Ochrana je často klíčovým zájmem správců sítí. Stejně jako existují nástroje, které nám usnadňují téměř všechny každodenní činnosti, existují i nástroje pro zabezpečení našich sítí a zařízení, která je tvoří. Dnes vám představíme několik z nejlepších nástrojů pro zabezpečení sítě, které si můžete představit.
Náš seznam není vyčerpávající, protože existují stovky nástrojů, které vám mohou pomoci zabezpečit vaši síť. Nezahrnuje také antivirový software, který, ačkoli se týká bezpečnosti, spadá do jiné kategorie. Z našeho seznamu jsme také vyloučili firewally, které také patří do jiné kategorie. Zahrnuli jsme nástroje a skenery pro hodnocení zranitelností, šifrovací nástroje, skenery portů atd. V podstatě jsme měli jediné kritérium pro zařazení do našeho seznamu, a to, že se jedná o nástroje související se zabezpečením. To znamená nástroje, které vám mohou pomoci zvýšit úroveň zabezpečení nebo ho otestovat a ověřit.
K dispozici je tolik nástrojů, které je třeba prozkoumat, že nebudeme trávit mnoho času teoretizováním. Začneme krátkým popisem různých kategorií nástrojů a poté se zaměříme na samotné nástroje.
Různé kategorie nástrojů
Existují doslova stovky různých nástrojů pro zabezpečení sítě. Pro snadnější porovnání různých nástrojů může být užitečné je kategorizovat. Jedním z typů nástrojů, které máme na našem seznamu, jsou nástroje pro správu událostí. Jedná se o nástroje, které reagují na různé události, ke kterým dochází ve vaší síti. Tyto události často detekují analýzou protokolů z vašeho zařízení.
Užitečné jsou také sniffery paketů, které vám umožní prozkoumat provoz a dekódovat pakety, abyste viděli data, která obsahují. Často se používají pro další vyšetřování bezpečnostních incidentů.
Další hlavní kategorií nástrojů jsou systémy pro detekci a prevenci průniku. Liší se od antivirového softwaru nebo firewallů. Pracují na okraji vaší sítě, aby detekovaly jakýkoli pokus o neoprávněný přístup a/nebo jakoukoli škodlivou aktivitu.
Náš seznam obsahuje také několik speciálních nástrojů, které nelze zařadit do konkrétní kategorie, ale domníváme se, že by měly být zahrnuty, protože jsou skutečně užitečné.
Nejlepší nástroje pro zabezpečení sítě
U tak rozsáhlého seznamu nástrojů, které slouží k velmi odlišným účelům, je těžké je řadit v jakémkoli pořadí. Všechny nástroje, které zde recenzujeme, jsou velmi odlišné a jeden není objektivně lepší než druhý. Rozhodli jsme se je proto uvést pouze v náhodném pořadí.
1. Správce protokolů a událostí SolarWinds (ZKUŠEBNÍ VERZE ZDARMA)
Pokud ještě neznáte společnost SolarWinds, vyrábí již léta jedny z nejlepších nástrojů pro správu sítě. Její Network Performance Monitor nebo NetFlow Traffic Analyzer patří k nejlepším balíčkům pro monitorování SNMP sítí a NetFlow kolektorů a analyzátorů. Společnost SolarWinds vyrábí také vynikající bezplatné nástroje, které řeší specifické potřeby správců sítí a systémů, jako je vynikající kalkulačka podsítí a velmi dobrý server TFTP.
Pokud jde o nástroje pro zabezpečení sítě, má společnost SolarWinds několik dobrých produktů. Především je to Log and Event Manager (LEM). Tento nástroj lze nejlépe popsat jako základní systém pro správu bezpečnostních informací a událostí (SIEM). Je to pravděpodobně jeden z nejkonkurenceschopnějších systémů SIEM základní úrovně na trhu. Produkt SolarWinds má téměř vše, co můžete od základního systému očekávat. Tento nástroj má vynikající funkce pro správu protokolů a korelaci spolu s působivým nástrojem pro vytváření sestav.
