Top 10 Intrusion Detection Tools: Ihre besten kostenlosen Optionen für 2018

Sicherheit ist ein heißes Thema und es war schon ziemlich lange. Vor vielen Jahren waren Viren die einzige Sorge von Systemadministratoren. Viren waren so verbreitet, dass sie den Weg für eine erstaunliche Vielfalt von Virenschutz-Tools bahnen konnten. Heutzutage würde kaum jemand daran denken, einen ungeschützten Computer zu betreiben. Computereingriffe oder der unbefugte Zugriff auf Ihre Daten durch böswillige Benutzer sind jedoch die „Bedrohung des Tages“. Netzwerke sind zum Ziel zahlreicher böswilliger Hacker geworden, die sich große Mühe geben, Zugriff auf Ihre Daten zu erhalten Daten. Ihre beste Verteidigung gegen diese Art von Bedrohungen ist ein Intrusion Detection- oder Prevention-System. Heute überprüfen wir zehn der besten kostenlosen Intrusion Detection Tools.

Top 10 Intrusion Detection Tools: Ihre besten kostenlosen Optionen für 2018

Bevor wir beginnen, besprechen wir zuerst die verschiedenen Intrusion Detection-Methoden, die verwendet werden. Genau wie es viele Möglichkeiten gibt, wie Eindringlinge in Ihr Netzwerk eindringen können, gibt es genauso viele Möglichkeiten, vielleicht sogar noch mehr Möglichkeiten, sie zu entdecken. Dann werden wir die zwei Hauptkategorien des Intrusion Detection Systems besprechen: Network Intrusion Detection und Host Intrusion Detection. Bevor wir fortfahren, erläutern wir die Unterschiede zwischen Intrusion Detection und Intrusion Prevention. Und schließlich geben wir Ihnen einen kurzen Überblick über zehn der besten kostenlosen Intrusion Detection Tools, die wir finden konnten.

Inhalt

  • 1 Intrusion Detection-Verfahren
  • 2 Zwei Arten von Angriffserkennungssystemen
    • 2.1 Host-Angriffserkennungssysteme (HIDS)
    • 2.2 Network Intrusion Detection Systeme (NIDS)
  • 3 Intrusion Detection gegen Prävention
  • 4 Die besten kostenlosen Tools zur Erkennung von Angriffen
    • 4.1 1 OSSEC
    • 4.2 2. Snort
    • 4.3 3. Suricata
    • 4.4 4. Bro Netzwerksicherheits-Monitor
    • 4.5 5.   Öffne WIPS NG
    • 4.6 6. Samhain
    • 4.7 7.   Fail2Ban
    • 4.8 8. AIDE
    • 4.9 9.   Security Onion
    • 4.10 10. Sagan
  • 5 Zusammenfassung

Angriffserkennungsmethoden

Es gibt grundsätzlich zwei verschiedene Methoden, um Eindringversuche zu erkennen. Es könnte signaturbasiert oder anomaliebasiert sein. Lasst uns sehen, wie sie sich unterscheiden. Signaturbasierte Angriffserkennung funktioniert durch Analysieren von Daten für bestimmte Muster, die mit Eindringversuchen verknüpft sind. Es ist ein bisschen wie traditionelle Antivirus-Systeme, die auf Virendefinitionen beruhen. Diese Systeme werden Daten mit Intrusion-Signatur-Mustern vergleichen, um Versuche zu identifizieren. Ihr Hauptnachteil besteht darin, dass sie nicht funktionieren, bis die richtige Signatur in die Software hochgeladen wird, was typischerweise passiert, nachdem eine bestimmte Anzahl von Maschinen angegriffen wurde.

