Beveiliging is een hot topic en dat is al een hele tijd geleden. Vele jaren geleden waren virussen de enige zorgen van systeembeheerders. Virussen waren zo gewoon dat het de weg vrijmaakte voor een verbazingwekkende reeks viruspreventiehulpmiddelen. Tegenwoordig zou bijna niemand eraan denken om een ​​onbeschermde computer te gebruiken. Het binnendringen van computers of de ongeoorloofde toegang tot uw gegevens door kwaadwillende gebruikers is echter de "threat du jour". Netwerken zijn het doelwit geworden van vele kwaadwillende hackers die zich tot het uiterste zullen inspannen om toegang te krijgen tot uw gegevens. Uw beste verdediging tegen dit soort bedreigingen is een inbraakdetectie- of preventie-systeem. Vandaag evalueren we tien van de beste gratis hulpmiddelen voor inbraakdetectie.

Voordat we beginnen, bespreken we eerst de verschillende indringingsdetectiemethoden die worden gebruikt. Net zoals er vele manieren zijn waarop indringers je netwerk kunnen betreden, zijn er net zoveel manieren - misschien zelfs meer manieren om ze te detecteren. Vervolgens bespreken we de twee hoofdcategorieën van inbraakdetectiesystemen: netwerkinbraakdetectie en hostintrusiedetectie. Voordat we verder gaan, leggen we vervolgens de verschillen uit tussen inbraakdetectie en inbraakpreventie. En tot slot zullen we u een korte bespreking geven van tien van de beste tools voor gratis inbraakdetectie die we konden vinden.

Intrusion Detection Methods

Er zijn in principe twee verschillende methoden gebruikt om inbraakpogingen te detecteren. Het kan gebaseerd zijn op handtekeningen of op anomalie. Laten we eens kijken hoe ze verschillen. Signature-gebaseerde inbraakdetectie werkt door het analyseren van gegevens voor specifieke patronen die zijn geassocieerd met inbraakpogingen. Het lijkt een beetje op traditionele antivirussystemen die afhankelijk zijn van virusdefinities. Deze systemen zullen gegevens vergelijken met intrusiesignatuurpatronen om pogingen te identificeren. Hun grootste nadeel is dat ze niet werken totdat de juiste handtekening naar de software is geüpload, wat meestal gebeurt nadat een bepaald aantal computers is aangevallen.

Anomalie-gebaseerde inbraakdetectie biedt een betere bescherming tegen zero-day aanvallen, die die plaatsvinden voordat een inbraakdetectiesoftware de kans heeft gehad om het juiste signatuurbestand te verkrijgen. In plaats van te proberen bekende inbraakpatronen te herkennen, zullen deze in plaats daarvan naar anomalieën zoeken. Ze zouden bijvoorbeeld verschillende keren proberen te proberen toegang te krijgen tot een systeem met een verkeerd wachtwoord, een veelvoorkomend teken van een brute force-aanval. Zoals je misschien al geraden hebt, heeft elke detectiemethode voordelen. Daarom gebruiken de beste tools vaak een combinatie van beide voor de beste bescherming.

Twee soorten inbraakdetectiesystemen

Net zoals er verschillende detectiemethoden zijn, zijn er ook twee hoofdtypen inbraakdetectiesystemen. Ze verschillen meestal op de locatie waar de inbraakdetectie wordt uitgevoerd, op hostniveau of op netwerkniveau. Ook hier heeft elk zijn voordelen en de beste oplossing - of de meest veilige - is mogelijk om beide te gebruiken.

Host Intrusion Detection Systems (HIDS)

Het eerste type inbraakdetectiesysteem werkt op het hostniveau. Het kan bijvoorbeeld verschillende logbestanden controleren op tekenen van verdachte activiteit. Het kan ook werken door belangrijke configuratiebestanden te controleren op ongeoorloofde wijzigingen. Dit is wat anomalie-gebaseerde HIDS zou doen. Aan de andere kant zouden op handtekening gebaseerde systemen naar dezelfde log- en configuratiebestanden kijken, maar zouden ze op zoek zijn naar specifieke bekende inbraakpatronen. Het kan bijvoorbeeld bekend zijn dat een bepaalde inbraakmethode werkt door een bepaalde reeks toe te voegen aan een specifiek configuratiebestand dat de op handtekening gebaseerde IDS zou detecteren.