Správce protokolů a událostí SolarWinds se také může pochlubit některými vynikajícími funkcemi pro reakci na události. Jeho systém v reálném čase reaguje na jakoukoli hrozbu, kterou detekuje. Tento nástroj je založen spíše na chování než na podpisu, takže je skvělý pro ochranu před zero-day útoky a neznámými budoucími hrozbami bez nutnosti neustálé aktualizace nástroje. SolarWinds LEM má působivý dashboard, který je pravděpodobně jeho největší výhodou. Jeho jednoduchý design znamená, že nebudete mít problém s rychlou identifikací anomálií.
Cena správce protokolů a událostí SolarWinds začíná na 4 585 USD. Pokud si ji chcete před zakoupením vyzkoušet, je k dispozici bezplatná plně funkční 30denní zkušební verze.
2. Správce konfigurace sítě SolarWinds (ZKUŠEBNÍ VERZE ZDARMA)
Společnost SolarWinds vyrábí také několik dalších nástrojů souvisejících se zabezpečením sítě. Například Správce konfigurace sítě SolarWinds vám umožní zajistit, aby byly všechny konfigurace zařízení standardizovány. Umožní vám odesílat hromadné změny konfigurace tisícům síťových zařízení. Z hlediska zabezpečení detekuje neoprávněné změny, které by mohly být známkou škodlivého zásahu do konfigurace.
Tento nástroj vám může pomoci rychle se zotavit z poruchy obnovením předchozích konfigurací. Můžete také použít jeho funkce správy změn k rychlé identifikaci a zvýraznění změn v konfiguračním souboru. Kromě toho vám tento nástroj díky vestavěným standardním reportům umožní prokázat shodu a projít regulačními audity.
Cena Správce konfigurace sítě SolarWinds začíná na 2 895 USD a liší se v závislosti na počtu spravovaných uzlů. K dispozici je bezplatná plně funkční 30denní zkušební verze.
3. SolarWinds User Device Tracker (ZKUŠEBNÍ VERZE ZDARMA)
Sledování uživatelských zařízení SolarWinds je dalším nezbytným nástrojem pro zabezpečení sítě. Může zlepšit vaše zabezpečení IT detekcí a sledováním uživatelů a koncových zařízení. Zjišťuje, které porty přepínače se používají, a určuje, které porty jsou dostupné ve více sítích VLAN.
Při podezření na škodlivou aktivitu u konkrétního koncového zařízení nebo daného uživatele vám tento nástroj umožní rychle určit polohu zařízení nebo uživatele. Vyhledávání může být založeno na názvech hostitelů, adresách IP/MAC nebo uživatelských jménech. Vyhledávání lze dokonce rozšířit o zobrazení předchozích aktivit připojení podezřelého zařízení nebo uživatele.
Cena nástroje Sledování uživatelských zařízení SolarWinds začíná na 1 895 USD a liší se v závislosti na počtu portů ke sledování. Stejně jako u většiny produktů SolarWinds je k dispozici bezplatná 30denní zkušební verze s plnými funkcemi.
4. Wireshark
Říci, že Wireshark je pouze nástroj pro zabezpečení sítě, je hrubé podcenění. Je to zdaleka nejlepší balíček pro zachycování a analýzu paketů, který je v současnosti k dispozici. Jedná se o nástroj, který můžete použít k provedení hloubkové analýzy síťového provozu. Umožní vám zachytit provoz a dekódovat každý paket, což vám přesně ukáže, co obsahuje.
Wireshark se stal de facto standardem a většina ostatních nástrojů jej napodobuje. Analytické možnosti tohoto nástroje jsou tak silné, že ho mnoho správců používá k analýze snímků pořízených jinými nástroji. Ve skutečnosti je to tak běžné, že vás po spuštění vyzve buď k otevření existujícího souboru pro zachycení, nebo k zahájení zachycování provozu. Největší výhodou tohoto nástroje jsou však jeho filtry. Umožňují vám snadno se zaměřit na relevantní data.
