10 meilleurs logiciels de systèmes de détection d'intrusion réseau et outils NIDS
Qu'est-ce que les systèmes NIDS/détection d'intrusion réseau ?
NIDS est l'acronyme de système de détection d'intrusion réseau. Les NIDS détectent les comportements néfastes sur un réseau tels que le piratage, l'analyse des ports et déni de service .
Voici notre liste des meilleurs outils NIDS :
- SolarWinds Security Event Manager CHOIX DE L'ÉDITEUR Un package HIDS avec des fonctionnalités NIDS. Cet outil de sécurité complet fonctionne sur Windows Server et peut traiter les fichiers de capture de paquets générés par Snort. Téléchargez l'essai gratuit de 30 jours.
- CrowdStrike Falcon Intelligence (ESSAI GRATUIT)Un service de renseignement sur les menaces qui surveille le trafic réseau pour détecter les risques de sécurité lorsqu'il passe sur un point de terminaison.
- Renifler Le NIDS leader. Cet outil est gratuit et fonctionne sous Windows, Linux et Unix.
- être Anciennement connu sous le nom de Bro, il s'agit d'un NIDS gratuit très respecté qui fonctionne au niveau de la couche Application.
- Blanche Cet outil applique à la fois des méthodologies de détection basées sur les anomalies et sur les signatures.
- IBM QRadar Cet outil SIEM basé sur le cloud combine les fonctionnalités HIDS et NIDS.
- Oignon de sécurité Un recueil de fonctions tirées d'autres outils HIDS et NIDS open source.
- Ouvrir WIPS-NG Un outil gratuit pour défendre les réseaux sans fil.
- Sagan Un HIDS qui peut fonctionner comme un NIDS, étant donné un flux de données en direct pour la saisie.
- Splunk Un analyseur de trafic largement utilisé avec des capacités HIDS et NIDS.
Le but du NIDS
Les systèmes de détection d'intrusion recherchent des modèles d'activité réseau pour identifier les activités malveillantes. Le besoin de cette catégorie de système de sécurité est apparu en raison des changements dans les méthodes des pirates informatiques en réaction aux stratégies réussies antérieures visant à bloquer les activités malveillantes.
Les pare-feu sont devenus très efficaces pour bloquer les tentatives de connexion entrantes. Le logiciel antivirus a réussi à identifierinfections transmises via des clés USB, des disques de données et des pièces jointes de courrier électronique. Les méthodes malveillantes traditionnelles étant bloquées, les pirates se sont tournés vers des stratégies d'attaque telles que les attaques par déni de service distribué (DDoS). Les services Edge rendent désormais ces vecteurs d’attaque moins menaçants.
Aujourd'hui,la menace persistante avancée (APT)est le plus grand défi pour les gestionnaires de réseaux. Ces stratégies d’attaque sont encore utilisées aujourd’hui par les gouvernements nationaux dans le cadre de la guerre hybride. Dans un scénario APT, un groupe de pirates informatiques accède à un réseau d’entreprise et utilise les ressources de l’entreprise à ses propres fins, tout en accédant aux données de l’entreprise à vendre.
La collecte de données personnelles contenues dans les bases de données des entreprises est devenue un business rentable, grâce aux agences de données.Ces informations peuvent également être utilisées à des fins malveillanteset peut également contribuer aux stratégies d’accès via le doxing. Les informations disponibles dans les bases de données clients, fournisseurs et employés de l'entreprise sont des ressources utiles pour pêche à la baleine et hameçonnage campagnes. Ces méthodes ont été utilisées efficacement par escrocs pour inciter les employés de l'entreprise à transférer de l'argent ou à divulguer personnellement des secrets. Ces méthodes peuvent êtreutilisé pour faire chanter les employés de l'entrepriseà agir contre les intérêts de leurs employeurs.
Des salariés mécontentsposent également des problèmes pour la sécurité des données des entreprises. Un travailleur isolé disposant d’un accès au réseau et aux bases de données peut faire des ravages en utilisant des comptes autorisés pour causer des dommages ou voler des données.
Donc,la sécurité des réseaux doit désormais englober des méthodes qui vont bien au-delà du blocage des accès non autoriséset empêcher l'installation de logiciels malveillants. Les systèmes de détection d'intrusion basés sur le réseau offrent une protection très efficace contre toutes les activités d'intrus cachées, les activités malveillantes des employés et la masquage des escrocs.
Quelle est la différence entre NIDS et SIEM ?
