Systém detekce narušení (IDS) je důležitým zabezpečením sítě, které sleduje síťový provoz kvůli podezřelé aktivitě. Když zjistí něco neobvyklého nebo alarmujícího, například útok malwaru, IDS upozorní správce sítě. Některé systémy detekce narušení dokonce podniknou kroky proti hrozbám a blokují podezřelého uživatele nebo zdrojovou IP adresu. Tyto varianty se nazývají systémy prevence narušení (IPS).
Zde je pohled na pět vynikajících bezplatných technologií IDS, které je třeba zvážit implementací pro vaši síť.
IDS nenahrazuje bránu firewall. Brány firewall zabraňují vstupu škodlivých hrozeb do vaší sítě, zatímco IDS detekuje a potenciálně zastaví hrozby, které se buď dostaly do vaší sítě, nebo vznikly uvnitř.
Šňupat
Snort, který je k dispozici pro Windows, Fedora, Centos a FreeBSD, je open-source systém detekce narušení sítě (NIDS), schopný provádět analýzu provozu v reálném čase a protokolování paketů v sítích IP.
Provádí analýzu protokolů, vyhledávání obsahu a shodu a lze ji použít k detekci různých útoků a sond, jako jsou přetečení vyrovnávací paměti, skenování tajných portů, útoky CGI, sondy SMB, pokusy o otisky prstů OS a mnoho dalšího.
Systémy detekce narušení sítě jsou umístěny na strategických místech v síti, aby sledovaly provoz do a ze všech zařízení v síti. Porovnávají vaše síťová data se známými hrozbami a označují podezřelou aktivitu.
Suricata
Suricata je balíček open-source, který se nazývá „Snort on steroids“. Poskytuje detekci narušení v reálném čase, prevenci narušení a monitorování sítě. Suricata používá k detekci složitých hrozeb pravidla, podpisový jazyk a další.
Je k dispozici pro Linux, macOS, Windows a další platformy. Tento software je zdarma a každoročně je pro školení vývojářů naplánováno několik veřejných vzdělávacích akcí za poplatek. Vyhrazené vzdělávací akce jsou také k dispozici od Open Information Security Foundation (OISF), která vlastní kód Suricata.
Zeek
Zeek, dříve známý jako Bro, je výkonný nástroj pro analýzu sítě, který se zaměřuje na monitorování zabezpečení sítě a obecnou analýzu síťového provozu. Jeho jazyk specifický pro doménu se nespoléhá na tradiční podpisy; spíše zaznamenává vše, co vidí, do archivu síťových aktivit na vysoké úrovni. Zeek pracuje s Unix, Linux, Free BSD a Mac OS X.
Prelude OSS
Prelude OSS je open-source verze Prelude Siem, inovativního hybridního systému detekce narušení, který je navržen tak, aby byl modulární, distribuovaný, pevný a rychlý. Prelude OSS je vhodný pro IT infrastruktury omezené velikosti, výzkumné organizace a školení. Není určen pro velké nebo kritické sítě. Výkon Prelude OSS je omezený, ale slouží jako úvod do komerční verze.
Malware Defender
Malware Defender je systém detekce narušení hostitele (HIDS), který monitoruje podezřelou aktivitu u jednoho hostitele. Je to bezplatný systém prevence narušení a detekce malwaru kompatibilní s Windows pro pokročilé uživatele. Malware Defender je také pokročilý detektor rootkitů s mnoha užitečnými nástroji pro detekci a odstranění již nainstalovaného malwaru. Je vhodný pro domácí použití, i když jeho výukové materiály jsou trochu komplikované.
Systémy detekce narušení hostitele běží na jednotlivých hostitelích nebo zařízeních v síti. Monitorují příchozí a odchozí pakety pouze ze zařízení a v případě zjištění podezřelé aktivity upozorní uživatele nebo správce.