9 najboljih alata za prepoznavanje provale kroz mrežu (NIDS) utemeljenih na mreži

9 najboljih NIDS alata

Što su NIDS / Network Detection Intrustion Systems?

NIDS je kratica za sustav detekcije upada u mrežu. NIDS otkrivaju gadno ponašanje na mreži kao što je hakiranje, skeniranje portova i odbijanje usluge.

Ovdje je naš popis 9 najboljih NIDS alata (Mrežni sustavi za otkrivanje upada):

  1. Upravitelj sigurnosnih događaja SolarWinds (BESPLATNO ISPITIVANJE)
  2. frka
  3. Bro
  4. Suricata
  5. IBM QRadar
  6. Sigurnosni luk
  7. Otvori WIPS-NG
  8. Sagan
  9. Splunk

Svrha NIDS-a

Sustavi za otkrivanje provale traže obrasce mrežne aktivnosti kako bi identificirali zlonamjernu aktivnost. Potreba za ovom kategorijom sigurnosnog sustava pojavila se zbog promjena u hakerskim metodama kao reakcija na ranije uspješne strategije za blokiranje zlonamjernih aktivnosti.

Vatrozidovi su postali vrlo učinkoviti u blokiranju pokušaja ulazne veze. Antivirusni softver uspješno je identificiran infekcije koje se prenose putem USB štapića, podatkovnih diskova i privitaka e-pošte. S blokiranim tradicionalnim zlonamjernim metodama, hakeri su se okrenuli strategijama napada, kao što su napadi distribuiranog uskraćivanja usluge (DDoS). Edge usluge sada čine ove vektore napada manje prijetećim.

Danas, napredna uporna prijetnja (APT) najveći je izazov mrežnim menadžerima. Ove strategije napada čak i danas koriste nacionalne vlade kao dio hibridnog rata. U APT scenariju, skupina hakera pristupa pristupu korporacijskoj mreži i koristi resurse tvrtke za svoje potrebe kao i pristup podacima o tvrtki na prodaju.

Prikupljanje osobnih podataka u bazama podataka tvrtki postalo je profitabilan posao zahvaljujući agencijama za podatke. Te se informacije mogu koristiti i u zlonamjerne svrhe a također se može vratiti u strategije pristupa putem doxinga. Podaci dostupni o bazama podataka o kupcima, dobavljačima i zaposlenicima tvrtke korisni su resursi za kampanje za kitolov i podvodni ribolov. Umjetnici su učinkovito primijenili ove metode kako bi naveli zaposlenike tvrtke u prijenos novca ili otkrivanje tajni. Ove metode mogu biti koristi se za ucjenjivanje radnika tvrtke da djeluju protiv interesa svojih poslodavaca.

Nezadovoljni zaposlenici također predstavljaju probleme za sigurnost korporativnih podataka. Usamljeni radnik s mrežnim i baznim podacima može opustošiti pomoću ovlaštenih računa kako bi prouzrokovao štetu ili ukrao podatke.

Tako, mrežna sigurnost sada mora obuhvatiti metode koje nadilaze blokiranje neovlaštenog pristupa i sprječavanje instalacije zlonamjernog softvera. Mrežni sustavi za otkrivanje provale nude vrlo učinkovitu zaštitu od svih skrivenih uljeza, zlonamjernih aktivnosti zaposlenika i izvođača koji se maskiraju.

Razlika između NIDS-a i SIEM-a

Kada tražite nove sigurnosne sustave za svoju mrežu, naići ćete na pojam SIEM. Možda se pitate znači li to isto kao i NIDS.

Postoji veliko preklapanje između definicija SIEM-a i NIDS-a. SIEM je kratica Sigurnosne informacije i upravljanje događajima. Područje SIEM-a kombinacija je dvije postojeće kategorije softvera za zaštitu. Tamo su Upravljanje sigurnosnim informacijama (SIM) i Upravljanje sigurnosnim događajima (SEM).

Područje SEM-a vrlo je slično onome u NIDS-u. Upravljanje sigurnosnim događajima kategorija je SIEM-a koja se fokusira na ispitivanje mrežnog prometa uživo. To je potpuno isto kao i specijalizacija mrežnih sustava za otkrivanje provale.

NIDS ili HIDS

Mrežni sustavi za otkrivanje upada dio su šire kategorije, a to su sustavi za otkrivanje provale. Druga vrsta IDS-a je sustav za otkrivanje upada koji se temelji na domaćinu ili HIDS. Sustavi za otkrivanje upada koji se temelje na domaćinu približno su jednaki elementu SIEM-a za upravljanje sigurnosnim informacijama.