Lorsque vous recherchez de nouveaux systèmes de sécurité pour votre réseau, vous rencontrerez le terme SIEM . Vous vous demandez peut-être si cela signifie la même chose que NIDS.
Il existe de nombreux chevauchements entre les définitions du SIEM et du NIDS. SIEM signifieGestion des informations de sécurité et des événements. Le domaine du SIEM est une combinaison de deux catégories préexistantes de logiciels de protection. Il y aGestion des informations de sécurité (SIM)etGestion des événements de sécurité (SEM).
Le domaine du SEM est très similaire à celui du NIDS. La gestion des événements de sécurité est une catégorie de SIEM qui se concentre sur l'examen du trafic réseau en direct. C'est exactement la même chose que la spécialisation des systèmes de détection d'intrusion basés sur les réseaux.
Quelle est la différence entre NIDS et HIDS ?
Les systèmes de détection d'intrusion basés sur le réseau font partie d'une catégorie plus large, celle des systèmes de détection d'intrusion. L'autre type d'IDS est un système de détection d'intrusion basé sur l'hôte ou HIDS. Les systèmes de détection d'intrusion basés sur l'hôte sont à peu près équivalents à l'élément de gestion des informations de sécurité du SIEM.
Alors que les systèmes de détection d'intrusion basés sur le réseau examinent les données en direct , les systèmes de détection d'intrusion basés sur l'hôte examinent les fichiers journaux du système . L’avantage du NIDS est que ces systèmes sont immédiats. En examinant le trafic réseau au fur et à mesure, ils peuvent agir rapidement. Cependant, de nombreuses activités des intrus ne peuvent être repérées qu’au cours d’une série d’actions. Il est même possible pour les pirates de répartir les commandes malveillantes entre les paquets de données. Comme le NIDS fonctionne au niveau des paquets, il est moins capable de détecter les stratégies d'intrusion qui se propagent à travers les paquets.
HIDS examine les données d'événement une fois qu'elles ont été stockées dans les journaux. L'écriture d'enregistrements dans des fichiers journaux entraîne des retards dans les réponses. Cependant, cette stratégie permet aux outils analytiques de détecter des actions qui se déroulent simultanément en plusieurs points d’un réseau. Par exemple, si le même compte utilisateur est utilisé pour se connecter au réseau à partir d’emplacements géographiques dispersés et que l’employé auquel ce compte est attribué n’est en poste dans aucun de ces endroits, alors il est clair que le compte a été compromis.
Les intrus savent que les fichiers journaux peuvent exposer leurs activités et la suppression des enregistrements de journaux est donc une stratégie défensive utilisée par les pirates. La protection des fichiers journaux est donc un élément essentiel d’un système HIDS.
NIDS et HIDS présentent tous deux des avantages.NIDS produit des résultats rapides. Cependant, ces systèmes doivent apprendre du trafic normal d’un réseau pour les empêcher de signaler «faux positifs.» Particulièrement au cours des premières semaines de fonctionnement sur un réseau, les outils NIDS ont tendance à surdétecter les intrusions et à créer un flot d'avertissements qui mettent en évidence une activité régulière. D’une part, vous ne voulez pas filtrer les avertissements et risquer de manquer une activité d’intrus. Cependant, d’un autre côté, un NIDS trop sensible peut mettre à rude épreuve la patience d’une équipe d’administration réseau.
HIDS donne une réponse plus lente mais peut donnerune image plus précise de l’activité des intruscar il peut analyser les enregistrements d'événements provenant d'un large éventail de sources de journalisation. Vous devez adopter l'approche SIEM et déployer à la fois un NIDS et un HIDS pour protéger votre réseau.
Méthodes de détection des systèmes de détection d'intrusion dans le réseau
Les NIDS utilisent deux méthodes de détection de base :
- Détection basée sur les anomalies
- Détection basée sur les signatures
Les stratégies basées sur les signatures sont issues des méthodes de détection utilisées par les logiciels antivirus. Le programme d'analyse recherche des modèles d'utilisation dans le trafic réseau, notamment séquences d'octets et types de paquets typiques qui sont régulièrement utilisés pour des attaques.