Navzdory strmé křivce učení (sám jsem absolvoval třídenní kurz o jeho používání) Wireshark stojí za to se naučit používat. Mnohokrát se ukázal jako neocenitelný. Jedná se o bezplatný nástroj s otevřeným zdrojovým kódem, který byl portován pro téměř každý operační systém. Můžete si ho stáhnout přímo z webu Wireshark.
5. Nessus Professional
Nessus Profesionální je jedním z nejrozšířenějších řešení pro hodnocení v oboru pro identifikaci zranitelností, konfiguračních problémů a malwaru, které útočníci používají k získání neoprávněného přístupu k sítím. Používají ho miliony profesionálů v oblasti kybernetické bezpečnosti, což jim poskytuje pohled zvenčí na zabezpečení jejich sítě. Nessus Profesionální také nabízí důležité rady, jak zlepšit zabezpečení sítě.
Nessus Profesionální má jedno z nejširších pokrytí hrozeb. Má nejnovější informace a snadno použitelné rozhraní. Rychlé aktualizace jsou také jednou z vynikajících funkcí tohoto nástroje. Nessus Profesionální poskytuje efektivní a komplexní balíček pro skenování zranitelností.
Nessus Profesionální je založen na předplatném a stojí 2 190 USD ročně. Pokud byste si produkt raději před zakoupením předplatného vyzkoušeli, můžete získat bezplatnou zkušební verzi, která však trvá pouze 7 dní.
6. Snort
Snort je jedním z nejznámějších systémů detekce průniku s otevřeným zdrojovým kódem (IDS). Byl vytvořen v roce 1998 a od roku 2013 je ve vlastnictví společnosti Cisco Systems. V roce 2009 byl Snort uveden do síně slávy Open Source společnosti InfoWorld jako jeden z „nejlepších softwarů s otevřeným zdrojovým kódem všech dob“. Tak dobrý je.
Snort má tři provozní režimy: sniffer, záznamník paketů a detekce průniku do sítě. Režim sniffer se používá ke čtení síťových paketů a jejich zobrazení na obrazovce. Režim záznamníku paketů je podobný, ale pakety se zaznamenávají na disk. Nejzajímavější je režim detekce průniku. Tento nástroj monitoruje síťový provoz a analyzuje jej podle uživatelem definované sady pravidel. Na základě zjištěné hrozby lze provádět různé akce.
Snort lze použít k detekci různých typů testů nebo útoků, včetně pokusů o zjištění otisků prstů operačního systému, útoků na sémantické adresy URL, přetečení vyrovnávací paměti, testování blokování zpráv serveru a skenování skrytých portů. Snort si můžete stáhnout z jeho webových stránek.
7. TCPdump
Tcpdump je původní sniffer paketů. Byl poprvé vydán v roce 1987, od té doby byl udržován a aktualizován, ale zůstává v podstatě nezměněn, alespoň z hlediska způsobu jeho použití. Tento nástroj s otevřeným zdrojovým kódem je předinstalován téměř v každém operačním systému *nix a stal se standardním nástrojem pro rychlé zachytávání paketů. Ke skutečnému zachycování paketů používá knihovnu libpcap, která je také open-source.
Ve výchozím stavu tcpdump zachytí veškerý provoz na zadaném rozhraní a „vypíše“ ho – odtud název – na obrazovku. Je to podobné jako u režimu snifferu Snort. Výpis může být také přesměrován do zachycovacího souboru – chová se jako režim záznamníku paketů Snort – a analyzován později pomocí libovolného dostupného nástroje. K tomuto účelu se často používá Wireshark.
Klíčovou silou nástroje tcpdump je možnost použít filtry pro zachycení a přesměrovat jeho výstup do příkazu grep – dalšího běžného nástroje příkazového řádku unixu – pro ještě lepší filtrování. Osoba s dobrými znalostmi tcpdump, grepu a příkazového shellu může snadno zachytit přesně ten správný provoz pro jakýkoli úkol ladění.