Anomalie-basierte Intrusion Detection bietet einen besseren Schutz vor Zero-Day-Attacken, die vor dem Eindringen einer Intrusion Detection Software in die richtige Signaturdatei auftreten. Anstatt bekannte Intrusionsmuster zu erkennen, suchen diese stattdessen nach Anomalien. Zum Beispiel würden sie feststellen, dass jemand mehrere Male versucht hat, auf ein System mit einem falschen Passwort zuzugreifen, ein häufiges Zeichen für einen Brute-Force-Angriff. Wie Sie vielleicht schon vermutet haben, hat jede Erkennungsmethode ihre Vorteile. Aus diesem Grund verwenden die besten Werkzeuge oft eine Kombination aus beidem für den besten Schutz.

Zwei Arten von Angriffserkennungssystemen

Genau wie es verschiedene Erkennungsmethoden gibt, gibt es auch zwei Haupttypen von Angriffserkennungssystemen.   Sie unterscheiden sich hauptsächlich an dem Ort, an dem die Intrusion Detection entweder auf der Host-Ebene oder auf der Netzwerk-Ebene durchgeführt wird. Auch hier hat jeder seine Vorteile, und die beste Lösung – oder die sicherste – ist es, beide zu verwenden.

Host Intrusion Detection Systeme (HIDS)

Der erste Typ von Intrusion Detection System arbeitet auf der Host-Ebene. Es könnte zum Beispiel verschiedene Protokolldateien auf Anzeichen verdächtiger Aktivitäten prüfen. Es könnte auch funktionieren, indem wichtige Konfigurationsdateien auf nicht autorisierte Änderungen überprüft werden. Dies ist, was Anomalie-basierte HIDS tun würde. Andererseits würden Signatur-basierte Systeme dieselben Protokoll- und Konfigurationsdateien betrachten, würden jedoch nach bestimmten bekannten Eindringungsmustern suchen. Zum Beispiel kann bekannt sein, dass eine bestimmte Eindringmethode funktioniert, indem eine bestimmte Zeichenfolge zu einer bestimmten Konfigurationsdatei hinzugefügt wird, die das signaturbasierte IDS erkennen würde.

Wie Sie sich vorstellen können, werden HIDS direkt auf dem Gerät installiert, das sie schützen sollen, also müssen Sie sie auf all Ihren Computern installieren. Die meisten Systeme verfügen jedoch über eine zentrale Konsole, über die Sie jede Instanz der Anwendung steuern können.

Netzwerk-Angriffserkennungssysteme (NIDS)

Netzwerk-Angriffserkennungssysteme (NIDS) arbeiten an der Grenze Ihres Netzwerks, um die Erkennung zu erzwingen.Sie verwenden ähnliche Methoden wie Host-Intrusion-Detection-Systeme. Anstatt nach Protokoll- und Konfigurationsdateien zu suchen, suchen sie natürlich nach Netzwerkverkehr wie Verbindungsanforderungen. Es ist bekannt, dass einige Intrusionsmethoden Sicherheitslücken ausnutzen, indem sie absichtlich fehlerhafte Pakete an Hosts senden, die sie auf eine bestimmte Art und Weise reagieren lassen. Network Intrusion Detection Systeme könnten diese leicht erkennen.

Einige würden argumentieren, dass NIDS besser sind als HIDS, da sie Angriffe erkennen, noch bevor sie auf Ihren Computer gelangen. Sie sind auch besser, weil sie nicht auf jedem Computer installiert werden müssen, um sie effektiv zu schützen. Auf der anderen Seite bieten sie wenig Schutz gegen Insider-Attacken, die leider gar nicht ungewöhnlich sind. Dies ist ein weiterer Fall, in dem der beste Schutz durch die Kombination beider Arten von Werkzeugen erreicht wird.

Intrusion Detection Vs Prevention

In der Intrusion-Protection-Welt gibt es zwei verschiedene Arten von Tools: Intrusion Detection-Systeme und Intrusion Prevention-Systeme. Obwohl sie einem anderen Zweck dienen, gibt es häufig Überschneidungen zwischen den beiden Arten von Werkzeugen. Wie der Name schon andeutet, erkennt die Intrusion Detection generell Eindringversuche und verdächtige Aktivitäten. Wenn dies der Fall ist, löst dies normalerweise eine Art von Alarm oder Benachrichtigung aus. Es ist dann Aufgabe des Administrators, die notwendigen Schritte zu unternehmen, um diesen Versuch zu stoppen oder zu blockieren.

