A hálózat biztonsága az elmúlt években nagyon bonyolult feladattá vált. Ennek oka az adathalászat, a fejlett, állandó fenyegetés, a doxolás és az álcázás. Ezek a trükkök azt jelentik, hogy az alkalmazottak most nehezen tudják megállapítani, hogy a távoli felső vezetéstől kapott utasítások valódiak-e. Az ilyen típusú környezetben a hálózati biztonság hagyományos határai túlmutatnak az internetes leskelődés megakadályozásán és a vírusok tűzfallal történő blokkolásán. Mostantól a forgalom viselkedési mintáit is elemeznie kell, és észre kell vennie a rendellenes tevékenységeket, még akkor is, ha azokat jogosult felhasználók végzik.
Hagyományosan az informatikai részleg rendszergazdai jogosultságokkal rendelkezett, amelyek a támogató személyzet bármelyikének hozzáférést biztosítottak a vállalati rendszer minden eleméhez. Az adatok nyilvánosságra hozatalának kockázata most magasabb. Még a titoktartás nem szándékos megsértése is költséges peres eljáráshoz vezethet azok részéről, akiknek személyes adatait az Ön rendszerében tárolják. Ez az új környezet megköveteli a hozzáférési jogok szigorítását és az összes tevékenység nyomon követését a rosszindulatú tevékenységek és a véletlen megsemmisítés megelőzése és naplózása érdekében.
Szerencsére a modern hálózati berendezések beépített üzenetküldő rendszerekkel rendelkeznek, és ezeket az információforrásokat csak gyűjtőügynökök és elemző szoftverek telepítésével lehet kihasználni. A hálózatbiztonsági piac több kategóriájú monitort kínál, amelyek segítenek megvédeni cégét az adatlopástól és más rosszindulatú tevékenységektől.
Ebben az útmutatóban a hálózatkezelő szoftverek következő kategóriáit tekintjük át:
Forgalomelemzők
Naplókezelők
Sebezhetőségi szkennerek
Konfigurációkezelők
Hálózati monitorok
Behatolásjelző és behatolásgátló rendszerek
Íme a legjobb hálózati biztonsági szoftverek listája:
SolarWinds hálózati teljesítményfigyelő
WhatsUp Gold
TrueSight hálózati automatizálás / hálózati sebezhetőség kezelése
OSSEC
Sagan
Paessler PRTG
Az egyes opciókról további részleteket az útmutató következő részében olvashat.
Tartalomjegyzék
Hálózati biztonsági szoftver opciók
A listában szereplő ajánlások számos átfogó hálózatfelügyeleti eszközt tartalmaznak, amelyek általános hálózati teljesítményfigyelőként szolgálnak, valamint kifejezetten nyomon követik a biztonsági problémákat. A listán szereplő három fő eszköz a SolarWinds Network Performance Monitor, a WhatsUp Gold és a Paessler PRTG. Ezen csomagok mindegyike bővíthető extra funkciók széles skálájával. Ezeknek az eszközöknek az architektúrája azt is lehetővé teszi, hogy korlátozza a funkcionalitásukat, és csak egy feladatra összpontosítson, például a biztonsági megfigyelésre. Az OSSEC és a Sagan nagyra értékelt speciális behatolásérzékelő rendszerek, a TrueSight csomag pedig a hálózatvédelmi funkciók szép keverékét tartalmazza.
Ez a lista olyan opciókat tartalmaz, amelyek alkalmasak kis, közepes méretű és nagy hálózatokhoz.
1. SolarWinds Network Performance Manager (INGYENES PRÓBA)
A Network Performance Manager a SolarWinds által kínált kulcsfontosságú eszköz. Nyomon követi a hálózati eszközök állapotát a Simple Network Management Protocol üzenetkezelés használatával. Minden hálózati berendezést SNMP-képességekkel szállítanak, így csak egy SNMP-kezelőt kell telepítenie, például ezt a SolarWinds eszközt, hogy részesüljön az SNMP által nyújtott információkból.