Zoals je je kunt voorstellen, worden HIDS rechtstreeks op het apparaat geïnstalleerd dat ze moeten beschermen, dus je moet ze op al je computers installeren. de meeste systemen hebben echter een gecentraliseerde console waarin u elk exemplaar van de toepassing kunt besturen.

Netwerk inbraakdetectiesystemen (NIDS)

Netwerkinbraakdetectiesystemen of NIDS werken op de grens van uw netwerk om detectie af te dwingen. Ze gebruiken vergelijkbare methoden als host inbraakdetectiesystemen. Natuurlijk, in plaats van te kijken naar log- en configuratiebestanden, zien ze er uit als netwerkverkeer, zoals verbindingsverzoeken. Het is bekend dat sommige inbraakmethoden kwetsbaarheden misbruiken door met opzet verkeerd ingedeelde pakketten naar hosts te sturen, waardoor ze op een bepaalde manier reageren. Netwerkinbraakdetectiesystemen kunnen deze gemakkelijk detecteren.

Sommigen beweren dat NIDS beter zijn dan HIDS omdat ze aanvallen detecteren nog voor ze je computers bereiken. Ze zijn ook beter omdat ze niet hoeven te worden geïnstalleerd op elke computer om ze effectief te beschermen. Aan de andere kant bieden ze weinig bescherming tegen aanvallen van insiders die helaas helemaal niet ongebruikelijk zijn. Dit is een ander geval waarbij de beste bescherming wordt geboden door het gebruik van een combinatie van beide soorten hulpmiddelen.

Intrusion Detection versus Preventie

Er zijn twee verschillende genres van tools in de wereld van inbraakpreventie: inbraakdetectiesystemen en inbraakpreventiesystemen. Hoewel ze een ander doel dienen, is er vaak enige overlap tussen de twee soorten hulpmiddelen. Zoals de naam al aangeeft, detecteert de inbraakdetectie inbraakpogingen en verdachte activiteiten in het algemeen. Wanneer dit het geval is, wordt meestal een soort alarm of melding geactiveerd. Het is dan aan de beheerder om de nodige stappen te nemen om deze poging te stoppen of te blokkeren.

Intrusion prevention-systemen werken daarentegen tegen het volledig stoppen van inbraken. De meeste inbraakpreventiesystemen bevatten een detectiecomponent die enige actie zal triggeren wanneer inbraakpogingen worden gedetecteerd. Maar inbraakpreventie kan ook passief zijn. De term kan worden gebruikt om naar eventuele stappen te verwijzen die zijn ingesteld om intrusies te voorkomen. We kunnen bijvoorbeeld denken aan maatregelen als wachtwoordverharding.

De beste tools voor gratis inbraakdetectie

Inbraakdetectiesystemen kunnen duur, erg duur zijn. Gelukkig zijn er nogal wat gratis alternatieven beschikbaar. we hebben op internet gezocht naar enkele van de beste intrusion detection software tools. We hebben er nogal wat gevonden en we gaan binnenkort de beste tien bekijken die we konden vinden.

1. OSSEC

OSSEC, dat staat voor Open Source Security, is veruit het leidende open-source host inbraakdetectiesysteem. OSSEC is eigendom van Trend Micro, een van de toonaangevende namen op het gebied van IT-beveiliging. De software, wanneer geïnstalleerd op Unix-achtige besturingssystemen, is voornamelijk gericht op log- en configuratiebestanden. Het maakt controlesommen van belangrijke bestanden en valideert ze periodiek, en waarschuwt u als er iets vreemds gebeurt. Het zal ook eventuele oneven pogingen in de gaten houden om root-toegang te krijgen. In Windows houdt het systeem ook oog voor ongeautoriseerde registerwijzigingen.