Une approche basée sur les anomalies compare le trafic réseau actuel à l'activité typique . Ainsi, cette stratégie de défense nécessite une phase d’apprentissage qui établit un modèle d’activité normale. Un exemple de ce type de détection serait le nombre de tentatives de connexion infructueuses. On peut s'attendre à ce qu'un utilisateur humain se trompe de mot de passe à plusieurs reprises, mais une tentative d'intrusion programmée par force brute utiliserait de nombreuses combinaisons de mots de passe parcourant une séquence rapide. C'est un exemple très simple. Sur le terrain, les modèles d’activités recherchés par une approche basée sur les anomalies peuvent être des combinaisons d’activités très complexes.
Détection et prévention des intrusions
La détection des intrusions est la première étape pour assurer la sécurité de votre réseau.La prochaine étape consiste à faire quelque chose pour bloquer l'intrus. Sur un petit réseau, vous pouvez éventuellement intervenir manuellement, en mettant à jour les tables de pare-feu pour bloquer les adresses IP des intrus et en suspendant les comptes d'utilisateurs compromis. Cependant, sur un grand réseau et sur des systèmes qui doivent être actifs 24 heures sur 24, vous devez réellement mettre en œuvre la correction des menaces avec des flux de travail automatisés. L'intervention automatique pour lutter contre l'activité des intrus constitue la différence déterminante entre les systèmes de détection d'intrus et systèmes de prévention des intrusions (IPS) .
Le réglage fin des règles de détection et des politiques de remédiation est essentiel dans les stratégies IPS, car une règle de détection trop sensible peut bloquer les utilisateurs authentiques et arrêter votre système.
Les meilleurs outils et logiciels de systèmes de détection d'intrusion réseau
Ce guide se concentre sur les NIDS plutôt que sur CACHÉS des outils ou Logiciel IPS . Étonnamment, la plupart des principaux NIDS sont gratuits et d’autres outils de pointe proposent des périodes d’essai gratuites.
Notre méthodologie de sélection d'un système de détection d'intrusion basé sur le réseau
Nous avons examiné le marché des packages NIDS et analysé les outils en fonction des critères suivants :
- Analyse du trafic en direct
- Inspection des paquets
- Détection d'une anomalie
- Un flux de renseignements sur les menaces
- Triage pour accélérer le traitement et réduire l'utilisation du processeur
- Un essai gratuit ou un outil gratuit offrant une opportunité d'évaluation sans risque
- Rapport qualité-prix provenant d'un outil offrant une sécurité adéquate et proposé à un prix équitable ou d'un outil gratuit qui vaut la peine d'être installé
En gardant ces critères de sélection à l’esprit, nous avons recherché des systèmes de détection d’intrusion réseau compétents, jouissant d’une bonne réputation et ayant fait leurs preuves.
1. Gestionnaire d'événements de sécurité SolarWinds(ESSAI GRATUIT)
LeGestionnaire d’événements de sécurité SolarWindsest principalement un package HIDS, maisvous pouvez également utiliser les fonctions NIDS avec cet outil. L'outil peut être utilisé comme utilitaire analytique pour traiter les données collectées par Snort. Vous pouvez en savoir plus sur Snort ci-dessous. Snort peut capturer des données de trafic que vous pouvez visualiser via Security Event Manager.
Principales caractéristiques:
- Fonctionnalités NIDS et HIDS
- Prend les flux Snort
- Corrélation d'événements
- Réponses automatisées
- Alertes de menace
La combinaison de NIDS et HIDS en fait un logiciel de sécurité des données très puissant. La section NIDS de Security Event Manager comprend une base de règles, appelée règles de corrélation d'événements , qui détectera les anomalies d'activité indiquant une intrusion. L'outil peut être configuré pour mettre en œuvre automatiquement des flux de travail lors de la détection d'un avertissement d'intrusion. Ces actions sont appelées Réponses actives . Les actions que vous pouvez faire lancer automatiquement lors de la détection d'une anomalie incluent : l'arrêt ou le lancement de processus et services, la suspension des comptes utilisateurs, le blocage des adresses IP et l'envoi de notifications par e-mail , Message SNMP , ou enregistrement d'écran . Les réponses actives font du SolarWinds Security Event Manager un système de prévention des intrusions .
Avantages:
- Un outil combiné HIDS/NIDS, lui donnant plus de flexibilité que les produits concurrents
- Filtrage simple des journaux, pas besoin d'apprendre un langage de requête personnalisé
- Des dizaines de modèles et de règles permettent aux administrateurs de commencer à utiliser SEM avec peu de configuration ou de personnalisation
- L'outil d'analyse historique permet de détecter les comportements anormaux et les valeurs aberrantes sur le réseau.
