9 legjobb hálózati alapú behatolás-felderítő rendszer (NIDS)

9 legjobb NIDS eszköz

Mi a NIDS / hálózati behatolás-érzékelő rendszerek??

A NIDS a betörés-érzékelő rendszer rövidítése. A NIDS olyan rosszindulatú viselkedést észlel egy hálózaton, mint a hackelés, a portok letapogatása és a szolgáltatás megtagadása.

Itt található a listánk a 9 legjobb NIDS eszköz (hálózati behatolás-felderítő rendszerek):

  1. SolarWinds biztonsági eseménykezelő (INGYENES PRÓBAVERZIÓ)
  2. Horkant
  3. tesó
  4. suricata
  5. IBM QRadar
  6. Biztonsági hagyma
  7. Nyílt WIPS-NG
  8. Sagan
  9. Splunk

A NIDS célja

A behatolás-érzékelő rendszerek a hálózati tevékenység mintáit keresi a rosszindulatú tevékenységek azonosítása érdekében. A biztonsági rendszerek ezen kategóriájának szükségessége a hackerek módszereiben bekövetkezett változások miatt merült fel a rosszindulatú tevékenységek blokkolását célzó korábbi sikeres stratégiákra reagálva.

A tűzfalak nagyon hatékonnyá tették a bejövő csatlakozási kísérletek blokkolását. A víruskereső szoftver sikeresen azonosult fertőzések, amelyeket USB-meghajtók, adatlemezek és e-mail csatolmányok továbbítanak. A hagyományos rosszindulatú módszerek letiltásával a hackerek támadási stratégiákhoz fordultak, például a DDoS (Distributed Denial of Service) támadásokhoz. Az élszolgáltatások mostantól kevésbé fenyegetik ezeket a támadási vektorokat.

Ma, az előrehaladott perzisztens fenyegetés (APT) a legnagyobb kihívás a hálózatvezetők számára. Ezeket a támadási stratégiákat a nemzeti kormányok ma is használják a hibrid hadviselés részeként. Egy APT forgatókönyv szerint a hackerek csoportja hozzáférést biztosít a vállalati hálózathoz, és saját céljaira felhasználja a vállalat erőforrásait, valamint hozzáférést kap az eladásra kerülő vállalati adatokhoz.

Az adatközvetítőknek köszönhetően a vállalati adatbázisokban tárolt személyes adatok gyűjtése jövedelmező vállalkozás lett. Ez az információ rosszindulatú célokra is felhasználható és visszajuthat a hozzáférési stratégiákba a doxing révén. A vállalati ügyfelek, beszállítók és munkavállalók adatbázisaiban rendelkezésre álló információk hasznos források a bálnavadászathoz és a dörömbölési kampányhoz. Ezeket a módszereket a művészek hatékonyan alkalmazták arra, hogy becsapják a társaság alkalmazottait a pénzátutalásba vagy a titkok személyes nyilvánosságra hozatalába. Ezek a módszerek lehetnek szokta zsarolni a vállalati dolgozókat munkáltatóik érdekei ellen.

Elégedetlen alkalmazottak szintén problémákat jelentenek a vállalati adatbiztonság szempontjából. A hálózati és adatbázis-hozzáféréssel rendelkező magányos munkavállalók felsértést okozhatnak, ha engedélyezett fiókok használatával kárt okoznak vagy ellopják az adatokat.

Így, A hálózati biztonságnak most olyan módszereket kell tartalmaznia, amelyek messze túlmutatnak az illetéktelen hozzáférés blokkolásán és a rosszindulatú szoftverek telepítésének megakadályozása. A hálózati alapú behatolás-érzékelő rendszerek nagyon hatékony védelmet nyújtanak minden rejtett betolakodó tevékenység ellen, a rosszindulatú munkavállalói tevékenység ellen és a művészek álarcosítása ellen..

Különbség a NIDS és a SIEM között

Amikor új biztonsági rendszereket keres a hálózatához, a SIEM kifejezéssel fog találkozni. Kíváncsi lehet, hogy ez ugyanazt jelenti-e, mint a NIDS.