OSSEC moet een host inbraakdetectiesysteem zijn dat moet worden geïnstalleerd op elke computer die u wilt beschermen. Het consolideert echter de informatie van elke beschermde computer in een enkele console voor eenvoudiger beheer. De software werkt alleen op Unix-achtige systemen, maar er is een agent beschikbaar om Windows-hosts te beschermen. Wanneer het systeem iets detecteert, wordt een waarschuwing weergegeven op de console en worden meldingen per e-mail verzonden.

2. Snort

Net zoals OSSEC de top-open-source HIDS was, is Snort de toonaangevende open-source NIDS. Snort is eigenlijk meer dan een hulpmiddel voor inbraakdetectie. Het is ook een packet-sniffer en een pakketlogger. Maar waar we nu voor in geïnteresseerd zijn, zijn de intrusion detection-functies van Snort. Net als een firewall, wordt Snort geconfigureerd met behulp van regels. Basisregels kunnen worden gedownload van de Snort-website en aangepast aan uw specifieke behoeften. U kunt zich ook abonneren op Snort-regels om ervoor te zorgen dat u altijd de nieuwste versies krijgt terwijl ze evolueren wanneer nieuwe bedreigingen worden geïdentificeerd.

De basisregels voor snurken kunnen een groot aantal verschillende gebeurtenissen detecteren, zoals stealth-poortscans, bufferoverloopaanvallen, CGI-aanvallen, SMB-sondes en vingerafdrukken van besturingssystemen. Wat uw Snort-installatie detecteert, hangt alleen af ​​van welke regels u hebt geïnstalleerd. Sommige basisregels die worden aangeboden, zijn gebaseerd op handtekeningen, terwijl andere op anomalie zijn gebaseerd. Snort gebruiken kan je het beste van beide werelden geven

3. Suricata

Suricata adverteert zichzelf als een systeem voor inbraakdetectie en -preventie en als een compleet ecosysteem voor monitoring van netwerkbeveiliging. Een van de grootste voordelen van deze tool boven Snort is dat het helemaal tot aan de applicatielaag werkt. Hiermee kan het hulpprogramma bedreigingen detecteren die in andere hulpprogramma's onopgemerkt zouden blijven door over meerdere pakketten te worden verdeeld.

Maar Suricata werkt niet alleen op de applicatielaag. Het zal ook protocol op een lager niveau monitoren, zoals TLS, ICMP, TCP en UDP. De tool begrijpt ook protocollen zoals HTTP, FTP of SMB en kan inbraakpogingen detecteren die verborgen zijn in anderszins normale verzoeken. Er is ook een mogelijkheid om bestanden te extraheren, zodat beheerders verdachte bestanden zelf kunnen onderzoeken.

Wat architectuur betreft, is Suricata zeer goed gemaakt en verdeelt het de werkbelasting over verschillende processorcores en threads voor de beste prestaties. Het kan zelfs een deel van zijn verwerking naar de grafische kaart ontladen. Dit is een geweldige functie op servers omdat hun grafische kaart meestal niet actief is.

4. Bro Netwerkbeveiligingsmonitor

Volgende op onze lijst is een product genaamd de Bro Network Security Monitor, een ander gratis netwerkinbraakdetectiesysteem. Bro werkt in twee fasen: verkeersregistratie en analyse. Net als Suricata opereert Bro op de applicatielaag, wat een betere detectie van gesplitste inbraakpogingen mogelijk maakt. Het lijkt alsof alles in paren komt met Bro en zijn analysemodule bestaat uit twee elementen. De eerste is de gebeurtenisengine die triggeringgebeurtenissen zoals netto TCP-verbindingen of HTTP-verzoeken bijhoudt. De gebeurtenissen worden vervolgens verder geanalyseerd door beleidsscripts die beslissen om al dan niet een waarschuwing te activeren en een actie te starten, waardoor Bro een inbraakpreventie wordt naast een detectiesysteem.