- Multiplateforme avec Windows, Mac et la plupart des distributions nix
Les inconvénients:
- SEM est un produit NIDS avancé conçu pour les professionnels de la sécurité ; il nécessite du temps pour apprendre pleinement la plateforme.
Il s’agit de l’IDS haut de gamme disponible sur le marché aujourd’hui et il n’est pas gratuit. Le logiciel ne fonctionnera que sur leServeur Windowssystème d'exploitation, mais il peut collecter des données à partir deLinux,Unix, etMacOSainsi queles fenêtres. Vous pouvez obtenir le SolarWinds Security Event Manager sur un30 jours d'essai gratuit.
LE CHOIX DES ÉDITEURS
LeGestionnaire d’événements de sécurité SolarWindsest notre outil NIDS de premier choix car il déploie des techniques HIDS avec des capacités NIDS. L'utilisation d'un flux en direct dans le SEM crée un NIDS, tout en rendant les fonctions de recherche de fichiers de l'outil disponibles pour protéger le réseau. Des actions d'atténuation des menaces peuvent être configurées afin qu'elles soient automatiquement mises en œuvre par l'outil.
Obtenez un essai gratuit de 30 jours :https://www.solarwinds.com/security-event-manager
TOI:Windows 10 et versions ultérieures, Windows Server 2012 et versions ultérieures, basé sur le cloud : hyperviseur, AWS et MS Azure
2. CrowdStrike Falcon Intelligence (ESSAI GRATUIT)
Bien qu'un NIDS surveille généralement le trafic réseau qui passe,CrowdStrike Falcon Intelligencefonctionne sur les points de terminaison, capturant le trafic dès qu'il entre dans l'appareil. Théoriquement, cette résidence devrait faire de Falcon Intelligence un système de détection d'intrusion basé sur l'hôte. Cependant, le service fonctionne sur des données en direct et non en lisant des fichiers journaux, il s'agit donc d'un NIDS.
Principales caractéristiques:
- Collecte le trafic des points de terminaison
- Règles de Yara et Snort
- Option de service de sécurité géré
- Détection basée sur les anomalies
Falcon Intelligence est capable d'adapter d'autres systèmes NIDS grâce à la création de règles pouvant être exécutées dans Yara et Snort. Ces règles sont générées dans le service Falcon Intelligence, puis vérifiées et ajustées manuellement par un expert en cybersécurité humaine au siège de CrowdStrike. La plupart des processus Falcon Intelligence sont automatisés. Cependant, le plan le plus élevé du service comprend un analyste en cybersécurité affecté. Ce plan s'appelleÉlite du renseignement Falcon. Un plan intermédiaire qui comprend une analyse Internet sur mesure des mentions de votre entreprise est appeléFaucon Intelligence Premium. Le plan de base est simplement connu sous le nom de Falcon Intelligence et comprend une recherche de renseignements sur les menaces effectuée automatiquement sur chaque point de terminaison de votre réseau.
Avantages:
- Ne s'appuie pas uniquement sur les fichiers journaux pour détecter les menaces, utilise l'analyse des processus pour détecter immédiatement les menaces.
- Agit comme un outil HIDS et de protection des points finaux tout en un
- Peut suivre et alerter un comportement anormal au fil du temps, s'améliore plus il surveille le réseau
- Peut être installé sur site ou directement dans une architecture basée sur le cloud
- Les agents légers ne ralentiront pas les serveurs ou les appareils des utilisateurs finaux
Les inconvénients:
- Bénéficierait d’une période d’essai plus longue
Le système Falcon Intelligence est écrit sur la plateforme CrowdStrike Falcon. Celui-ci réside principalement sur le serveur CrowdStrike et est proposé sous forme de service cloud avec une console utilisateur accessible via un navigateur. Chaque point de terminaison protégé doit également disposer d'un programme agent installé. Cet agent fournit automatiquement toutes les procédures de collecte et d’atténuation des données. Offres CrowdStrikeun essai gratuit de 15 joursde Falcon Intelligence.
CrowdStrike Falcon Intelligence démarre un essai GRATUIT de 15 jours
3. Renifler
Snort, propriété de Cisco Systems, est un projet open source et estutilisation gratuite. C'estle leader NIDSaujourd'hui et de nombreux autres outils d'analyse de réseau ont été écrits pour utiliser ses résultats. Le logiciel peut être installé surles fenêtres,Linux, etUnix.