Dok mrežni sustavi za otkrivanje provale promatraju žive podatke, sustavi za otkrivanje upada na osnovi domaćina pregledavaju datoteke dnevnika u sustavu. Prednost NIDS-a je u tome što su ovi sustavi neposredni. Promatrajući mrežni promet kako se događa, sposobni su brzo djelovati. Međutim, mnoge se aktivnosti uljeza mogu uočiti samo u nizu radnji. Čak je moguće i hakeri podijeliti zlonamjerne naredbe između paketa podataka. Kako NIDS djeluje na razini paketa, manje je sposoban uočiti strategije napada koji se šire po paketima.

HIDS ispituje podatke o događajima nakon što su pohranjeni u zapisnike. Pisanje zapisa u zapisničke datoteke stvara odgode u odgovorima. Međutim, ova strategija omogućuje analitičkim alatima za otkrivanje radnji koje se odvijaju na više točaka na mreži istovremeno. Na primjer, ako se isti korisnički račun koristi za prijavu u mrežu s raštrkanih geografskih lokacija, a zaposlenik dodijeljen tom računu nalazi se na nijednom od tih mjesta, onda je očito račun ugrožen.

Uljezi znaju da datoteke dnevnika mogu izložiti svoje aktivnosti, pa je uklanjanje zapisa dnevnika obrambena strategija koju hakeri koriste. Zaštita datoteka datoteka je stoga važan element HIDS sustava.

I NIDS i HIDS imaju koristi. NIDS daje brze rezultate. Međutim, ti se sustavi moraju učiti iz uobičajenog prometa mreže kako bi spriječili izvještavanje "lažni pozitivi.„Osobito u prvim tjednima rada na mreži, NIDS alati imaju tendenciju prekomjernog otkrivanja upada i stvaraju poplavu upozorenja koja ukazuju na to da ističu redovitu aktivnost. S jedne strane, ne želite filtrirati upozorenja i riskirati da vam nedostaje uljeza. Međutim, s druge strane, pretjerano osjetljiv NIDS može isprobati strpljenje tima mrežne administracije.

HIDS daje sporiji odgovor, ali može dati točnija slika aktivnosti uljeza jer može analizirati zapise događaja iz širokog raspona izvora zapisnika. Za zaštitu mreže morate koristiti SIEM pristup i rasporediti i NIDS i HIDS.

Metode otkrivanja NIDS-a

NIDS koriste dvije osnovne metode otkrivanja:

  • Otkrivanje temeljeno na anomaliji
  • Otkrivanje na temelju potpisa

Strategije na temelju potpisa nastale su iz metoda otkrivanja koje koristi antivirusni softver. Program za skeniranje traži obrasce u mrežnom prometu, uključujući nizovi bajtova i tipične vrste paketa koji se redovito koriste za napade.

Pristup zasnovan na anomaliji uspoređuje trenutni mrežni promet s tipičnom aktivnošću. Dakle, ova strategija zahtijeva fazu učenja koja uspostavlja obrazac normalne aktivnosti. Primjer ove vrste otkrivanja može biti broj neuspjelih pokušaja prijave. Od ljudskog korisnika se može očekivati ​​da će zaporka pogriješiti nekoliko puta, ali pokušaj upada koji je programiran grubom silom upotrijebio bi mnoge kombinacije lozinki koje voze kroz brzi slijed. To je vrlo jednostavan primjer. Na terenu, obrasci aktivnosti koje traži pristup zasnovan na anomaliji mogu biti vrlo komplicirane kombinacije aktivnosti.

Otkrivanje provale i sprječavanje upada

Otkrivanje upada prvi je korak zaštite vaše mreže. Sljedeći korak je učiniti nešto kako bi blokirali uljeza. Na maloj mreži možda biste mogli poduzeti ručnu intervenciju, ažuriranjem tablica vatrozida kako biste blokirali IP adrese uljeza i obustavili kompromitirane korisničke račune. No, na velikoj mreži i na sustavima koji trebaju biti aktivni svakodnevno, zaista trebate proći kroz sanaciju prijetnji automatiziranim tijekovima rada. Automatska intervencija u rješavanju aktivnosti uljeza je utvrđivanje razlike između sustava za otkrivanje uljeza i sustavi za sprječavanje uljeza.