Töltse le az ingyenes próbaverziót a https://www.solarwinds.com/network-performance-monitor/ címen
Az eszköz tartalmaz egy automatikus felfedező és leképezési eszközt, amely leltárt készít a hálózati berendezésekről. A felderítési funkció folyamatosan fut, és észleli a hálózathoz hozzáadott új eszközöket. Ez egy hasznos asszisztens a behatolásészlelésben, mivel a hardveres invázió a behatolás egyik formája. A Network Performance Monitor mély csomagvizsgálati képességei a forgalmi minták és a felhasználói tevékenységek rendellenes viselkedésének kiemelésével és nyomon követésével is segítik a hálózat védelmét.
A SolarWinds számos egyéb hálózatkezelő eszközt kínál, amelyek fokozzák a Network Performance Monitor képességeit a biztonsági megfigyelés tekintetében. A NetFlow Traffic Analyzer megvizsgálja a hálózat körüli forgalom áramlását, és biztonsági felügyeleti funkciókat is tartalmaz. Ez magában foglalja a hibásan formázott és potenciálisan rosszindulatú forgalom nyomon követését a 0-s hálózati portra. A megfigyelési szolgáltatásokon kívül a forgalomvizualizációk és az anomáliákra vonatkozó riasztások segítenek a szokatlan tevékenységek észlelésében.
Ennek az eszköznek az irányítópultja az élő adatok nagyszerű megjelenítését tartalmazza, és képes csomagadatok tárolására is a történeti elemzéshez. Az eszköz számos lehetőséget kínál a csomagrögzítéshez, beleértve a mintavételi módszereket, amelyek csökkentik az elemzéshez tárolandó adatok mennyiségét. Ha nem rendelkezik a SolarWinds Network Performance Monitor és a NetFlow Traffic Analyzer költségvetésével, akkor kipróbálhatja az ingyenes valós idejű sávszélesség-figyelőt. Ez az eszköz azonban nem rendelkezik sok funkcióval, és csak kis hálózatokhoz lenne alkalmas.
Jobb betekintést nyerhet a felhasználói tevékenységekbe, ha hozzáadja a felhasználói eszközkövetőt. Ez lehetővé teszi a felhasználói tevékenység nyomon követését, és szemmel tartja a kapcsolóport eseményeit, beleértve a hackerek portok vizsgálatára tett kísérleteit is. Az eszköz a portokat is le tudja zárni, és behatolásészlelés esetén szelektíven blokkolja a felhasználókat.
A SolarWinds istálló további funkciói hozzáadhatók a monitorhoz, mert a vállalat közös platformot hozott létre minden fő eszközéhez, amely lehetővé teszi az adatmegosztást és az interdiszciplináris modulokat. A Network Configuration Manager jó választás lehet biztonsági problémák esetén, mivel ez szabályozza a hálózati berendezés beállításait. Ezenkívül megkeresi a firmware-frissítéseket és telepíti azokat – az operációs rendszerekkel és minden szoftverrel való naprakészen tartás az IT-rendszerek fontos biztonsági feladata.
A SolarWinds számos ingyenes eszközt kínál, amelyek segítenek ellenőrizni hálózata biztonságát. Ezek közé tartozik a Solar-PuTTY csomag. Ez nem csak egy biztonságos terminálemulátor, amely lehetővé teszi a távoli kiszolgálók biztonságos elérését. Tartalmaz egy SFTP-megvalósítást is, amellyel biztonsági másolatot készíthet és terjesztheti az eszközkonfigurációs képfájlokat. Ez a Network Configuration Manager olcsó alternatívája lenne, ha kicsi a hálózata és nagyon szűkös a költségvetése.