Principales caractéristiques:
- Utilisation gratuite
- Renifleur de paquets
- Langage des règles de détection
Il s’agit en fait d’un système de renifleur de paquets qui collectera des copies du trafic réseau à des fins d’analyse. L’outil dispose cependant d’autres modes, parmi lesquels la détection d’intrusion. En mode détection d’intrusion, Snort applique «politiques de base», qui est la base de règles de détection de l'outil.
Les politiques de base rendent Snort flexible, extensible et adaptable. Vous devez affiner les politiques en fonction des activités typiques de votre réseau et réduire les incidences de «faux positifs.» Vous pouvez rédiger vos propres politiques de base, mais ce n’est pas obligatoire car vous pouvez télécharger un pack sur le site Web de Snort.Il existe une très grande communauté d’utilisateurs pour Snortet ces utilisateurs communiquent via un forum.
Avantages:
- Entièrement gratuit et open source
- Une grande communauté partage de nouveaux ensembles de règles et de nouvelles configurations que les administrateurs système peuvent déployer dans leur environnement
- Prend en charge le reniflage de paquets pour l'analyse du trafic en direct en conjonction avec l'analyse des journaux
Les inconvénients:
- Compter sur le soutien de la communauté
- A une courbe d'apprentissage plus abrupte que les autres produits avec un support dédié
- Peut nécessiter davantage d’ajustements politiques pour éliminer les faux positifs
Les utilisateurs experts mettent gratuitement leurs propres conseils et améliorations à la disposition des autres. Vous pouvez également récupérer gratuitement davantage de politiques de base auprès de la communauté. Comme de nombreuses personnes utilisent Snort, vous pouvez toujours trouver de nouvelles idées et de nouvelles politiques de base sur les forums.
4. Zeek
être(anciennement Bro) est un NIDS, comme Snort, cependant, il présente un avantage majeur par rapport au système Snort – cet outil fonctionne au niveauCouche d'application. CeNIDS gratuitsest largement préféré par les communautés scientifiques et universitaires.
Principales caractéristiques:
- Analyse de la couche d'application
- Détection des signatures et des anomalies
- Utilisation gratuite
C'est à la fois un système basé sur les signatures et il utilise également méthodes de détection basées sur les anomalies . Il est capable de repérer modèles au niveau des bits qui indiquent une activité malveillante à travers les paquets réseau .
Le processus de détection est géré dansdeux phases. Le premier d'entre eux est géré par leMoteur d'événements. Comme les données sont évaluées à un niveau supérieur au niveau des paquets, l’analyse ne peut pas être effectuée instantanément. Il doit y avoir un niveau de mise en mémoire tampon afin qu'un nombre suffisant de paquets puisse être évalué ensemble. Ainsi, Zeek est un peu plus lent qu'un NIDS classique au niveau des paquets, mais identifie toujours les activités malveillantes plus rapidement qu'un HIDS. Les données collectées sont évaluées parscripts de stratégie, qui est la deuxième phase du processus de détection.
Avantages:
- NIDS hautement personnalisable, conçu spécifiquement pour les professionnels de la sécurité
- Prend en charge l'analyse du trafic de la couche application ainsi que l'analyse basée sur les journaux
- Utilise la détection des signatures et l'analyse des comportements anormaux pour détecter les menaces connues et inconnues
- Prend en charge l'automatisation via des scripts, permettant aux administrateurs de scripter facilement différentes actions
Les inconvénients:
- Uniquement disponible pour Unix, Linux et Mac
- Pas aussi convivial, nécessite une connaissance approfondie des SIEM, NIDS, DPI, etc.
- Mieux adapté aux chercheurs et aux spécialistes
Il est possible demettre en place des actions correctivesêtre déclenché automatiquement par un script de stratégie. Cela fait de Bro un système de prévention des intrusions. Le logiciel de détection d'intrusion peut être installé surUnix,Linux, etMacOS. Zeek peut être déployé conjointement avec Dynamite-NSM , un moniteur de sécurité réseau gratuit, pour étendre ses capacités et profiter de ses affichages graphiques avancés des données de journal.
5. Suricate
Blancheest aussi un NIDS quifonctionne au niveau de la couche application, lui donnant une visibilité sur plusieurs paquets. C'est unoutil gratuitqui a des capacités très similaires à celles de Bro. Bien que cessystèmes de détection basés sur les signaturesfonctionnent au niveau de l'application, ils ont toujours accès aux détails des paquets, ce qui permet au programme de traitement d'obtenirinformations au niveau du protocoleà court d'en-têtes de paquets. Cela inclut le cryptage des données,Couche de transportetCouche Internetdonnées.