Intrusion Prevention-Systeme andererseits arbeiten daran, Eindringlinge vollständig zu stoppen. Die meisten Intrusion Prevention-Systeme enthalten eine Erkennungskomponente, die bei Auftreten von Eindringversuchen eine Aktion auslöst. Intrusion Prevention kann jedoch auch passiv sein.   Der Begriff kann verwendet werden, um auf Schritte hinzuweisen, die eingerichtet wurden, um Eindringversuche zu verhindern. Wir können zum Beispiel an Maßnahmen wie das Passwort-Härten denken.

Die besten kostenlosen Intrusion Detection Tools

Intrusion Detection Systeme können teuer und sehr teuer sein. Glücklicherweise gibt es da draußen einige freie Alternativen. Wir haben das Internet nach den besten Intrusion Detection-Softwaretools durchsucht. Wir haben einige gefunden und wir sind kurz davor, die besten zehn, die wir finden konnten, kurz zu besprechen.

1. OSSEC

OSSEC, das für Open Source Security steht, ist mit Abstand das führende Open-Source Host Intrusion Detection System. OSSEC gehört Trend Micro, einem der führenden Unternehmen für IT-Sicherheit. Die Software konzentriert sich, wenn sie auf Unix-ähnlichen Betriebssystemen installiert wird, hauptsächlich auf Protokoll- und Konfigurationsdateien. Es erstellt Prüfsummen wichtiger Dateien und validiert diese regelmäßig, um Sie darauf aufmerksam zu machen, wenn etwas Seltsames passiert. Es überwacht und fängt auch alle seltsamen Versuche Root-Zugriff zu erhalten. Unter Windows hält das System auch nach nicht autorisierten Registrierungsänderungen Ausschau.

Top 10 Intrusion Detection Tools: Ihre besten kostenlosen Optionen für 2018

OSSEC als Host Intrusion Detection System muss auf jedem Computer installiert werden, den Sie schützen möchten. Es konsolidiert jedoch Informationen von jedem geschützten Computer in einer einzigen Konsole für eine einfachere Verwaltung. Die Software läuft nur auf Unix-ähnlichen Systemen, aber ein Agent ist zum Schutz von Windows-Hosts verfügbar. Wenn das System etwas entdeckt, wird eine Warnung auf der Konsole angezeigt und Benachrichtigungen werden per E-Mail gesendet.

2. Snort

Genau wie OSSEC das Top-Open-Source-HIDS war, ist Snort das führende Open-Source-NIDS. Snort ist eigentlich mehr als ein Intrusion Detection Tool. Es ist auch ein Paket-Sniffer und ein Paket-Logger. Was uns jetzt interessiert, sind die Intrusion Detection-Funktionen von Snort. Ähnlich wie eine Firewall wird Snort über Regeln konfiguriert. Basisregeln können von der Snort-Website heruntergeladen und an Ihre spezifischen Bedürfnisse angepasst werden. Sie können Snort-Regeln auch abonnieren, um sicherzustellen, dass Sie stets die neuesten Snort-Regeln erhalten, wenn neue Bedrohungen erkannt werden.

Top 10 Intrusion Detection Tools: Ihre besten kostenlosen Optionen für 2018

Die grundlegenden Snort-Regeln können eine Vielzahl von Ereignissen wie Stealth-Port-Scans, Pufferüberlauf-Angriffe, CGI-Angriffe, SMB-Probes und OS-Fingerabdruck Was Ihre Snort-Installation erkennt, hängt ausschließlich davon ab, welche Regeln Sie installiert haben. Einige der Grundregeln sind signaturbasiert, während andere auf Anomalien basieren. Mit Snort können Sie das Beste aus beiden Welten erhalten.