Fino podešavanje pravila otkrivanja i politika sanacije od vitalnog je značaja za IPS strategije jer pretjerano osjetljivo pravilo otkrivanja može blokirati istinske korisnike i isključiti vaš sustav.

Preporučeni NIDS

Ovaj se vodič usredotočuje na NIDS a ne HIDS alate ili IPS softver. Iznenađujuće je što su mnogi vodeći NIDS-ovi besplatni za upotrebu, a drugi vrhunski alati nude besplatna probna razdoblja.

1. SolarWinds Security Event Manager (BESPLATNO ISPITIVANJE)

Solarwinds Dnevnik i Upravitelj događaja

Upravitelj sigurnosnih događaja SolarWinds uglavnom je HIDS paket, ali uz ovaj alat možete koristiti i NIDS funkcije. Alat se može koristiti kao analitički alat za obradu podataka koje je prikupio Snort. Više o Snorttu možete pročitati u nastavku. Snort može snimiti podatke o prometu koje možete pregledavati putem 1. Manadžera događaja.

Kombinacija NIDS-a i HIDS-a čini ovo stvarno moćan sigurnosni alat. Odjeljak NIDS u Upravitelju sigurnosnih događaja uključuje bazu pravila, koja se naziva pravila korelacije događaja, koje će uočiti anomalije aktivnosti koje ukazuju na upad. Alat se može postaviti tako da automatski implementira tijekove rada na otkrivanje upozorenja o provaliji. Te se akcije pozivaju Aktivni odgovori. Radnje koje možete automatski pokrenuti na otkrivanju anomalije uključuju: zaustavljanje ili pokretanje procesa i usluga, obustavu korisničkih računa, blokiranje IP adresa i slanje obavijesti od e, SNMP poruka, ili snimanje zaslona. Aktivni odgovori pretvaraju SolarWinds Security Event Manager u an sustav za sprečavanje prodora.

Ovo je vrh linije koja je IDS dostupna na tržištu danas i nije besplatna. Softver će se izvoditi samo na Windows Server operativnog sustava, ali može prikupljati podatke Linux, Unix, i Mac OS kao i Windows. SolarWinds Security Event Manager možete dobiti na a 30-dnevno besplatno probno razdoblje.

SolarWinds Security Event ManagerReloading 30-dnevna BESPLATNA probna verzija

2. smrknuti

Snort screenshot

Snort, u vlasništvu Cisco Systems, projekt je otvorenog koda i jest besplatno korištenje. Ovo je vodeći NIDS danas i mnogi drugi mrežni alati za analizu su napisani kako bi koristili svoj izlaz. Softver se može instalirati na Windows, Linux, i Unix.

Ovo je zapravo paket sniffer koji će prikupljati kopije mrežnog prometa na analizu. Međutim, alat ima i druge načine rada, a jedan od njih je i otkrivanje provale. U načinu otkrivanja provale Snort primjenjuje "osnovne politike,"Što je baza pravila za otkrivanje alata.

Bazna pravila čine Snort fleksibilan, proširiv i prilagodljiv. Trebate precizno prilagoditi pravila koja odgovaraju tipičnim aktivnostima vaše mreže i smanjiti učestalost „lažni pozitivi."Možete napisati svoja osnovna pravila, ali to ne morate, jer paket možete preuzeti sa web stranice Snort. Za Snort postoji vrlo velika zajednica korisnika a ti korisnici komuniciraju putem foruma. Stručni korisnici besplatno daju vlastite savjete i preciziranja. Također možete besplatno preuzeti više osnovnih pravila iz zajednice. Kako toliko puno ljudi koristi Snort, na forumima se uvijek pojavljuju nove ideje i nova osnovna pravila.

3. Bro

Snimka zaslona Bro

Bro je NIDS, poput Snort-a, međutim, on ima veliku prednost u odnosu na Snort sustav - ovaj alat djeluje na Sloj aplikacije. Ovaj besplatni NIDS Znanstvena i akademska zajednica široko je omiljena.

Ovo je oboje sustav temeljen na potpisu a koristi i metode otkrivanja temeljene na anomaliji. Može se uočiti obrasci na bitnoj razini koji upućuju na zlonamjernu aktivnost preko paketa.