A Kiwi syslog szerver egy másik hasznos SolarWinds biztonsági eszköz, amelyet a kis szervezetek ingyenesen használhatnak. Nem kell fizetnie ezért az eszközért, ha legfeljebb öt eszközt figyel. Az eszköz nagyobb hálózatokhoz is alkalmas, de ezért fizetni kell. A naplókezelő ezenkívül gyűjti és tárolja az SNMP-üzeneteket, és riasztásokat állíthat be az üzenettípusok mennyiségére vonatkozóan. Ez egy nagyon hasznos funkció, ha nem rendelkezik SNMP-alapú hálózatkezelővel. A figyelmeztetések kiemelik a mennyiségi támadásokat és a brute-force jelszófeltörési kísérleteket. Ez a naplókezelő eszköz a szokatlan forgalomnövekedést és a gyanús felhasználói tevékenységeket is észlelheti.
2. WhatsUp Gold
A WhatsUp Gold a SolarWinds Network Performance Monitor kihívója. Az Ipswitch gyártja, amely számos olyan kiegészítő modult is kínál, amelyek fokozzák a WhatsUp Gold biztonsági felügyeleti képességeit. Ez a hálózati monitor kiemeli a szokatlan viselkedést azáltal, hogy az SNMP üzenetküldő rendszerrel figyeli a switcheket és az útválasztókat. Végül a konzol lehetővé teszi saját egyéni riasztások beállítását, amelyek figyelmeztetést adnak a forgalomnövekedésre és a logikátlan felhasználói tevékenységekre.
A riasztások megjelennek a rendszer műszerfalán, és Ön is bejelölheti, hogy e-mailben vagy SMS-ben küldje el őket. Lehetőség van különböző értesítések továbbítására a különböző csapattagokhoz az üzenet forrásától és súlyosságától függően. Egy ingyenes segédeszköz, WhatsUp Syslog Server javítja a rendszerüzenetekből származó információkat, és egyéni figyelmeztetéseket is létrehozhat. A syslog üzenetek megjeleníthetők a konzolon, továbbíthatók más alkalmazásoknak, és fájlokban tárolhatók. A kiszolgáló a rendszernaplófájljait egy logikai könyvtárfában fogja kezelni, hogy megkönnyítse az egyes üzenetek visszakeresését. Az archivált üzenetek visszaolvashatók az irányítópulton elemzés céljából. Ezen túlmenően a felület lehetővé teszi az üzenetek rendezését és szűrését, hogy azonosítsa a viselkedési mintákat, és emellett észrevegye az anomális viselkedést.
A WhatsUp Goldot számos fizetett fejlesztés kíséri, amelyek javítják a biztonsági felügyeleti teljesítményt. Érdemes megfontolni a hozzáadását Hálózati forgalomkezelés modult, hogy adatáramlási információkat kapjon a hálózatán. A fő WhatsUp Gold csomag az eszközök állapotára fókuszál, a Traffic Management modul pedig adatáramlási információkat gyűjt. A modul forgalomcímkézési képességeket tartalmaz a QoS megvalósításokhoz. A forgalom mennyiségi jelentését feloszthatja forrás- és céleszköz, forrás- és célország és tartomány, beszélgetés, alkalmazás, protokoll vagy portszám szerint. Ez a részlet segít nyomon követni a szokatlan tevékenységeket, és még bizonyos alkalmazásokat is blokkolhat, például vészhelyzet esetén a fájlátviteli segédprogramokat.
A Hálózati konfiguráció kezelése modul segítségével ellenőrizheti a hálózati eszközök beállításainak módosításait. Az eszközbeállítások jogosulatlan módosítása gyakran a behatolás és a fejlett, tartós fenyegetések előjátéka. Ennek az az oka, hogy a hackerek megnyithatnak portokat, majd blokkolhatnak olyan jelentési funkciókat, amelyek jogosulatlan tevékenységekre utalnak. Minden eszköztípushoz, gyártmányhoz és modellhez létre kell hoznia egy szabályzatot, és minden csoporthoz létre kell hoznia egy szabványos beállítási profilt. A WhatsUp Network Configuration Management bővítmény lehetővé teszi ezeknek a szabványos konfigurációs képeknek a terjesztését, biztonsági másolatok készítését a jóváhagyott konfigurációkról, és végső soron a szabványos beállítások visszaállítását, ha bármilyen konfigurációs változást észlel.