8. Kismet
Kismet je síťový detektor, sniffer paketů a systém detekce průniku pro bezdrátové sítě LAN. Bude fungovat s jakoukoli bezdrátovou kartou, která podporuje nezpracovaný režim monitorování, a dokáže zachytit provoz 802.11a, 802.11b, 802.11g a 802.11n. Tento nástroj může běžet pod Linuxem, FreeBSD, NetBSD, OpenBSD a OS X. Podpora pro Windows je bohužel velmi omezená, hlavně proto, že pouze jeden bezdrátový síťový adaptér pro Windows podporuje režim monitorování.
Tento svobodný software je vydán pod licencí Gnu GPL. Od ostatních detektorů bezdrátových sítí se liší tím, že pracuje pasivně. Software dokáže detekovat přítomnost bezdrátových přístupových bodů i klientů, aniž by posílal logovatelné pakety. A také je bude vzájemně propojovat. Dále Kismet je nejrozšířenějším open-source nástrojem pro bezdrátové monitorování.
Kismet obsahuje také základní funkce bezdrátové detekce průniku a dokáže detekovat aktivní programy pro bezdrátové sniffování i řadu útoků na bezdrátovou síť.
9. Nikto
Nikto je open-source skener webových serverů. Provede komplexní řadu testů proti webovým serverům, testuje více položek, včetně více než 6 700 potenciálně nebezpečných souborů a programů. Tento nástroj zkontroluje zastaralé verze více než 1 250 serverů a identifikuje problémy specifické pro dané verze na více než 270 serverech. Může také kontrolovat položky konfigurace serveru, jako je přítomnost více indexových souborů, možnosti HTTP serveru, a pokusí se identifikovat nainstalované webové servery a software.
Nikto je navržen spíše pro rychlost než pro utajení. Otestuje webový server v nejrychlejším možném čase, ale jeho průchod se objeví v souborech protokolu a bude detekován systémy pro detekci a prevenci průniku.
Nikto je vydán pod licencí GNU GPL a lze si jej zdarma stáhnout z jeho domovské stránky na GitHubu.
10. OpenVAS
Systém Open Vulnerability Assessment System, neboli OpenVAS, je sada nástrojů, která nabízí komplexní skenování zranitelností. Jeho základní rámec je součástí řešení pro správu zranitelností Greenbone Networks. Je zcela zdarma a většina jeho součástí je open-source, i když některé jsou proprietární. Produkt obsahuje přes padesát tisíc testů zranitelností sítě, které jsou pravidelně aktualizovány.
OpenVAS má dvě hlavní komponenty. První je skener, který se stará o samotné skenování cílových počítačů. Další složkou je správce. Řídí skener, konsoliduje výsledky a ukládá je do centrální databáze SQL. V této databázi jsou také uloženy konfigurační parametry nástroje. Další komponenta se nazývá databáze Network Vulnerability Tests. Lze ji aktualizovat buď z bezplatného kanálu Greenborne Community Feed, nebo z kanálu Greenborne Security Feed. Ten je placeným předplatitelským serverem, zatímco komunitní zdroj je zdarma.
11. OSSEC
OSSEC, což je zkratka pro Open Source SECurity, je systém detekce průniku na hostiteli. Na rozdíl od síťového IDS běží přímo na hostitelích, které chrání. Produkt vlastní společnost Trend Micro, důvěryhodné jméno v oblasti IT zabezpečení.
Nástroj se zaměřuje především na soubory protokolů a konfigurační soubory na hostitelích *nix. V systému Windows sleduje registr, zda neobsahuje neoprávněné úpravy a podezřelé aktivity. Pokud je zjištěno něco neobvyklého, budete rychle upozorněni buď prostřednictvím konzole nástroje, nebo e-mailem.