A SIEM és a NIDS meghatározása nagymértékben átfedésben van. A SIEM jelentése Biztonsági információk és eseménykezelés. A SIEM területe két korábban létező védelmi szoftverkategória kombinációja. Vannak Biztonsági információkezelés (SIM) és Biztonsági eseménykezelés (SEM).

A SEM területe nagyon hasonló a NIDS mezőjéhez. A biztonsági eseménykezelés a SIEM olyan kategóriája, amely az élő hálózati forgalom vizsgálatára összpontosít. Ez pontosan ugyanaz, mint a hálózati alapú behatolás-érzékelő rendszerek specializációja.

NIDS vagy HIDS

A hálózati alapú behatolás-érzékelő rendszerek egy szélesebb kategóriába tartoznak, amely a behatolás-érzékelő rendszerek. Az IDS másik típusa egy host alapú behatolás-észlelési rendszer vagy HIDS. A host alapú behatolásérzékelő rendszerek nagyjából megegyeznek a SIEM biztonsági információkezelési elemével.

Míg a hálózati alapú behatolás-érzékelő rendszerek az élő adatokat veszik figyelembe, a host alapú behatolásérzékelő rendszerek megvizsgálják a rendszer naplófájljait. A NIDS előnye, hogy ezek a rendszerek azonnali. A hálózati forgalom megfigyelésével képesek gyorsan cselekedni. A betolakodók sok tevékenysége azonban csak egy fellépés sorozatán keresztül észlelhető. Sőt, a hackerek is eloszthatják a rosszindulatú parancsokat az adatcsomagok között. Mivel a NIDS a csomagszinten működik, kevésbé képes olyan behatolási stratégiákat észlelni, amelyek a csomagok között terjednek.

A HIDS megvizsgálja az eseményadatokat, miután azokat naplókban tárolták. Rekordok naplófájlokba írása késlelteti a válaszokat. Ez a stratégia azonban lehetővé teszi az analitikai eszközöknek a hálózat több pontján egyidejűleg végrehajtott műveletek észlelését. Például, ha ugyanazt a felhasználói fiókot használják a szétszórt földrajzi helyekről a hálózatba való bejelentkezéshez, és az a fiókot kiosztott alkalmazott ezen helyek egyikén sem helyezkedik el, akkor a fiók nyilvánvalóan veszélybe került..

A betolakodók tudják, hogy a naplófájlok feltárhatják tevékenységüket, így a naplóbejegyzések eltávolítása a hackerek által alkalmazott védekező stratégia. A naplófájlok védelme tehát a HIDS rendszer fontos eleme.

Mind a NIDS, mind a HIDS előnyei vannak. A NIDS gyors eredményeket hoz. Ezeknek a rendszereknek azonban meg kell tanulniuk a hálózat normál forgalmából, hogy megakadályozzák őket a „hamis pozitív."Különösen a hálózat első működési heteiben a NIDS eszközök hajlamosak a behatolások túlzott észlelésére és figyelmeztetések áradására, amelyek bizonyítottan kiemelik a rendszeres tevékenységeket. Egyrészt nem akarja kiszűrni a figyelmeztetéseket, és kockáztathatja, hogy hiányzik a betolakodói tevékenység. Másrészt azonban egy túl érzékeny NIDS megpróbálhatja a hálózati adminisztrációs csapat türelmét.

A HIDS lassabb választ ad, de képes pontosabb kép a betolakodók tevékenységéről mert sokféle naplózási forrásból képes elemezni az események rekordjait. A SIEM megközelítést kell választania, és telepítenie kell mind a NIDS, mind a HIDS hálózatot.

NIDS kimutatási módszerek

A NIDS két alapvető észlelési módszert használ:

  • Anomália-alapú észlelés
  • Aláírás-alapú észlelés

Az aláírás-alapú stratégiák a víruskereső szoftverek által használt észlelési módszerekből származtak. A szkennelési program a hálózati forgalom mintáit keresi, ideértve a következőket bájt szekvenciák és tipikus csomagtípusok amelyeket rendszeresen használnak támadásokhoz.