Postupak otkrivanja upravlja se dvije faze. Prvim od njih upravlja uprava Bro Event Engine. Kako se podaci procjenjuju na višoj razini od paketa, analiza se ne može izvršiti odmah. Mora postojati razina puferiranja kako bi se moglo procijeniti dovoljno paketa zajedno. Dakle, Bro je malo sporiji od tipičnog NIDS-a na razini paketa, ali ipak prepoznaje zloćudne aktivnosti brže od HIDS-a. Prikupljene podatke ocjenjuje skripte politike, što je druga faza postupka otkrivanja.

Moguće je uspostaviti akcije sanacije automatski se pokreće skripta pravila. To Bro čini sustavom za sprečavanje provale. Softver se može instalirati na Unix, Linux, i Mac OS.

4. Suricata

Snimka zaslona Suricatapa NIDS koji djeluje na sloju aplikacije, što mu daje višestruku vidljivost. Ovo je besplatni alat koji ima vrlo slične mogućnosti kao i Bro. Iako ove sustavi otkrivanja na temelju potpisa rade na razini aplikacije, još uvijek imaju pristup detaljima paketa, što omogućuje obradivom programu informacije na razini protokola iz zaglavlja paketa. To uključuje šifriranje podataka, Transportni sloj i Internetski sloj podaci.

Ovaj IDS također zapošljava metode otkrivanja temeljene na anomaliji. Suricata je osim paketnih podataka u mogućnosti ispitati TLS certifikate, HTTP zahtjeve i DNS transakcije. Alat također može izdvojiti segmente iz datoteka na bitnoj razini za otkrivanje virusa.

Suricata je jedan od mnogih alata koji su kompatibilni s Snort struktura podataka. U stanju je provoditi osnovne politike Snort. Velika dodatna korist ove kompatibilnosti je da vam Snort zajednica može dati i savjete o trikovima za korištenje Suricata. Ostali alati kompatibilni s Snortom također se mogu integrirati sa Suricata. Oni uključuju Snorby, Anaval, BAZA, i Squil.

5. IBM QRadar

IBM QRadar

Ovaj IBM SIEM alat nije besplatan, ali možete dobiti 14-dnevno besplatno probno razdoblje. Ovo je usluga utemeljena na oblaku, pa mu se može pristupiti s bilo kojeg mjesta. Sustav pokriva sve aspekte otkrivanja provale, uključujući aktivnosti usmjerene na dnevnik a HIDS kao i ispitivanje podataka o prometu uživo, što ovo također čini NIDS-om. Mrežna infrastruktura koju QRadar može nadzirati proširuje se na Cloud usluge. Politike otkrivanja koje naglašavaju mogući upad ugrađene su u paket.

Vrlo lijepa značajka ovog alata je alat za modeliranje napada koji vam pomaže da testirate svoj sustav na ranjivosti. IBM QRadar koristi AI kako bi olakšao otkrivanje upada temeljeno na anomaliji i ima vrlo sveobuhvatnu nadzornu ploču koja integrira vizualizaciju podataka i događaja. Ako ne želite koristiti uslugu u oblaku, možete se odlučiti za lokalnu verziju koja radi Windows.

6. Sigurnosni luk

Snimka zaslona sigurnosnog luka

Ako želite pokrenuti IDS Linux, besplatno NIDS / HIDS paket Sigurnog luka je vrlo dobra opcija. Ovo je projekt otvorenog koda i podržava ga zajednica. Softver za ovaj alat pokreće se Ubuntu i privučen je iz ostalih alata za analizu mreža. Niz drugih alata navedenih u ovom priručniku integrirani su u sigurnosni paket luka: frka, Bro, i Suricata. HIDS funkcionalnost osigurava tvrtka OSSEC a prednji je kraj Kibana sustav. Ostali poznati alati za nadzor mreže koji su uključeni u Security Onion uključuju ELSA, NetworkMiner, Snorby, Squert, Squil, i Xplico.

Uslužni program uključuje širok raspon alata za analizu i koristi tehnike potpisivanja i anomalije. Iako ponovna upotreba postojećih alata znači da Sigurni luk ima koristi od uspostavljene reputacije njegovih komponenti, ažuriranja elemenata u paketu mogu biti komplicirane.

7. Otvorite WIPS-NG

Snimka zaslona OpenWIPS-NG

Otvoreni WIPS-NG je an otvoreni izvor projekt koji vam pomaže u nadzoru bežičnih mreža. Alat se može koristiti kao neposredan njuškalo za wifi paket ili kao sustav za otkrivanje provale. Program je razvio isti tim koji je stvorio Aircrack-NG - vrlo poznati alat za upad u mrežu koji koriste hakeri. Dakle, dok koristite Open WIPS-NG za obranu svoje mreže, hakeri koje opazite će sa svojim sestrinskim paketom hraniti bežične signale..