Hlavní nevýhodou nástroje OSSEC – nebo jakéhokoli hostitelského IDS – je, že musí být nainstalován na každém počítači, který chcete chránit. Naštěstí tento software sloučí informace z každého chráněného počítače do centralizované konzole, takže jeho správa bude mnohem jednodušší. OSSEC běží pouze na *nix. Pro ochranu hostitelů Windows je však k dispozici agent.
OSSEC je také distribuován pod licencí GNU GPL a lze si ho stáhnout z jeho webové stránky.
12. Nexpose
Nexpose od společnosti Rapid7 je dalším špičkovým nástrojem pro správu zranitelností. Jedná se o skener zranitelností, který podporuje celý životní cyklus správy zranitelností. Zvládá objevování, detekci, ověřování, klasifikaci rizik, analýzu dopadů, hlášení a zmírňování. Uživatelská interakce je řešena prostřednictvím webového rozhraní.
Z hlediska funkcí se jedná o velmi kompletní produkt. Mezi jeho nejzajímavější funkce patří virtuální skenování pro VMware NSX a dynamické zjišťování pro Amazon AWS. Produkt prohledá většinu prostředí a může se rozšířit až na neomezený počet IP adres. Přidejte k tomu možnosti rychlého nasazení a máte vítězný produkt.
Produkt je k dispozici v bezplatné komunitní edici s omezenou sadou funkcí. K dispozici jsou také komerční verze, které začínají na 2 000 USD na uživatele a rok. Pro stažení a další informace navštivte domovskou stránku nástroje Nexpose.
13. GFI LanGuard
GFI Languard tvrdí, že je „nejlepším řešením zabezpečení IT pro podniky“. Jedná se o nástroj, který vám může pomoci prohledávat sítě z hlediska zranitelností, automatizovat opravy a dosáhnout souladu. Software podporuje nejen desktopové a serverové operační systémy, ale také Android nebo iOS. GFI Languard provádí šedesát tisíc testů zranitelnosti a zajišťuje, aby vaše zařízení byla aktualizována nejnovějšími opravami a aktualizacemi.
Intuitivní panel pro vytváření sestav GFI Languard je velmi dobře navržen, stejně jako správa aktualizací definic virů, která funguje se všemi hlavními dodavateli antivirů. Tento nástroj bude opravovat nejen operační systémy, ale také webové prohlížeče a několik dalších aplikací třetích stran. Má také velmi výkonný webový modul pro vytváření sestav a skvělou škálovatelnost. GFI Languard vyhodnotí zranitelnosti počítačů, ale také širokou škálu síťových zařízení, jako jsou přepínače, směrovače, přístupové body a tiskárny.
Cenová struktura GFI Languard je poměrně složitá. Software je založen na předplatném a musí být každoročně obnovován. Pro uživatele, kteří si chtějí nástroj vyzkoušet před jeho zakoupením, je k dispozici bezplatná zkušební verze.
14. Retina
Skener zabezpečení sítě Retina od společnosti BeyondTrust je dalším z nejznámějších skenerů zranitelností. Jedná se o plně vybavený produkt, který lze použít k posouzení chybějících oprav, zero-day zranitelností, nezabezpečených konfigurací a dalších zranitelností. Tento nástroj se může pochlubit intuitivním uživatelským rozhraním. Dále profily uživatelů odpovídající různým pracovním funkcím zjednodušují provoz systému.
Skener Retina využívá rozsáhlou databázi síťových zranitelností, problémů s konfigurací a chybějících oprav. Databáze se automaticky aktualizuje a pokrývá širokou škálu operačních systémů, zařízení, aplikací a virtuálních prostředí. Kompletní produkt pro prostředí VMware zahrnuje online a offline skenování virtuálních obrazů, skenování virtuálních aplikací a integraci s vCenter.
Skener Retina je k dispozici pouze jako předplatné za cenu 1 870 USD ročně pro neomezený počet IP adres. Můžete si také vyžádat bezplatnou 30denní zkušební verzi.