Anomália-alapú megközelítés összehasonlítja a jelenlegi hálózati forgalmat a tipikus tevékenységgel. Ez a stratégia tehát olyan tanulási fázist igényel, amely meghatározza a normális tevékenység mintáját. Az ilyen típusú észlelésre példa lehet a sikertelen bejelentkezési kísérletek száma. Az emberi felhasználótól elvárható, hogy néhány alkalommal hibás jelszót kapjon, de a brutális erővel beprogramozott behatolási kísérlet sok jelszó kombinációt fog használni, amelyek gyors sorrendben járnak el. Ez egy nagyon egyszerű példa. A terepen az anomália-alapú megközelítés által keresett tevékenységi minták nagyon bonyolult tevékenységek kombinációi lehetnek.

Behatolás észlelése és behatolás megelőzése

A behatolás észlelése a hálózat biztonságának első lépése. A következő lépés: tegyen valamit a betolakodó blokkolására. Egy kicsi hálózaton manuális beavatkozást hajthat végre, frissítheti a tűzfalatáblákat a behatolók IP-címeinek blokkolására és a veszélyeztetett felhasználói fiókok felfüggesztésére. Nagyon nagy hálózaton és olyan rendszereknél, amelyeknek éjjel-nappal aktívnak kell lenniük, valóban át kell vezetnie a fenyegetések orvoslását az automatikus munkafolyamatokkal. A betolakodók tevékenységének kezelésére szolgáló automatikus beavatkozás meghatározza a különbséget a betolakodók észlelési rendszerei és a betolakodásgátló rendszerek (IPS).

Az észlelési szabályok és a helyreállítási házirendek finomítása alapvető fontosságú az IPS stratégiákban, mivel a túlérzékeny észlelési szabályok kiszoríthatják a valódi felhasználókat és leállíthatják a rendszerét.

Ajánlott NIDS

Ez az útmutató a NIDS-re összpontosít, nem pedig a HIDS-eszközökre vagy az IPS-szoftverekre. Meglepő módon sok vezető NIDS szabadon használható, és más felső eszközök ingyenes próbaidőszakot kínálnak.

1. A SolarWinds biztonsági eseménykezelője (INGYENES PRÓBAVERZIÓ)

Solarwinds Napló- és eseménykezelő

Az SolarWinds biztonsági eseménykezelő elsősorban HIDS csomag, de ezzel az eszközzel a NIDS funkciókat is használhatja. Az eszköz analitikai segédprogramként használható a Snort által gyűjtött adatok feldolgozására. Az Snortról az alábbiakban olvashat bővebben. A Snort képes olyan forgalmi adatok rögzítésére, amelyeket megnézhet az 1. eseménykezelőn keresztül.

A NIDS és a HIDS kombinációja ez egy igazán hatékony biztonsági eszköz. A Biztonsági eseménykezelő NIDS szakasza tartalmaz egy szabálybázist, az úgynevezett eseménykorrelációs szabályok, amely észleli a működési rendellenességeket, amelyek behatolást jeleznek. Az eszköz beállítható úgy, hogy automatikusan végrehajtja a munkafolyamatokat a behatolási figyelmeztetés észlelésekor. Ezeket a műveleteket hívják Aktív válaszok. Az anomáliák észlelésekor automatikusan elindítható tevékenységek a következők: folyamatok és szolgáltatások leállítása vagy indítása, felhasználói fiókok felfüggesztése, IP-címek blokkolása és értesítések küldése email, SNMP üzenet, vagy képernyő felvétel. Az aktív válaszok a SolarWinds biztonsági eseménykezelőjévé válnak behatolás-megelőző rendszer.

Ez a mai piacon elérhető IDS csúcspontja, és nem ingyenes. A szoftver csak a Windows Server operációs rendszer, de adatokat gyűjthet a Linux, Unix, és Mac operációs rendszer valamint ablakok. A SolarWinds biztonsági eseménykezelőjét a következő címen szerezheti be 30 napos ingyenes próbaverzió.