A WhatsUp Gold fizetős eszközei 30 napig ingyenesen elérhetők. Minden WhatsUp Gold szoftver Windows környezetre települ.
3. TrueSight hálózati automatizálás / hálózati sebezhetőség kezelése
A BMC Software e két terméke egy igazán átfogó biztonsági eszköztárat alkot. A Hálózatautomatizálási eszköz az összes berendezés felderítése, naplózása és leképezése után figyeli a hálózatot. A Network Automation csomag konfigurációkezelő modulja ennek a hálózatfelügyeleti rendszernek az igazán lenyűgöző tulajdonsága. Olyan sablonokat vagy „házirendeket” integrál, amelyek automatikusan végrehajtják a biztonsági szabványokat. Mindegyik jól ismert szabványhoz létezik egy szabályzat: NIST, HIPAA, PCI, CIS, DISA, SOX és SCAP. Tehát, ha Ön vállalta, hogy megfelel ezen adatintegritási rendszerek valamelyikének, a Hálózatautomatizálási eszköz ezt még ki is kényszeríti Önnek.
A TrueSight Network Automation konfigurációkezelője minden hálózati eszköz konfigurációját úgy módosítja, hogy az megfeleljen a kiválasztott házirendnek. Ezután biztonsági másolatot készít a konfigurációról, és figyeli az eszköz beállításainak változásait. Ha olyan változtatásokat hajtanak végre, amelyek miatt az eszköz nem felel meg a házirendnek, a konfigurációkezelő újra betölti a biztonsági másolatból készült konfigurációs fájlt. Ez a művelet törli a jogosulatlan változtatásokat. A Network Automation rendszer egyben patch manager is. Kapcsolatot fog tartani a berendezésgyártók értesítési rendszereivel a javítások és firmware-frissítések miatt. Amint elérhetővé válik a javítás, az eszköz értesíti Önt, és a frissítéseket a hálózati eszközökre is kihelyezi.
A Network Vulnerability Management segédprogram minden eszközt átvizsgál a biztonsági résekért. A rendszer a szállítói értesítésekkel és a NIST Nemzeti Sebezhetőségi Adatbázissal végzett ellenőrzésekre támaszkodik, hogy naplózza az Ön által működtetett hálózati berendezések és szerverek ismert gyengeségeit. Végül az eszköz frissíti a szoftvert, hogy blokkolja a kihasználásokat, és figyelemmel kísérje az eszközök és szerverek teljesítményét.
4. OSSEC
Az OSSEC a nyílt forráskódú HIDS biztonság rövidítése. A HIDS rendszer egy gazdagép alapú behatolásérzékelő rendszer. A behatolásészlelés elengedhetetlen szakterületté vált a hálózati biztonság világában, és valóban szükség van egy IDS telepítésére a biztonsági csomag részeként.
