa paghahambing ng data at hindi ito kasama ang anumang wika ng script, kakailanganin mong umasa sa iyong mga kasanayan sa script ng shell upang makakuha ng mga paghahanap ng data at mag-tuntunin ng mga pagpapaandar sa pagpapatupad sa mga HIDS. Siguro ang AIDE ay dapat isaalang-alang nang higit pa bilang isang tool sa pamamahala ng pagsasaayos kaysa sa isang sistema ng pagtuklas ng panghihimasok.

10. Buksan ang WIPS-NG

OpenWIPS-NG screenshot

Kung narinig mo ang tungkol sa Aircrack-NG, baka maaari kang maging maingat dito network na nakabase sa network sapagkat ito ay binuo ng parehong negosyante. Ang Aircrack-NG ay isang wireless network packet sniffer at password cracker na naging bahagi ng bawat tool ng hacker ng wifi network.

Sa WIPS-NG nakita namin ang isang kaso ng poacher-naka-gamekeeper. Ang libreng software na ito ay dinisenyo upang ipagtanggol ang mga wireless network. Kahit na ang Aircrack-NG ay maaaring tumakbo sa isang hanay ng mga operating system, ang Open WIPS-NG ay tumatakbo lamang sa Linux. Ang pangalang “WIPS” ay nakatayo para sa “wireless na panghihimasok sa sistema ng pag-iwas,” kaya’t ang NIDS ay parehong nakakakita at humarang sa panghihimasok.

Ang system ay may kasamang tatlong elemento:

  • Sensor
  • Server
  • Interface

May mga plano upang payagan ang isang pag-install ng WIPS-NG upang masubaybayan ang maraming mga sensor. Gayunpaman, sa ngayon, ang bawat pag-install ay maaari lamang isama ang isang sensor. Hindi iyon dapat masyadong maraming problema dahil makakamit mo ang maraming mga gawain sa isang sensor lamang. Ang sensor ay isang packet sniffer, na mayroon ding kakayahang manipulahin ang mga wireless na pagpapadala sa kalagitnaan ng daloy. Kaya ang sensor ay kumikilos bilang transceiver para sa system.

Ang impormasyong natipon ng sensor ay ipinapasa sa server, kung saan nangyayari ang mahika. Ang suite ng server ng server ay naglalaman ng engine ng pagtatasa na makakakita ng mga pattern ng panghihimasok. Ang mga patakaran ng interbensyon upang mai-block ang mga nakitang panghihimasok ay ginawa din sa server. Ang mga pagkilos na kinakailangan upang maprotektahan ang network ay ipinadala bilang mga tagubilin sa sensor.

Ang module ng interface ng system ay isang dashboard na nagpapakita ng mga kaganapan at mga alerto sa mga administrator ng system. Narito rin kung saan maaaring mai-tweak ang mga setting at ang mga nagtatanggol na aksyon ay maaaring maiayos o mapalitan.

11. Samhain

Samhain screenshot

Ang Samhain, na ginawa ni Samhain Design Labs sa Alemanya, ay isang host-based na intrusion system detection na malayang gamitin. Maaari itong patakbuhin sa isang solong computer o sa maraming mga host, na nag-aalok ng sentralisadong data pagtitipon sa mga kaganapan na nakita ng mga ahente na tumatakbo sa bawat makina.

Ang mga gawain na isinagawa ng bawat ahente ay may kasamang pagsuri sa integridad ng file, pagsubaybay sa file ng log, at pagsubaybay sa port. Ang mga proseso ay naghahanap ng mga virus ng rootkit, mga rogue SUID (mga karapatan sa pag-access ng gumagamit), at mga nakatagong proseso. Nalalapat ang system ng pag-encrypt sa mga komunikasyon sa pagitan ng mga ahente at isang sentral na controller sa mga pagpapatupad ng multi-host. Ang mga koneksyon para sa paghahatid ng data ng log file ay may kasamang mga kinakailangan sa pagpapatunay, na pumipigil sa mga nanghihimasok sa pag-hijack o pagpapalit ng proseso ng pagsubaybay.