Principales caractéristiques:
- Analyse de la couche d'application
- Utilisation gratuite
- Compatible avec Snort
Cet IDS emploie également méthodes de détection basées sur les anomalies . Outre les données par paquets, Suricata peut examiner les certificats TLS, les requêtes HTTP et les transactions DNS. L'outil est également capable d'extraire des segments de fichiers au niveau bit pour la détection de virus.
Avantages:
- Collecte des données au niveau des couches d'application, ce qui leur donne une visibilité unique là où des produits comme Snort ne peuvent pas les voir
- Analyse et réassemble les paquets de protocole de manière très efficace
- Peut surveiller plusieurs protocoles et vérifier l'intégrité des certificats en TLS, HTTP et SSL
- Est compatible avec d'autres outils qui utilisent le format de règle VRT
Les inconvénients:
- Les scripts intégrés pourraient être plus faciles à utiliser
- Est gratuit, mais n’a pas une communauté aussi grande que des outils comme Snort ou Zeek
- Pourrait avoir un tableau de bord d'accueil plus facile à naviguer
Suricata est l'un des nombreux outils compatibles avec leSniffer la structure des données. Il est capable de mettre en œuvre les politiques de base de Snort. Un gros avantage supplémentaire de cette compatibilité est que la communauté Snort peut également vous donner des conseils sur des astuces à utiliser avec Suricata. D'autres outils compatibles Snort peuvent également s'intégrer à Suricata. Ceux-ci inclusSnorby,anal,BASE, etSquile.
6. IBM QRadar
Cet outil IBM SIEM n'est pas gratuit, mais vous pouvez obtenir un Essai gratuit de 14 jours . C'estun service basé sur le Cloud, afin qu'il soit accessible de n'importe où. Le système couvre tous les aspects de la détection d'intrusion, y compris les activités centrées sur les journaux d'unCACHÉSainsi que l'examen des données de trafic en direct, ce qui en fait également un NIDS. L'infrastructure réseau que QRadar peut surveiller s'étend aux services Cloud. Les politiques de détection qui mettent en évidence une éventuelle intrusion sont intégrées au package.
Principales caractéristiques:
- SIEM
- Forfait SaaS
- Détection des anomalies basée sur l'IA
Une fonctionnalité très intéressante de cet outil est unutilitaire de modélisation d'attaquequi vous aide à tester les vulnérabilités de votre système. IBM QRadarutilise l'IA pour faciliter la détection des intrusions basée sur les anomalieset dispose d'un tableau de bord très complet qui intègre des visualisations de données et d'événements. Si vous ne souhaitez pas utiliser le service dans le Cloud, vous pouvez opter pour une version sur site qui fonctionne surles fenêtres.
Avantages:
- NIDS flexible basé sur le cloud, facilitant la surveillance depuis n'importe où
- Visualisations simples mais informatives et hautement personnalisables
- Comprend une modélisation d'attaque intégrée, idéale pour les tests d'intrusion et les analyses de vulnérabilité
- Prend en charge une version sur site basée sur Windows pour ceux qui ne souhaitent pas de SaaS
Les inconvénients:
- J'aimerais voir un essai plus long de 30 jours pour les tests
- Est cher par rapport à des outils similaires
- Conçu pour une utilisation en entreprise, les petits réseaux peuvent trouver QRadar écrasant ou d'un coût prohibitif.
7. Oignon de sécurité
Si vous souhaitez qu'un IDS fonctionne sur Linux , le gratuit Le package NIDS/HIDS de Security Onion est une très bonne option. Il s'agit d'un projet open source soutenu par la communauté. Le logiciel de détection d'intrusion de cet outil fonctionne sur Ubuntu et a été tiré d'autres utilitaires d'analyse de réseau.
Principales caractéristiques:
- Une collection d'outils
- Utilisation gratuite
- HIDS et NIDS
Un certain nombre d'autres outils répertoriés dans ce guide sont intégrés au package Security Onion : Renifler , être , et Blanche . La fonctionnalité HIDS est fournie par OSSEC et l'avant est le Kibana système. D'autres outils de surveillance de réseau bien connus inclus dans Security Onion incluent ELSA , Mineur de réseau , Snorby , Squirt , Squile , et Xplico .
L'utilitaire comprend une large gamme d'outils d'analyse et utilise à la fois des techniques de détection basées sur les signatures et les anomalies. Même si la réutilisation des outils existants fait que Security Onion bénéficie de la réputation établie de ses composants, les mises à jour des éléments du package peuvent s'avérer compliquées.