Az OSSEC két nagyszerű tulajdonsága, hogy ez a vezető HIDS elérhető, és használata teljesen ingyenes. A termék a jól ismert biztonsági szoftvergyártó, a Trend Micro tulajdona és támogatása. A HIDS-módszerek a naplófájl-kezelésen alapulnak. A naplófájlok helyes lekérdezése felfedi a hackerek által a rendszer felfedezésére és az adatok és erőforrások ellopására irányuló műveleteket. Ez az oka annak, hogy a hackerek mindig módosítják a naplófájlokat. Az OSSEC minden naplófájlhoz ellenőrző összeget hoz létre, amely lehetővé teszi a manipuláció észlelését. Az eszköz figyeli a naplófájlokat, amelyek rögzítik a fájlátvitelt, a tűzfal- és víruskereső tevékenységet, az eseménynaplókat, valamint a levelezési és webszerver-naplókat. Be kell állítania a házirendeket, amelyek meghatározzák a segédprogram műveleteit. Ezeket a házirendeket meg lehet írni házon belül, vagy akár beszerezheti őket az OSSEC közösségtől. A házirend meghatározza azokat a feltételeket, amelyeket az OSSEC-nek figyelnie kell, és riasztást generál, ha az egyik figyelt napló illetéktelen tevékenységet mutat. Ezeket a figyelmeztetéseket elküldheti a felületre, vagy elküldheti e-mail értesítésként.
Ha a rendszert Windows rendszerre telepíti, az figyelni fogja a rendszerleíró adatbázist az illetéktelen módosítások miatt. Unix-szerű rendszereken nyomon követi a root fiókhoz való hozzáférést. Az OSSEC futni fog Windows, Linux, Mac OS és Unix rendszereken.
Az OSSEC egy nagyszerű adatgyűjtő eszköz, de a kezelőfelülete egy külön termék, és valójában már nem támogatott. Mivel ezt a HIDS-t olyan nagy tiszteletnek örvend, számos szoftverszolgáltató olyan interfészt hozott létre, amely kompatibilis az OSSEC adatformátumokkal. Ezek közül sok ingyenes. Tehát telepítenie kell az OSSEC-et, valamint egy másik forrásból származó kezelőfelületet az adatok megtekintéséhez és elemzéséhez. Nézze meg Kibana vagy Splunk ehhez a funkcióhoz.
5. Sagan
A Sagan egy ingyenes naplófájlkezelő. Számos funkciója van, amelyek jó gazdagép alapú behatolásérzékelő rendszerré teszik. A Sagan képes elemezni a hálózati alapú behatolásérzékelő rendszerek által gyűjtött adatokat is. A NIDS egy csomagszimulátoron keresztül gyűjti a forgalmi adatokat. A Sagan nem rendelkezik csomagszimulálóval, de képes olvasni az általa gyűjtött forgalmi adatokat Horkant, tesóés Suricata – amelyek mindegyike ingyenesen használható. Így a Sagannal a HIDS és a NIDS biztonsági tevékenységek keverékét kapja.
A Sagan telepíthető Unix, Linux és Mac OS rendszerre. Sajnos nincs Windows-verzió. Bár nem tud hozzáférni a Windows operációs rendszert használó számítógépekhez, képes feldolgozni a Windows eseménynapló-üzeneteit. A Sagan feldolgozási módszerei elosztják a terhelést több szerver vagy a hálózat bármely más processzorral rendelkező berendezése között. Ez megkönnyíti az egyes berendezések feldolgozási terheit.
Az eszköz olyan funkciókat tartalmaz, amelyek behatolásgátló rendszerré (IPS) teszik. Amint a Sagan rendellenes viselkedést észlel, írhat a tűzfaltáblázatba, hogy véglegesen vagy ideiglenesen kitiltsa bizonyos IP-címeket a hálózatból. Ez egy nagyszerű asszisztens a hálózatbiztonsághoz, mert automatikusan végrehajtja az IP-tiltásokat, és elérhetővé teszi a rendszert a valódi felhasználók számára. Sagan ezzel egyidejűleg riasztást generál, hogy értesítse Önt a behatolásról. A megelőzési műveleteket nem kell végrehajtani, ha csak IDS-ként szeretné használni a Sagan-t.
Jelentéstétel céljából a Sagan rendelkezik egy jó funkcióval, amely a gyanús IP-címeket a helyükre követi. Ez egy nagyon hasznos eszköz lehet a hackerek nyomon követésére, akik támadásaikat több különböző címen keresztül próbálják kikerülni az észlelést. A Sagan lehetővé teszi a hálózati tevékenységek összesítését a forrás IP-címének helye szerint, így egyesítve egy gonosztevő összes tevékenységét több cím használatával.