3. Suricata

Suricata wirbt als Intrusion-Detection- und Prevention-System und als komplettes Ökosystem zur Überwachung der Netzwerksicherheit. Einer der Vorteile dieses Tools gegenüber Snort ist, dass es bis zur Anwendungsebene funktioniert. Dadurch kann das Tool Bedrohungen erkennen, die in anderen Tools unbemerkt bleiben, indem es über mehrere Pakete verteilt wird.

Top 10 Intrusion Detection Tools: Ihre besten kostenlosen Optionen für 2018

Aber Suricata funktioniert nicht nur auf der Anwendungsebene. Es überwacht auch Protokolle auf niedrigeren Ebenen wie TLS, ICMP, TCP und UDP. Das Tool versteht auch Protokolle wie  HTTP, FTP oder SMB und kann Eindringversuche erkennen, die bei ansonsten normalen Anfragen verborgen sind. Es gibt auch eine Dateiextraktionsfunktion, mit der Administratoren verdächtige Dateien selbst untersuchen können.

Suricata ist in der Architektur sehr gut gemacht und wird seine Arbeitslast auf mehrere Prozessorkerne und Threads verteilen, um die beste Leistung zu erzielen. Es kann sogar einen Teil seiner Verarbeitung auf die Grafikkarte verlagern. Dies ist eine großartige Funktion auf Servern, da ihre Grafikkarte meist im Leerlauf läuft.

4. Bro Netzwerksicherheitsmonitor

Als nächstes auf unserer Liste ist ein Produkt namens Bro Network Security Monitor, ein weiteres freies Netzwerk Intrusion Detection System. Bro arbeitet in zwei Phasen: Verkehrsprotokollierung und -analyse. Wie Suricata arbeitet Bro auf der Anwendungsebene, wodurch Split-Intrusion-Versuche besser erkannt werden können. Es scheint, als ob alles in Paaren mit Bro kommt und sein Analysemodul aus zwei Elementen besteht. Die erste ist die Event-Engine, die auslösende Ereignisse wie TCP-Verbindungen oder HTTP-Anfragen verfolgt. Die Ereignisse werden dann weiter durch Policy-Skripte analysiert, die entscheiden, ob eine Warnung ausgelöst und eine Aktion ausgelöst werden soll, wodurch Bro zusätzlich zu einem Erkennungssystem eine Eindringungsverhinderung darstellt.

Mit Bro können Sie HTTP-, DNS- und FTP-Aktivitäten nachverfolgen sowie den SNMP-Datenverkehr überwachen. Dies ist eine gute Sache, da SNMP zwar oft für die Netzwerküberwachung verwendet wird, es aber kein sicheres Protokoll ist. Mit Bro können Sie auch Änderungen an der Gerätekonfiguration und SNMP-Traps verfolgen. Bro kann unter Unix, Linux und OS X installiert werden, aber es ist nicht für Windows verfügbar, vielleicht der Hauptnachteil.

5. Öffnen Sie WIPS NG

Öffnen WIPS NG hat es in unsere Liste aufgenommen, weil es das einzige ist, das speziell auf drahtlose Netzwerke abzielt. Open WIPS NG, wo WIPS für Wireless Intrusion Prevention System steht, ist ein Open-Source-Tool, das aus drei Hauptkomponenten besteht. Erstens gibt es den Sensor, der ein dummes Gerät ist, das nur drahtlosen Datenverkehr erfasst und zur Analyse an den Server sendet. Als nächstes ist der Server. Dieser aggregiert Daten von allen Sensoren, analysiert die gesammelten Daten und reagiert auf Angriffe. Es ist das Herz des Systems. Nicht zuletzt ist die Schnittstellenkomponente die GUI, mit der Sie den Server verwalten und Informationen über Bedrohungen in Ihrem drahtlosen Netzwerk anzeigen.

Nicht jeder mag Open WIPS NG. Das Produkt, wenn von dem gleichen Entwickler wie Aircrack NG ein Wireless-Paket-Sniffer und Passwort-Cracker, der Teil jedes WiFi-Hacker-Toolkits ist. Auf der anderen Seite können wir aufgrund seines Hintergrundes davon ausgehen, dass der Entwickler ziemlich viel über Wi-Fi-Sicherheit weiß.

6. Samhain

Samhain ist ein kostenloses Host Intrusion Detection System, das Dateiintegritätsprüfung und Protokolldateiüberwachung / -analyse bietet. Darüber hinaus führt das Produkt auch Rootkit-Erkennung, Portüberwachung, Erkennung von bösartigen SUID-Programmen und versteckte Prozesse durch. Dieses Tool wurde entwickelt, um mehrere Systeme mit verschiedenen Betriebssystemen mit zentraler Protokollierung und Wartung zu überwachen. Samhain kann jedoch auch als eigenständige Anwendung auf einem einzelnen Computer verwendet werden. Samhain kann auf POSIX-Systemen wie Unix Linux oder OS X laufen. Es kann auch unter Cygwin unter Windows laufen, obwohl nur der Überwachungsagent und nicht der Server in dieser Konfiguration getestet wurde.

Top 10 Intrusion Detection Tools: Ihre besten kostenlosen Optionen für 2018

Eines der einzigartigen Features von Samhain ist sein Stealth-Modus, der es ermöglicht, ohne dass es von eventuellen Angreifern entdeckt wird. Zu oft töten Eindringlinge Erkennungsvorgänge, die sie erkennen, und lassen sie unbemerkt bleiben. Samhain verwendet Steganographie, um seine Prozesse vor anderen zu verbergen. Es schützt auch seine zentralen Protokolldateien und Konfigurations-Backups mit einem PGP-Schlüssel, um Manipulationen zu verhindern.

7.   Fail2Ban

Fail2Ban ist ein interessantes Intrusion Detection System für freie Hosts, das auch einige Präventionsfunktionen bietet. Dieses Tool überwacht Protokolldateien auf verdächtige Ereignisse wie fehlgeschlagene Anmeldeversuche, Exploits, usw. Wenn es etwas Verdächtiges entdeckt, aktualisiert es automatisch die lokalen Firewallregeln, um die Quell-IP-Adresse des schädlichen Verhaltens zu blockieren. Dies ist die Standardaktion des Tools, aber jede andere willkürliche Aktion, wie das Senden von E-Mail-Benachrichtigungen, kann konfiguriert werden.

Das System wird mit verschiedenen vorgefertigten Filtern für einige der gängigsten Dienste wie Apache, Courrier, SSH, FTP, Postfix und viele mehr geliefert. Die Vorbeugung wird durchgeführt, indem die Firewall-Tabellen des Hosts geändert werden. Das Tool kann mit Netfilter, IPtables oder der hosts.deny-Tabelle von TCP Wrapper arbeiten. Jeder Filter kann einer oder mehreren Aktionen zugeordnet sein. Zusammen werden Filter und Aktionen als ein Gefängnis bezeichnet.

8. AIDE

AIDE ist ein Akronym für Advanced Intrusion Detection Environment. Das Freier-Host-Intrusion-Detection-System konzentriert sich hauptsächlich auf Rootkit-Erkennung und Dateisignatur-CompaRisons. Wenn Sie AIDE zum ersten Mal installieren, wird eine Datenbank mit Administratordaten aus den Konfigurationsdateien des Systems kompiliert. Dies wird dann als Baseline verwendet, mit der jede Änderung verglichen und gegebenenfalls rückgängig gemacht werden kann.

AIDE verwendet sowohl signaturbasierte als auch anomaliebasierte Analysen, die bei Bedarf ausgeführt werden und nicht geplant oder kontinuierlich ausgeführt werden. Dies ist der Hauptnachteil dieses Produkts. AIDE ist jedoch ein Befehlszeilentool und ein CRON-Job kann erstellt werden, um es in regelmäßigen Abständen auszuführen. Und wenn Sie es sehr häufig ausführen – wie jede Minute oder so – erhalten Sie quasi Echtzeitdaten. Im Kern ist AIDE nichts anderes als ein Datenvergleichstool. Externe Skripts müssen erstellt werden, um es zu einem echten HIDS zu machen.

9.   Security Onion

Security Onion ist ein interessantes Biest, das Ihnen viel Zeit sparen kann. Dies ist nicht nur ein Intrusion Detection oder Prevention System. Security Onion ist eine vollständige Linux-Distribution mit Fokus auf Intrusion Detection, Enterprise Security Monitoring und Log Management. Es enthält viele Tools, von denen wir einige gerade überprüft haben. Zum Beispiel hat Security Onion Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, OSSEC, Sguil, Squert, NetworkMiner und mehr. All dies ist mit einem einfach zu verwendenden Einrichtungsassistenten verbunden, mit dem Sie Ihre Organisation innerhalb von Minuten schützen können. Sie können sich Security Onion als das Schweizer Messer der IT-Sicherheit des Unternehmens vorstellen.

Top 10 Intrusion Detection Tools: Ihre besten kostenlosen Optionen für 2018

Das Interessanteste an diesem Tool ist, dass Sie alles in einer einfachen Installation bekommen. Und Sie erhalten sowohl Netzwerk- als auch Host Intrusion Detection Tools. Es gibt Tools, die einen signaturbasierten Ansatz verwenden, und einige, die auf Anomalien basieren. Die Distribution bietet auch eine Kombination aus Text- und GUI-Tools. There’s ist wirklich eine ausgezeichnete Mischung aus allem. Der Nachteil ist natürlich, dass Sie so viel bekommen, dass die Konfiguration alles eine Weile dauern kann. Aber Sie müssen nicht alle Werkzeuge verwenden. Sie können nur diejenigen auswählen, die Sie bevorzugen.

10. Sagan

Sagan ist eigentlich eher ein logarithmisches Analysesystem als ein echtes IDS, aber es hat einige IDS-ähnliche Merkmale, von denen wir dachten, dass sie in unsere Liste aufgenommen wurden. Dieses Tool kann die lokalen Protokolle des Systems überwachen, auf dem es installiert ist, aber es kann auch mit anderen Tools interagieren. Es könnte zum Beispiel die Logs von Snort analysieren, was effektiv etwas NIDS-Funktionalität zu dem hinzufügt, was im Wesentlichen ein HIDS ist. Und es wird nicht nur mit Snort interagieren. Es kann auch mit Suricata interagieren und es ist kompatibel mit verschiedenen Regel-Tools wie Oinkmaster oder Pulled Pork.

Top 10 Intrusion Detection Tools: Ihre besten kostenlosen Optionen für 2018

Sagan verfügt auch über Script-Ausführungsfunktionen, was es zu einem groben Intrusion-Prevention-System macht. Dieses Tool wird wahrscheinlich nicht als einzige Verteidigung gegen Eindringlinge verwendet, aber es wird eine großartige Komponente eines Systems sein, das viele Tools integrieren kann, indem Ereignisse aus verschiedenen Quellen korreliert werden.

Fazit

Intrusion Detection-Systeme sind nur eines von vielen Tools, die Netzwerk- und Systemadministratoren dabei helfen, den optimalen Betrieb ihrer Umgebung sicherzustellen. Jedes der hier besprochenen Werkzeuge ist ausgezeichnet, aber jedes hat einen etwas anderen Zweck. Die Wahl, die Sie treffen, hängt weitgehend von persönlichen Vorlieben und spezifischen Bedürfnissen ab.

q , quelle

Zusammenhängende Posts:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.