Ang data na natipon ni Samhain ay nagbibigay-daan sa pagsusuri ng mga aktibidad sa network at i-highlight ang mga palatandaan ng mga panghihimasok sa panghihimasok. Gayunpaman, hindi nito hahadlangan ang panghihimasok o limasin ang mga proseso ng rogue. Kailangan mong panatilihin ang mga backup ng iyong mga file ng pagsasaayos at mga pagkakakilanlan ng gumagamit upang malutas ang mga problema na isinisiwalat ng Samhain monitor.

Ang isang problema sa hacker at panghihimasok sa virus ay ang panghihimasok ay gagawa ng mga hakbang upang maitago. Kasama dito ang pagpatay sa mga proseso ng pagsubaybay. Nagtataglay si Samhain ng isang teknolohiyang nakaw upang panatilihing nakatago ang mga proseso nito, kaya pinipigilan ang mga nanghihimasok sa pagmamanipula o pagpatay sa mga IDS. Ang pamamaraang stealth na ito ay tinatawag na “steganography.”

Ang mga file ng gitnang log at mga backup na pagsasaayos ay nilagdaan gamit ang isang key ng PGP upang maiwasan ang pag-tampe ng mga intruder.

Ang Samhain ay isang bukas na sistema ng mapagkukunan na maaaring ma-download nang libre. Dinisenyo ito kasama ang mga patnubay ng POSIX upang gawin itong katugma sa Unix, Linux, at Mac OS. Ang gitnang monitor ay magbubuklod ng data mula sa magkakaibang mga operating system.

12. Nabigo ang2

Nabigong screenshot

Ang Fail2Ban ay a libreng sistema ng pagtuklas na nakabatay sa host na batay sa host na nakatuon sa pag-alok ng mga nakakabahalang mga kaganapan na naitala sa mga file ng log, tulad ng labis na nabigo na mga pagtatangka sa pag-login. Nagtatakda ang system ng mga bloke sa mga IP address na nagpapakita ng kahina-hinalang pag-uugali. Ang mga pagbabawal na ito ay karaniwang tumatagal lamang ng ilang minuto, ngunit iyon ay maaaring sapat upang matakpan ang isang pamantayang awtomatikong lakas ng braso na password ng pag-crack ng password. Ang patakarang ito ay maaari ring maging epektibo laban sa mga pag-atake sa DoS. Ang aktwal na haba ng pagbawas sa IP address ay maaaring maiakma ng isang tagapangasiwa.

Ang Fail2Ban ay talagang isang sistema ng pag-iwas sa panghihimasok dahil maaari itong kumilos kapag ang kahina-hinalang aktibidad ay napansin at hindi lamang naitala at isang mai-highlight na posibleng panghihimasok.

Samakatuwid, ang tagapangasiwa ng system ay dapat mag-ingat sa mga patakaran sa pag-access kapag nagse-set up ang software dahil isang diskarte sa pag-iwas na masyadong masikip ay madaling i-lock ang mga gumagamit ng bona fide. Ang isang problema sa Fail2Ban ay na nakatuon ito sa paulit-ulit na pagkilos mula sa isang address. Hindi ito binibigyan ng kakayahang makayanan ang ipinamamahaging mga kampanya sa pag-crack ng password o pag-atake ng DDoS.

Ang Fail2Ban ay nakasulat sa Python at nagagawa nitong sumulat sa mga talahanayan ng system upang mai-block ang mga kahina-hinalang address. Ang mga awtomatikong lockout na ito ay nangyayari sa Netfilter, iptable, PF na mga patakaran sa firewall, at talahanayan ng host.deny ng TCP Wrapper.

Ang saklaw ng pagsubaybay sa pag-atake ng system ay tinukoy ng isang serye ng mga filter na nagtuturo sa IPS kung saan ang mga serbisyo upang subaybayan. Kabilang dito ang Postfix, Apache, Courier Mail Server, Lighttpd, sshd, vsftpd, at qmail. Ang bawat filter ay pinagsama sa isang aksyon na gaganap sa kaganapan ng isang kondisyon ng alerto na napansin. Ang kumbinasyon ng isang filter at isang aksyon ay tinatawag na “kulungan.”

Ang sistemang ito ay nakasulat sa pamantayan ng POSIX, kaya mai-install ito sa mga operating system ng Unix, Linux, at Mac OS.