Vous pouvez utiliser Kibana avec Security Onion pour une détection améliorée des menaces.
Avantages:
- Logiciel open source gratuit
- Très détaillé, conçu pour une analyse médico-légale
- Comprend un renifleur de paquets intégré et des options de relecture du trafic
Les inconvénients:
- Uniquement disponible pour Linux
- S'appuie sur Kibana pour la visualisation, j'aimerais voir une option intégrée par défaut
- L'interface n'est pas conviviale
8. Ouvrez WIPS-NG
Open WIPS-NG est unOpen sourceprojet qui vous aide à surveiller les réseaux sans fil. L'outil peut être utilisé comme un outil simplerenifleur de paquets wifiou comme système de détection d'intrusion. L'utilitaire a été développé par la même équipe qui a crééLangue Aircrack– un outil d’intrusion réseau très connu utilisé par les pirates. Ainsi, pendant que vous utilisez Open WIPS-NG pour défendre votre réseau, les pirates que vous repérez récolteront vos signaux sans fil avec son package sœur.
Principales caractéristiques:
- Renifleur de paquets sans fil
- Outil gratuit
- Réponses automatisées
C'estun outil gratuitqui s'installe surLinux. Le progiciel comprend trois composants. Il s'agit d'un capteur, d'un serveur et d'une interface. Open WIPS-NG propose un certain nombre d'outils de remédiation, de sorte que le capteur agit comme votre interface avec l'émetteur-récepteur sans fil à la fois pour collecter des données et envoyer des commandes.
Avantages:
- Outil très flexible, développé par la communauté des hackers
- Interface de ligne de commande légère
- Syntaxe facile à mémoriser
- Projet entièrement open source
Les inconvénients:
- Pas adapté aux débutants
- Conçu principalement pour les spécialistes de la sécurité
- S'appuie sur d'autres outils pour étendre les fonctionnalités
- Nativement disponible uniquement pour les systèmes Linux
9. Sagan
Sagan est un HIDS. Cependant, avec l'ajout d'un flux de données provenant deRenifler, il peut également faire office de NIDS. Alternativement, vous pouvez utiliserFrèreouBlanchepour collecter des données en direct pour Sagan. Ceoutil gratuitpeut être installé surUnixet les systèmes d'exploitation de type Unix, ce qui signifie qu'il fonctionnera surLinuxetMacOS, mais pas sous Windows. Cependant, il peut traiter les messages du journal des événements Windows. L'outil est également compatible avecanal,BASE,Snorby, etSquile.
Principales caractéristiques:
- Outil gratuit
- CACHÉS
- Obtenez le flux réseau de Snort
Les extras utiles intégrés à Sagan incluent le traitement distribué et un Géolocalisateur d'adresse IP . C'est une bonne idée car les pirates utilisent souvent une plage d'adresses IP pour les attaques d'intrusion, mais négligent le fait que l'emplacement commun de ces adresses est révélateur. Sagan peut exécuter des scripts pour automatiser la correction des attaques , y compris la possibilité d'interagir avec d'autres utilitaires tels que les tables de pare-feu et les services d'annuaire. Ces capacités en font un système de prévention des intrusions .
Avantages:
- Outil d'analyse de logs entièrement gratuit
- Est compatible avec d'autres outils open source comme Zeek et Snort
- Comprend un localisateur d'adresses IP qui peut donner des informations géopolitiques sur les adresses
Les inconvénients:
- Non disponible pour les systèmes d'exploitation Windows
- A une courbe d'apprentissage assez pointue pour les nouveaux utilisateurs
- L'interface peut être rapidement encombrée lors de la numérisation
10. Splunk
Splunk est un analyseur de trafic réseau populaire qui possède également des fonctionnalités NIDS et HIDS. L'outil peut être installé surles fenêtreset surLinux. L'utilitaire est disponible en trois éditions. Ceux-ci sont Splunk gratuit , Lumière Splunk , Splunk Entreprise , et Nuage Splunk . Tu peux recevoirun essai de 15 joursà la version cloud de l'outil etun essai gratuit de 60 joursde Splunk Entreprise. Splunk Light est disponible surun essai gratuit de 30 jours. Toutes ces versions incluent des capacités de collecte de données et de détection d'anomalies.