SolarWinds biztonsági eseménykezelőTöltse le a 30 napos ingyenes próbaverziót

2. Snort

Snort képernyőképe

A Snort, mely a Cisco Systems tulajdonában van, egy nyílt forráskódú projekt és van szabadon használható. Ez a vezető NIDS ma és sok más hálózati elemző eszköz írta a kimenetet. A szoftver telepíthető ablakok, Linux, és Unix.

Valójában ez egy csomag-szippantó rendszer, amely elemzésre készíti a hálózati forgalom másolatait. Az eszköznek más módjai vannak, és ezek egyike a behatolás észlelése. Behatolás-észlelési módban a Snort „alapszabályok,”, Amely az eszköz észlelési szabályalapja.

Az alapszabályok révén a Snort rugalmas, bővíthető és adaptálható. A házirendeket finomítani kell, hogy azok megfeleljenek a hálózat jellemző tevékenységeinek, és csökkentsék a „hamis pozitív.Megadhatja saját alapszabályait, de nem kell, mert letölthet egy csomagot a Snort webhelyről. Van egy nagyon nagy felhasználói közösség a Snort számára és ezek a felhasználók egy fórumon keresztül kommunikálnak. A szakértő felhasználók ingyenes tippeket és finomításokat biztosítanak másoknak. A közösségből további alapszabályokat is ingyen letölthet. Mivel oly sok ember használja a Snortot, mindig vannak új ötletek és új alapszabályok, amelyeket a fórumokon találhat.

3. Bro

Bro screenshot

Bro NIDS, mint a Snort, azonban jelentős előnye van a Snort rendszerrel szemben - ez az eszköz a Alkalmazási réteg. Ez ingyenes NIDS a tudományos és tudományos közösségek széles körben részesítik előnyben.

Ez egyaránt a aláírás-alapú rendszer és használ is anomália-alapú észlelési módszerek. Képes észrevenni bitszintű minták amelyek rosszindulatú tevékenységet jeleznek a csomagok között.

Az észlelési folyamatot bevezeti két fázis. Ezek közül az elsőt a Bro rendezvény motor. Mivel az adatokat a csomagszintnél magasabbra értékelik, az elemzést nem lehet azonnal elvégezni. A pufferelés szintjének kell lennie, hogy elegendő csomagot együtt lehessen értékelni. Tehát Bro egy kicsit lassabb, mint egy tipikus csomagszintű NIDS, de a rosszindulatú tevékenységeket mégis gyorsabban azonosítja, mint a HIDS. Az összegyűjtött adatokat a következők értékelik: házirend-szkriptek, amely a detektálási folyamat második fázisa.

Lehetséges állítson fel helyreállítási intézkedéseket amelyet egy házirend-szkript automatikusan indít. Ez Bro-t egy behatolás-megelőző rendszerré teszi. A szoftver telepíthető Unix, Linux, és Mac operációs rendszer.

4. Suricata

Suricata screenshotolyan NIDS, hogy az alkalmazásrétegen működik, többcsomagos láthatóságot biztosítva. Ez egy ingyenes eszköz amely nagyon hasonló képességekkel rendelkezik, mint Bro. Bár ezek aláírás-alapú érzékelő rendszerek Ha az alkalmazás szintjén dolgoznak, továbbra is hozzáférhetnek a csomag részleteihez, amely lehetővé teszi a feldolgozó program elérését protokoll szintű információ nem a csomag fejlécéből. Ez magában foglalja az adatok titkosítását, Szállítási réteg és Internet réteg adat.

Ez az IDS is alkalmaz anomália-alapú észlelési módszerek. A csomagos adatokon kívül a Suricata képes TLS tanúsítványokat, HTTP kéréseket és DNS tranzakciókat is megvizsgálni. Az eszköz képes szegmenseket kibontani a fájlokból bitszintű víruskeresés céljából.