Paano pumili ng isang IDS

Ang kinakailangan ng hardware ng mga system na nakabatay sa panghihimasok sa network ay maaaring maglagay sa iyo at itulak sa iyo patungo sa isang sistema na nakabase sa host, na mas madaling bumangon at tumatakbo. Gayunpaman, huwag kalimutan ang katotohanan na hindi mo kailangan ang dalubhasang hardware para sa mga sistemang ito, isang dedikadong host lamang.

Sa katotohanan, dapat kang tumingin sa pagkuha ng parehong mga BATA at isang NINO para sa iyong network. Ito ay dahil kailangan mong magbantay para sa mga pagbabago sa pagsasaayos at pag-access sa ugat sa iyong computer pati na rin ang pagtingin sa mga hindi pangkaraniwang aktibidad sa daloy ng trapiko sa iyong network.

Ang mabuting balita ay ang lahat ng mga system sa aming listahan ay walang bayad o walang libreng pagsubok, kaya maaari mong subukan ang ilan sa mga ito. Ang aspeto ng komunidad ng gumagamit ng mga sistemang ito ay maaaring magdala sa iyo patungo sa isa sa partikular kung mayroon kang isang kasamahan na may karanasan dito. Ang kakayahang makakuha ng mga tip mula sa ibang mga administrator ng network ay isang tiyak na draw sa mga sistemang ito at ginagawang mas kapana-panabik ang mga ito kaysa sa mga bayad na bayad para sa suporta ng propesyonal na Tulong sa desk.

Kung ang iyong kumpanya ay nasa isang sektor na nangangailangan ng pagsunod sa pamantayan sa seguridad, tulad ng isang PCI, pagkatapos ay kakailanganin mo talaga ang isang IDS sa lugar. Gayundin, kung may hawak ka ng personal na impormasyon sa mga miyembro ng publiko, ang iyong mga pamamaraan sa proteksyon ng data ay kailangang maging simula upang maiwasan ang iyong kumpanya na mai-sued para sa pagtagas ng data.

Kahit na marahil ay tumatagal ng lahat ng iyong araw ng pagtatrabaho upang mapanatili lamang sa tuktok ng iyong admin sa network ng tray, huwag tanggalin ang desisyon na mag-install ng isang sistema ng pagtuklas ng panghihimasok. Sana, ang gabay na ito ay nagbigay sa iyo ng isang push sa tamang direksyon. Kung mayroon kang anumang mga rekomendasyon sa iyong mga paboritong IDS at kung mayroon kang karanasan sa alinman sa mga system na nabanggit sa gabay na ito, mag-iwan ng isang tala sa seksyon ng mga komento sa ibaba at ibahagi ang iyong mga saloobin sa komunidad.

Karagdagang Pagbasa

Mga gabay sa network ng Comparitech

  • Nangungunang 10 mga tool sa pagsubaybay sa LAN para sa 2018
  • Ang tiyak na gabay sa DHCP
  • Ang tiyak na gabay sa SNMP
  • Ang panghuli gabay sa pamamahala ng mobile device (MDM) sa 2018
  • Ang panghuli gabay sa BYOD sa 2018
  • Nangungunang 10 server management & mga tool sa pagsubaybay para sa 2018
  • Ang pinakamahusay na libreng analyst ng NetFlow at kolektor para sa Windows
  • 6 ng pinakamahusay na libreng scanner ng network kahinaan at kung paano gamitin ang mga ito
  • 8 pinakamahusay na packet sniffer at network analyzers para sa 2018
  • Pinakamahusay na libreng software sa pagsubaybay sa bandwidth at mga tool upang pag-aralan ang paggamit ng trapiko sa network

Iba pang impormasyon sa pagsubaybay sa network

  • Wikipedia: Sistema ng pagtuklas ng panghihimasok
  • Target ng Tech: Sistema ng pagtuklas ng panghihimasok (IDS)
  • CSO: Ano ang isang sistema ng pagtuklas ng panghihimasok?
  • Lifewire: Panimula sa mga sistema ng pagtuklas ng panghihimasok
  • YouTube: Mga Sistema sa Pagsunud ng panghihimasok
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map