Met Bro kunt u HTTP-, DNS- en FTP-activiteiten volgen en SNMP-verkeer controleren. Dit is een goede zaak, want hoewel SNMP vaak wordt gebruikt voor netwerkmonitoring, is het geen veilig protocol. Met Bro kunt u ook wijzigingen in de apparaatconfiguratie en SNMP-traps bekijken. Bro kan worden geïnstalleerd op Unix, Linux en OS X, maar het is niet beschikbaar voor Windows, misschien wel het grootste nadeel.

5. Open WIPS NG

Open WIPS NG maakte het vooral op onze lijst omdat het de enige is die zich specifiek richt op draadloze netwerken. Open WIPS NG-waar WIPS staat voor Wireless Intrusion Prevention System - is een open source-tool die uit drie hoofdcomponenten bestaat. Ten eerste is er de sensor die een stom apparaat is dat alleen draadloos verkeer registreert en dit naar de server verzendt voor analyse. De volgende is de server. Deze verzamelt gegevens van alle sensoren, analyseert de verzamelde gegevens en reageert op aanvallen. Het is het hart van het systeem. Last but not least is de interfacecomponent die de GUI is die u gebruikt om de server te beheren en informatie over bedreigingen op uw draadloze netwerk weer te geven.

Niet iedereen houdt echter van Open WIPS NG. Het product, indien van dezelfde ontwikkelaar als Aircrack NG, een draadloze pakketsniffer en wachtwoordcracker die deel uitmaakt van de toolkit van elke WiFi-hacker. Aan de andere kant kunnen we er vanuit zijn achtergrond van uitgaan dat de ontwikkelaar heel wat weet over Wi-Fi-beveiliging.

6. Samhain

Samhain is een gratis host inbraakdetectiesysteem dat bestand integriteitscontrole en logbestand monitoring / analyse biedt. Daarnaast voert het product ook rootkit-detectie, poortbewaking, detectie van frauduleuze SUID-uitvoerbare bestanden en verborgen processen uit. Deze tool is ontworpen om meerdere systemen te monitoren met verschillende besturingssystemen met gecentraliseerde logging en onderhoud. Samhain kan echter ook worden gebruikt als een stand-alone toepassing op een enkele computer. Samhain kan op POSIX-systemen zoals Unix Linux of OS X draaien. Het kan ook op Windows worden uitgevoerd onder Cygwin, hoewel alleen de monitoringagent en niet de server in die configuratie is getest.

Een van de meest unieke functies van Samhain is de stealth-modus waarmee deze kan worden uitgevoerd zonder dat deze door eventuele aanvallers wordt gedetecteerd. Te vaak doden indringers detectieprocessen die ze herkennen, waardoor ze onopgemerkt blijven. Samhain gebruikt steganografie om zijn processen voor anderen te verbergen. Het beschermt ook zijn centrale logbestanden en configuratieback-ups met een PGP-sleutel om geknoei te voorkomen.

7. Fail2Ban

Fail2Ban is een interessant gratis host inbraakdetectiesysteem dat ook een aantal preventiefuncties heeft. Deze tool werkt door logbestanden te controleren op verdachte gebeurtenissen, zoals mislukte inlogpogingen, opsporingsonderzoeken, enz. Wanneer het iets verdachts detecteert, worden de lokale firewallregels automatisch bijgewerkt om het bron-IP-adres van het kwaadwillige gedrag te blokkeren. Dit is de standaardactie van het hulpprogramma, maar elke andere willekeurige actie, zoals het verzenden van e-mailmeldingen, kan worden geconfigureerd.

Het systeem wordt geleverd met verschillende voorgebouwde filters voor enkele van de meest gebruikelijke services, zoals Apache, Courrier, SSH, FTP, Postfix en nog veel meer. Preventie wordt uitgevoerd door de firewall-tabellen van de host aan te passen. De tool kan werken met Netfilter, IPtables of de hosts.deny-tabel van TCP Wrapper. Elk filter kan aan een of meerdere acties worden gekoppeld. Filters en acties worden samen een gevangenis genoemd.