A Suricata az a sok eszköz közül, amelyek kompatibilisek a Snort adatszerkezete. Képes végrehajtani a Snort alapszabályait. A kompatibilitás nagy előnye, hogy a Snort közösség tippeket is adhat a Suricata használatával kapcsolatos trükkökhez. Más Snort-kompatibilis eszközök is integrálhatók a Suricata-hoz. Ezek tartalmazzák Snorby, Anaval, BÁZIS, és Squil.

5. IBM QRadar

IBM QRadar

Ez az IBM SIEM eszköz nem ingyenes, de 14 napos ingyenes próbaidőszakot kaphat. Ez egy felhőalapú szolgáltatás, így bárhonnan elérhető. A rendszer kiterjed a behatolás észlelésének minden aspektusára, ideértve a napló-központú tevékenységeit is HIDS valamint az élő forgalmi adatok vizsgálata, amely szintén ezt NIDS-ről teszi. A QRadar által megfigyelt hálózati infrastruktúra kiterjed a Cloud szolgáltatásokra. A lehetséges behatolást kiemelő észlelési házirendek beépülnek a csomagba.

Az eszköz nagyon szép tulajdonsága egy támadás modellező segédprogramja amely segít a rendszer sebezhetőségének tesztelésében. IBM QRadar AI-t alkalmaz az anomálián alapuló behatolás-észlelés megkönnyítésére és egy nagyon átfogó irányítópultot tartalmaz, amely integrálja az adatokat és az események megjelenítését. Ha nem akarja használni a szolgáltatást a felhőben, választhat egy helyszíni verziót, amely fut ablakok.

6. Biztonsági hagyma

Biztonsági hagyma képernyőképe

Ha azt szeretné, hogy az IDS működjön Linux, az ingyenes A biztonságos hagyma NIDS / HIDS csomagja nagyon jó lehetőség. Ez egy nyílt forráskódú projekt, közösségi támogatással. Az eszközhez tartozó szoftver fut Ubuntu és bekerült más hálózati elemző segédprogramokból. Az útmutatóban felsorolt ​​egyéb eszközök egy része integrálódik a biztonsági hagyma csomagba: Horkant, tesó, és suricata. A HIDS funkcionalitást a OSSEC és az első része a Kibana rendszer. A biztonságos hagymában szereplő egyéb ismert hálózati megfigyelő eszközök közé tartozik ELSA, NetworkMiner, Snorby, Squert, Squil, és Xplico.

A segédprogram széles körű elemző eszközöket tartalmaz, és mind aláírási, mind anomália-alapú technikákat használ. Bár a meglévő eszközök újbóli felhasználása azt jelenti, hogy a Security Onion előnyeit élvezi alkotóelemeinek bevált hírneve, a csomag elemeinek frissítése bonyolult lehet..

7. Nyissa meg a WIPS-NG-t

Az OpenWIPS-NG képernyőképe

A nyílt WIPS-NG egy nyílt forráskód projekt, amely segít a vezeték nélküli hálózatok figyelésében. A szerszám egyszerűen használható wifi csomag-szippantó vagy behatolás-érzékelő rendszerként. A segédprogramot ugyanaz a csapat fejlesztette ki, amely létrehozta Aircrack-NG - a hackerek által használt nagyon híres hálózati behatolási eszköz. Tehát, amíg az Open WIPS-NG-t használja a hálózat védelmére, a megfigyelt hackerek a vezeték nélküli jeleket összegyűjtik a testvércsomaggal.

Ez egy ingyenes eszköz ami telepítésre kerül Linux. A szoftvercsomag három összetevőből áll. Ezek egy érzékelő, egy szerver és egy interfész. Az Open WIPS-NG számos helyreállítási eszközt kínál, így az érzékelő interfészként szolgál a vezeték nélküli adó-vevőhöz, mind adatgyűjtésre, mind parancsok küldésére..