Principales caractéristiques:
- Sur site ou dans le cloud
- NIDS et HIDS
- Détection d'anomalies avec l'IA
Les fonctionnalités de sécurité de Splunk peuvent être améliorées grâce à un module complémentaire, appeléSécurité d'entreprise Splunk. Ceci est disponible sur un essai gratuit de 7 jours .
Cet outil améliore la précision de la détection des anomalies et réduit l’incidence des faux positifs grâce à l’utilisation de l’IA. L'étendue du système d'alerte peut être ajustée en fonction du niveau de gravité des avertissements pour éviter que votre équipe d'administration système ne soit submergée par un module de reporting trop zélé.
Splunk intègre une référence de fichier journal pour vous permettre d'obtenir une perspective historique sur les événements. Vous pouvez repérer des modèles d’attaques et d’activités d’intrusion en examinant la fréquence des activités malveillantes au fil du temps.
Avantages:
- Multiplateforme pour les systèmes d'exploitation Windows et Linux
- Peut être installé dans le cloud ou sur site
- Utilise l'IA pour identifier les comportements anormaux et éliminer les faux positifs
- Excellentes options de reporting et de tableau de bord
Les inconvénients:
- Conçu pour les réseaux de grandes entreprises, peut offrir plus que ce dont les petits réseaux ont besoin
- Plus cher que la plupart des outils NID du marché
- Livré avec une courbe d'apprentissage abrupte, en particulier avec la fonction de recherche de langue
- L'intégration est compliquée et prend du temps
Implementing NIDS
Les risques qui menacent la sécurité de votre réseau sont désormais si étendus que vousn'avons vraiment pas le choix de mettre en œuvre ou non des systèmes de détection d'intrusion basés sur le réseau. Ils sont essentiels. Heureusement, vous avez le choix de l'outil NIDS que vous installez.
Tous les outils de la liste sont soitutilisation gratuite ou disponibles sous forme d'offres d'essai gratuites. Vous pourrez en mettre quelques-uns à l'épreuve. Affinez simplement la liste en fonction du système d'exploitation, puis évaluez quelles fonctionnalités de la liste restreinte correspondent à la taille de votre réseau et à vos besoins de sécurité.
Utilisez-vous un outil NIDS ? Lequel as-tu choisi d’installer ? Avez-vous également essayé un outil HIDS ? Comment compareriez-vous les deux stratégies alternatives ? Laissez un message dans lecommentairesci-dessous et partagez votre expérience avec la communauté.
FAQ sur les systèmes de détection d'intrusion dans le réseau (NIDS) s
Le NIDS et l’IPS peuvent-ils fonctionner ensemble ?
Oui. NIDS et IPS fonctionnent très bien ensemble. En fait, un IPS n’est qu’un IDS avec des extras. Alors qu'un système de détection d'intrusion détecte une activité non autorisée, un système de prévention d'intrusion détecte une activité puis met en œuvre des actions pour arrêter cette activité. Comme un IPS intègre un IDS, vous n’avez pas besoin d’acheter un IDS séparé si vous possédez déjà un IPS.
Que fait un système de détection d’intrusion réseau lorsqu’il détecte une attaque ?
Généralement, un système de détection d'intrusion est conçu pour identifier un comportement anormal et déclencher une alerte pour attirer l'attention sur celui-ci. Si vous souhaitez un outil qui déclenchera des mesures correctives lors de l'identification d'une intrusion, vous devriez rechercher un système de prévention des intrusions (IPS).
Où placer un NIDS pour protéger l’ensemble du réseau ?
Un NIDS doit avoir accès à tous les paquets circulant sur un réseau. En général, chaque paquet passant sur un réseau visite tous les appareils qui s'y trouvent. La carte réseau de chaque appareil ignore simplement les paquets qui ne lui sont pas adressés. Ainsi, le NIDS peut être hébergé sur n’importe quel appareil du réseau à condition que la carte réseau de cet appareil ait été placée en mode promiscuité pour prêter attention à tous les paquets, pas seulement à ceux adressés à cet appareil. Si le réseau comporte plusieurs segments distincts, comme dans le cas d'une configuration en zone démilitarisée, vous pouvez soit héberger le NIDS sur un périphérique de connexion, tel que le routeur, soit placer un collecteur sur l'autre segment qui communiquera avec le module de traitement résidant sur un hôte connecté au réseau principal. Un NIDS peut également examiner les paquets sur un réseau distant si un agent y est installé.
Image: Cybercriminalité des pirates informatiques depuis Pixabay . Domaine public .