8. AIDE

AIDE is een afkorting voor Advanced Intrusion Detection Environment. Het gratis host inbraakdetectiesysteem richt zich voornamelijk op rootkit detectie en vergelijking van bestandshandtekeningen. Wanneer u AIDE voor het eerst installeert, compileert het een database met beheerdersgegevens uit de configuratiebestanden van het systeem. Dit wordt vervolgens gebruikt als basis waarop elke verandering kan worden vergeleken en eventueel kan worden teruggedraaid.

AIDE gebruikt zowel op handtekening gebaseerde als anomalie-gebaseerde analyses die op aanvraag worden uitgevoerd en niet worden gepland of continu worden uitgevoerd. Dit is eigenlijk het belangrijkste nadeel van dit product. AIDE is echter een opdrachtregelprogramma en er kan een CRON-taak worden gemaakt om deze op gezette tijden uit te voeren. En als je het heel vaak uitvoert, zoals elke minuut, krijg je quasi-realtime gegevens. In de kern is AIDE niets anders dan een hulpprogramma voor gegevensvergelijking. Externe scripts moeten worden gemaakt om het een echte HIDS te maken.

9. Beveiliging ui

Security Onion is een interessant beest dat je veel tijd kan besparen. Dit is niet alleen een inbraakdetectie- of -preventiesysteem. Security Onion is een complete Linux-distributie met een focus op inbraakdetectie, bewaking van bedrijfsveiligheid en logbeheer. Het bevat veel tools, waarvan we er enkele net hebben besproken. Security Onion heeft bijvoorbeeld Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner en meer. Dit alles wordt gebundeld met een eenvoudig te gebruiken installatiewizard, waarmee u uw organisatie binnen enkele minuten kunt beschermen. U kunt Security Onion zien als het Zwitserse zakmes voor IT-beveiliging van bedrijven.

Het meest interessante van deze tool is dat je alles in één eenvoudige installatie krijgt. En u krijgt zowel netwerk- als hostintrusiedetectietools. Er zijn tools die een op handtekeningen gebaseerde aanpak gebruiken en sommige die op anomalie zijn gebaseerd. De distributie bevat ook een combinatie van op tekst gebaseerde en GUI-tools. Er is echt een uitstekende mix van alles. Het nadeel is natuurlijk dat je zoveel krijgt dat het configureren van het allemaal even kan duren. Maar u hoeft niet alle tools te gebruiken. U kunt alleen die kiezen die u wilt.

10. Sagan

Sagan is eigenlijk meer een loganalysesysteem dan een echte IDS, maar het heeft enkele IDS-achtige functies waarvan we dachten dat het op onze lijst zou worden geplaatst. Deze tool kan de lokale logboeken bekijken van het systeem waarop het is geïnstalleerd, maar het kan ook communiceren met andere hulpmiddelen. Het zou bijvoorbeeld de logbestanden van Snort kunnen analyseren, waardoor effectief een aantal NIDS-functionaliteit wordt toegevoegd aan wat in wezen een HIDS is. En het zal niet alleen communiceren met Snort. Het kan ook communiceren met Suricata en het is compatibel met verschillende regelhulpmiddelen zoals Oinkmaster of Pulled Pork.

Sagan heeft ook mogelijkheden voor het uitvoeren van scripts, waardoor het een onbetrouwbaar inbraakpreventiesysteem wordt. Deze tool wordt waarschijnlijk niet gebruikt als uw enige verdediging tegen inbraak, maar het zal een geweldig onderdeel zijn van een systeem dat veel tools kan bevatten door gebeurtenissen uit verschillende bronnen te correleren.

Conclusie

Inbraakdetectiesystemen zijn slechts een van de vele hulpmiddelen die beschikbaar zijn om netwerk- en systeembeheerders te helpen bij het waarborgen van de optimale werking van hun omgeving. Elk van de hier besproken hulpmiddelen is uitstekend, maar elk heeft een iets ander doel. Degene die je kiest zal grotendeels afhangen van persoonlijke voorkeur en specifieke behoeften.

Werkte Voor U: Robert Gaines & George Fleming | Wilt U Contact Met Ons Opnemen?

Reacties Op De Site: