System wykrywania włamań (IDS) jest ważnym zabezpieczeniem sieci, monitorującym ruch sieciowy pod kątem podejrzanych działań. Gdy wykryje coś niezwykłego lub niepokojącego, na przykład atak złośliwego oprogramowania, IDS ostrzega administratora sieci. Niektóre systemy wykrywania włamań podejmują nawet działania przeciwko zagrożeniom, blokując podejrzanego użytkownika lub źródłowy adres IP. Te warianty nazywane są systemami zapobiegania włamaniom (IPS).
Oto pięć doskonałych bezpłatnych technologii IDS, które warto rozważyć zaimplementowanie w swojej sieci.
IDS nie zastępuje zapory. Zapory sieciowe zapobiegają przedostawaniu się złośliwych zagrożeń do Twojej sieci, podczas gdy system IDS wykrywa i potencjalnie zatrzymuje zagrożenia, które dostały się do Twojej sieci lub z niej pochodzą.
Parsknięcie
Snort, który jest dostępny dla systemów Windows, Fedora, Centos i FreeBSD, jest systemem wykrywania włamań sieciowych (NIDS) typu open source, zdolnym do przeprowadzania analizy ruchu w czasie rzeczywistym i rejestrowania pakietów w sieciach IP.
Wykonuje analizę protokołów, wyszukiwanie i dopasowywanie treści i może być używany do wykrywania różnych ataków i sond, takich jak przepełnienia bufora, ukryte skanowanie portów, ataki CGI, sondy SMB, próby pobierania odcisków palców systemu operacyjnego i wiele innych.
Systemy wykrywania włamań do sieci są umieszczane w strategicznych punktach sieci w celu monitorowania ruchu do i ze wszystkich urządzeń w sieci. Porównują dane sieciowe ze znanymi zagrożeniami i sygnalizują podejrzaną aktywność.
Suricata
Suricata to pakiet open source, który został nazwany „Snort on steroid”. Zapewnia wykrywanie włamań w czasie rzeczywistym, zapobieganie włamaniom i monitorowanie sieci. Suricata używa reguł, języka sygnatur i innych elementów do wykrywania złożonych zagrożeń.
Jest dostępny na platformy Linux, macOS, Windows i inne. Oprogramowanie jest bezpłatne, a co roku organizuje się kilka płatnych publicznych szkoleń dla programistów. Dedykowane szkolenia są również dostępne w Open Information Security Foundation (OISF), która jest właścicielem kodu Suricata.
Zeek
Znany wcześniej jako Bro, Zeek to potężne narzędzie do analizy sieci, które koncentruje się na monitorowaniu bezpieczeństwa sieci, a także ogólnej analizie ruchu sieciowego. Jego język specyficzny dla domeny nie opiera się na tradycyjnych podpisach; raczej rejestruje wszystko, co widzi w archiwum aktywności sieciowej wysokiego poziomu. Zeek współpracuje z systemami Unix, Linux, Free BSD i Mac OS X.
Prelude OSS
Prelude OSS to wersja Open Source Prelude Siem, innowacyjnego hybrydowego systemu wykrywania włamań, który został zaprojektowany jako modułowy, rozproszony, solidny i szybki. Prelude OSS jest odpowiedni dla ograniczonej infrastruktury IT, organizacji badawczych i szkoleń. Nie jest przeznaczony dla dużych lub krytycznych sieci. Wydajność Prelude OSS jest ograniczona, ale służy jako wprowadzenie do wersji komercyjnej.
Defender złośliwego oprogramowania
Malware Defender to system wykrywania włamań do hosta (HIDS), który monitoruje pojedynczy host pod kątem podejrzanej aktywności. Jest to bezpłatny, zgodny z systemem Windows system zapobiegania włamaniom i wykrywania złośliwego oprogramowania dla zaawansowanych użytkowników. Malware Defender to także zaawansowany wykrywacz rootkitów z wieloma przydatnymi narzędziami do wykrywania i usuwania już zainstalowanego złośliwego oprogramowania. Dobrze nadaje się do użytku domowego, chociaż jego materiał instruktażowy jest nieco skomplikowany.
Systemy wykrywania włamań do hosta działają na poszczególnych hostach lub urządzeniach w sieci. Monitorują przychodzące i wychodzące pakiety tylko z urządzenia i ostrzegają użytkownika lub administratora w przypadku wykrycia podejrzanej aktywności.