Ovo je besplatan alat koja se instalira na Linux. Softverski paket uključuje tri komponente. To su senzor, poslužitelj i sučelje. Otvoreni WIPS-NG nudi niz alata za sanaciju, tako da senzor djeluje kao vaše sučelje bežičnom primopredajniku i za prikupljanje podataka i za slanje naredbi.

8. Sagan

Saganova snimka zaslona

Sagan je HIDS. Međutim, dodatkom feeda podataka iz frka, može djelovati i kao NIDS. Možete i koristiti Bro ili Suricata za prikupljanje podataka uživo za Sagan. Ovaj besplatni alat može se instalirati na Unix i Unix operativne sustave, što znači da će se pokrenuti Linux i Mac OS, ali ne na Windows. Međutim, on može obraditi poruke dnevnika događaja u sustavu Windows. Alat je također kompatibilan sa Anaval, BAZA, Snorby, i Squil.

Korisni dodaci ugrađeni u Sagan uključuju distribuiranu obradu i an Geolocator IP adrese. Ovo je dobra ideja, jer hakeri često koriste niz IP adresa za upadne napade, ali zanemaruju činjenicu da uobičajena lokacija tih adresa govori o priči. Sagan može izvršavati skripte za automatizaciju sanacije napada, što uključuje mogućnost interakcije s ostalim uslužnim programima, poput tablica vatrozida i usluga imenika. Ove sposobnosti čine ga anom sustav za sprečavanje prodora.

9. Splunk

Snimka zaslona

Splunk je popularni analizator mrežnog prometa koji također ima mogućnosti NIDS-a i HIDS-a. Alat se može instalirati na Windows i dalje Linux. Program je dostupan u tri izdanja. To su Splunk Free, Splunk Light, Splunk Enterprise i Splunk Cloud. Možeš dobiti 15-dnevno suđenje na alatnu verziju alata temeljenu na oblaku i 60-dnevno besplatno probno razdoblje tvrtke Splunk Enterprise. Svjetlo svjetla je dostupno na 30-dnevno besplatno probno razdoblje. Sve ove verzije uključuju sposobnost prikupljanja podataka i otkrivanje anomalije.

Sigurnosne značajke Splunka mogu se poboljšati dodatkom koji se zove Splunk Enterprise Security. Ovo je dostupno u besplatnoj probnoj verziji od 7 dana. Ovaj alat povećava točnost otkrivanja anomalija i smanjuje učestalost lažnih pozitivnih rezultata upotrebom AI. Opseg upozorenja može se prilagoditi stupnjem ozbiljnosti upozorenja kako bi se spriječilo da vaš tim administracije sustava preplavi preveliki modul izvještavanja.

Splunk integrira referencu datoteke dnevnika kako bi vam omogućio povijesni pogled na događaje. Možete uočiti uzorke u napadima i upadnim aktivnostima gledajući učestalost zlonamjernih aktivnosti tijekom vremena.

Primjena NIDS-a

Rizici koji prijete sigurnosti vaše mreže sada su toliko sveobuhvatni da vi zaista nemaju izbora hoće li primijeniti ili ne mrežne sustave za otkrivanje provale. Bitni su. Srećom, imate izbor nad kojim NIDS alatom instalirate.

Trenutno na tržištu postoji puno NIDS alata i većina ih je vrlo učinkovita. Međutim, vjerojatno nemate dovoljno vremena da biste ih istražili. Zbog toga smo sastavili ovaj vodič. Svoje pretraživanje možete suziti na samo najbolje NIDS alate, koje smo uvrstili na naš popis.

Svi alati na popisu su bilo besplatna za upotrebu ili su dostupna kao besplatne probne ponude. Moći ćete ih provesti nekoliko koraka. Jednostavno suzite popis dalje prema operativnom sustavu, a zatim procijenite koje od karakteristika za uži izbor odgovaraju veličini vaše mreže i vašim sigurnosnim potrebama.

Koristite li NIDS alat? Koji ste odabrali instalirati? Jeste li isprobali i HIDS alat? Kako biste usporedili dvije alternativne strategije? Ostavite poruku u komentari odjeljak ispod i podijelite svoje iskustvo sa zajednicom.

Slika: Hacker Cyber ​​Crime iz Pixabaja. Javna domena.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

55 − 48 =

Adblock
detector