8. Sagan

Sagan screenshot

Sagan HIDS. Ugyanakkor a Horkant, ugyanakkor NIDS-ként is működhet. Alternatív megoldásként használhatja tesó vagy suricata élő adatok gyűjtése Sagan számára. Ez ingyenes eszköz telepíthető Unix és Unix-szerű operációs rendszerek, ami azt jelenti, hogy futni fog Linux és Mac operációs rendszer, de nem Windows rendszeren. Ugyanakkor képes feldolgozni a Windows eseménynapló üzeneteit. Az eszköz kompatibilis a Anaval, BÁZIS, Snorby, és Squil.

A Saganba beépített hasznos extrák között van az elosztott feldolgozás és az an IP-cím geolocator. Ez egy jó ötlet, mivel a hackerek gyakran számos IP-címet használnak betolakodó támadásokhoz, de figyelmen kívül hagyják azt a tényt, hogy ezeknek a címeknek a közös helyszíne mese. A Sagan parancsfájlokat futtathat a támadás helyrehozásának automatizálására, amely magában foglalja a kölcsönhatás más segédprogramokkal, például a tűzfalatáblákkal és a címtárszolgáltatásokkal. Ezek a képességek teszik behatolás-megelőző rendszer.

9. Splunk

Splunk képernyőképe

A Splunk egy népszerű hálózati forgalom elemző, amely NIDS és HIDS képességekkel is rendelkezik. Az eszköz telepíthető ablakok és tovább Linux. A segédprogram három kiadásban érhető el. Ezek a Splunk Free, a Splunk Light, a Splunk Enterprise és a Splunk Cloud. Tudod kapni egy 15 napos próba az eszköz felhőalapú verziójához és egy 60 napos ingyenes próbaverzió a Splunk Enterprise. A Splunk Light elérhető egy 30 napos ingyenes próbaverzió. Ezek a verziók tartalmazzák az adatgyűjtési képességeket és a rendellenességek észlelését.

A Splunk biztonsági funkciói az úgynevezett bővítménnyel javíthatók Splunk vállalati biztonság. Ez 7 napos ingyenes próbaverzió alatt érhető el. Ez az eszköz javítja az anomáliák észlelésének pontosságát és csökkenti a hamis pozitív események előfordulását az AI használatával. A riasztás mértékét a figyelmeztetési súlyosság szintjével állíthatjuk be, hogy megakadályozzuk, hogy a rendszergazdák csapata eláraszthasson egy túlzott jelentőségű jelentés modult..

A Splunk integrálja a naplófájl-hivatkozást, hogy történelmi perspektívát kapjon az eseményekről. A támadások és betolakodási tevékenységek mintáit észlelheti, ha megnézi a rosszindulatú tevékenységek gyakoriságát az idő múlásával.

A NIDS végrehajtása

A hálózati biztonságot fenyegető kockázatok most annyira átfogóak, mint te valójában nincs választása, hogy hálózati alapú behatolásjelző rendszereket valósít meg-e. Alapvető fontosságúak. Szerencsére megvan a lehetősége, hogy a NIDS eszközt telepítse.

Jelenleg nagyon sok NIDS eszköz van a piacon, és ezek többsége nagyon hatékony. azonban, valószínűleg nincs elég ideje mindegyik kivizsgálására. Ezért készítettük el ezt az útmutatót. A keresést szűkítheti, csak a legjobb NIDS-eszközökre, amelyeket felvetünk a listánkba.

A listán szereplő összes eszköz vagy ingyenesen használható, vagy ingyenes próbaverzióként is elérhetőek. Ön képes lesz arra, hogy néhány közülük átlépjen. Egyszerűen szűkítse tovább a listát az operációs rendszer szerint, majd értékelje meg, hogy melyik kiválasztott szolgáltatás felel meg a hálózat méretének és a biztonsági igényeknek.

Használ egy NIDS eszközt? Melyiket választotta a telepítéshez? Kipróbált egy HIDS eszközt is? Hogyan hasonlítaná össze a két alternatív stratégiát? Hagy egy üzenetet a Hozzászólások alább, és ossza meg tapasztalatait a közösséggel.

Kép: Hacker számítógépes bűnözés a Pixabay-től. Közösségi terület.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

31 − 21 =

Adblock
detector