Un sistema di rilevamento delle intrusioni (IDS) è un'importante protezione della rete, che monitora il traffico di rete per attività sospette. Quando rileva qualcosa di insolito o allarmante, come un attacco di malware, l'IDS avvisa un amministratore di rete. Alcuni sistemi di rilevamento delle intrusioni agiscono persino contro le minacce, bloccando un utente sospetto o un indirizzo IP di origine. Queste varianti sono chiamate sistemi di prevenzione delle intrusioni (IPS).
Ecco uno sguardo a cinque eccellenti tecnologie IDS gratuite da considerare di implementare per la tua rete.
Un IDS non sostituisce un firewall. I firewall impediscono alle minacce dannose di entrare nella tua rete, mentre un IDS rileva e potenzialmente arresta le minacce che sono entrate nella tua rete o originate all'interno.
sbuffo
Snort, disponibile per Windows, Fedora, Centos e FreeBSD, è un sistema di rilevamento delle intrusioni di rete (NIDS) open source, in grado di eseguire analisi del traffico in tempo reale e registrazione dei pacchetti su reti IP.
Esegue l'analisi del protocollo, la ricerca e la corrispondenza dei contenuti e può essere utilizzato per rilevare una varietà di attacchi e sonde, come buffer overflow, scansioni di porte nascoste, attacchi CGI, sonde SMB, tentativi di fingerprinting del sistema operativo e molto altro.
I sistemi di rilevamento delle intrusioni di rete sono posizionati in punti strategici all'interno della rete per monitorare il traffico da e verso tutti i dispositivi sulla rete. Confrontano i dati di rete con minacce note e segnalano attività sospette.
Suricata
Suricata è un pacchetto open source che è stato chiamato "Snort on steroids". Offre rilevamento delle intrusioni in tempo reale, prevenzione delle intrusioni e monitoraggio della rete. Suricata utilizza regole, linguaggio della firma e altro per rilevare minacce complesse.
È disponibile per Linux, macOS, Windows e altre piattaforme. Il software è gratuito e ogni anno sono previsti diversi eventi di formazione pubblica a pagamento per la formazione degli sviluppatori. Eventi di formazione dedicati sono disponibili anche presso la Open Information Security Foundation (OISF), proprietaria del codice Suricata.
Zeek
Precedentemente noto come Bro, Zeek è un potente strumento di analisi della rete che si concentra sul monitoraggio della sicurezza della rete e sull'analisi generale del traffico di rete. Il suo linguaggio specifico del dominio non si basa sulle firme tradizionali; piuttosto, registra tutto ciò che vede in un archivio di attività di rete di alto livello. Zeek funziona con Unix, Linux, Free BSD e Mac OS X.
Prelude OSS
Prelude OSS è la versione open source di Prelude Siem, un innovativo sistema ibrido di rilevamento delle intrusioni progettato per essere modulare, distribuito, solido come una roccia e veloce. Prelude OSS è adatto per infrastrutture IT di dimensioni limitate, organizzazioni di ricerca e formazione. Non è destinato a reti di grandi dimensioni o critiche. Le prestazioni di Prelude OSS sono limitate ma servono come introduzione alla versione commerciale.
Malware Defender
Malware Defender è un sistema di rilevamento delle intrusioni host (HIDS), che monitora un singolo host per attività sospette. È un sistema di prevenzione delle intrusioni e rilevamento malware gratuito e compatibile con Windows per utenti avanzati. Malware Defender è anche un rilevatore di rootkit avanzato, con molti strumenti utili per rilevare e rimuovere il malware già installato. È adatto per l'uso domestico, anche se il suo materiale didattico è un po 'complicato.
I sistemi di rilevamento delle intrusioni host vengono eseguiti su singoli host o dispositivi sulla rete. Monitorano i pacchetti in entrata e in uscita solo dal dispositivo e avvisano l'utente o l'amministratore se viene rilevata un'attività sospetta.