6. Paessler PRTG
A Paessler PRTG egy nagyon nagy felügyeleti rendszer, amelyet érzékelők sorozata valósít meg. Minden érzékelő a hálózat egy-egy tulajdonságát figyeli. Csökkentheti a felügyeleti eszköz hatókörét, hogy az aktiválni kívánt érzékelőkkel csak az infrastruktúra egy aspektusára összpontosítson. A teljes rendszer figyelni fogja a hálózati eszközöket, a hálózati forgalmat, az alkalmazásokat és a szervereket. A Paessler ezt egy tiszta megfigyelőeszközzé tette, így nem rendelkezik olyan felügyeleti funkciókkal, mint például a konfigurációkezelés.
A PRTG egyik érzékelője a Syslog Receiver. Ez összegyűjti a rendszernapló-üzeneteket, és beilleszti őket egy adatbázisba. Miután ezeket az üzeneteket eltárolták, rendezhetők, fájlba írhatók, vagy akár kiváltó eseményekként is értékelhetők, amelyekhez automatizált műveletek kapcsolhatók.
A PRTG biztonsági felügyeleti funkciói közé tartozik egy mély csomagellenőrzési lehetőség, amelyet „csomagszippantó érzékelőnek” neveznek. Ez mintát vesz a hálózati forgalom csomagjaiból, és fájlban tárolja azokat. Ha elegendő adatot gyűjtött össze, elemezheti a forgalmat a PRTG irányítópulton. Ezzel a lehetőséggel megcélozhatja a webes, levelező- és fájlátviteli forgalmat ezzel az eszközzel, így jó segédeszköz a felhasználói tevékenységek figyeléséhez, valamint a webszerver támadások elleni védelméhez. A tűzfalfigyelő nyomon követi a támadási eseményeket, és riasztásokon keresztül értesíti Önt azokról. Az eszköz emellett rendszeresen ellenőrzi tűzfalszolgáltatójától a szoftver frissítéseit és javításait, letölti és telepíti Ön helyett. Ez biztosítja, hogy az újonnan felfedezett biztonsági hiányosságokra a legfrissebb megoldások állnak rendelkezésére.
A PRTG rendszer Windows rendszerre települ. Alternatív megoldásként választhat a szolgáltatás online elérése mellett. Akárhogy is, ingyenesen használhatja, ha legfeljebb 100 érzékelőt aktivál. A Paessler PRTG 30 ingyenes próbaverzióját is megkaphatja korlátlan számú érzékelővel.
Hálózati biztonsági eszközök
Számos különféle típusú speciális hálózati biztonsági eszköz áll rendelkezésre, és ezek közül többet kell telepítenie, hogy vállalata adatait és erőforrásait lopástól, sérüléstől és kizsákmányolástól mentesen tartsa.
Az ajánlott eszközök listáján szereplő szoftvermagyarázatokból észreveheti, hogy ezek közül sok ingyenes. A fizetős eszközök gyakran ingyenes verzióval vagy próbaidőszakkal rendelkeznek, így Ön semmit sem veszít, ha mindegyiket kipróbálja.
Ezen eszközök némelyike működik Windows rendszeren, néhány pedig Linuxon és Unixon. Tehát ha csak egy operációs rendszere van a cég gazdagépein, akkor a biztonsági eszköz választása leszűkül. A hálózat mérete egy másik befolyásoló tényező, amely egy adott eszköz kiválasztására készteti.
Van kedvenc hálózati biztonsági eszköze? Kipróbáltad a listánkon szereplő szoftverek valamelyikét? Hagyjon üzenetet az alábbi Megjegyzések részben, és ossza meg tapasztalatait a közösséggel.