Nejlepší průvodce zabezpečením sítě

autor:
Tweet
Share
Share
Pin

Komplexní Přístup k Zabezpečení Sítě

Ochrana síťové infrastruktury se v posledních letech stává stále složitějším úkolem. Hlavními faktory jsou vzrůstající sofistikovanost útoků, jako je phishing, pokročilé trvalé hrozby, doxing a maskování. V důsledku těchto technik se zaměstnanci obtížněji orientují v autenticitě pokynů od vzdáleného vedení. Tradiční metody zabezpečení, které se dříve omezovaly na prevenci sledování internetové aktivity a blokování virů pomocí firewallů, již nestačí. Moderní zabezpečení vyžaduje analýzu vzorců chování v provozu a odhalování anomálních aktivit, i když jsou prováděny oprávněnými uživateli.

Dříve mělo IT oddělení rozsáhlá administrátorská práva, což umožňovalo jakémukoli zaměstnanci podpory přístup k různým částem podnikového systému. V dnešní době jsou rizika úniku dat mnohem vyšší. I neúmyslné porušení důvěrnosti může vést k nákladným soudním sporům s jednotlivci, jejichž osobní údaje jsou uloženy ve vašem systému. Současná situace vyžaduje zpřísnění přístupových práv a monitorování všech aktivit s cílem zabránit a zaznamenat škodlivé aktivity a náhodné škody.

Naštěstí moderní síťová zařízení disponují zabudovanými systémy pro zasílání zpráv. Tyto zdroje informací lze efektivně využít pouhou instalací sběrových agentů a analytického softwaru. Trh s bezpečnostními řešeními nabízí několik kategorií monitorovacích nástrojů, které pomáhají chránit vaši organizaci před krádeží dat a dalšími škodlivými aktivitami.

V tomto průvodci se zaměříme na následující kategorie softwaru pro správu sítě:

  • Analyzátory provozu
  • Správci protokolů
  • Skenery zranitelnosti
  • Správci konfigurace
  • Monitory sítě
  • Systémy detekce a prevence průniku

Následuje seznam špičkového softwaru pro zabezpečení sítě:

  • SolarWinds Network Performance Monitor
  • WhatsUp Gold
  • TrueSight Network Automation / Network Vulnerability Management
  • OSSEC
  • Sagan
  • Paessler PRTG

Podrobnější informace o každé z těchto možností naleznete v dalších částech tohoto průvodce.

Přehled Softwarových Možností pro Zabezpečení Sítě

Náš seznam obsahuje jak rozsáhlé nástroje pro správu sítě, které fungují jako obecné monitory výkonu sítě, tak i specializované nástroje pro sledování bezpečnostních hrozeb. Mezi hlavní nástroje patří SolarWinds Network Performance Monitor, WhatsUp Gold a Paessler PRTG. Každý z těchto balíčků lze rozšířit o širokou škálu doplňkových funkcí. Architektura těchto nástrojů umožňuje flexibilní přizpůsobení jejich funkčnosti pro specifické úkoly, jako je například monitorování bezpečnosti. OSSEC a Sagan jsou vysoce uznávané specializované systémy pro detekci narušení, zatímco balíček TrueSight nabízí efektivní kombinaci funkcí pro ochranu sítě.

Tento seznam zahrnuje možnosti vhodné pro malé, střední i rozsáhlé sítě.

1. SolarWinds Network Performance Manager (ZKUŠEBNÍ VERZE ZDARMA)

Network Performance Manager, klíčový nástroj od společnosti SolarWinds, sleduje stav síťových zařízení pomocí zpráv protokolu Simple Network Management Protocol (SNMP). Všechna síťová zařízení jsou vybavena SNMP funkcemi, takže stačí instalovat správce SNMP, jako je tento nástroj od SolarWinds, a využívat informace, které SNMP poskytuje.

Stáhněte si bezplatnou zkušební verzi zde.

Nástroj obsahuje funkci automatického objevování a mapování, která vytváří inventář vašeho síťového vybavení. Tato funkce nepřetržitě běží a rozpoznává nová zařízení, která byla přidána do sítě. To je užitečné pro detekci narušení, protože neoprávněné vniknutí hardwaru představuje jednu z forem útoku. Funkce hloubkové kontroly paketů Network Performance Monitor vám také pomůže chránit síť tím, že zdůrazňuje a monitoruje anomální chování v provozu a aktivitě uživatelů.

Společnost SolarWinds nabízí i další nástroje pro správu sítě, které rozšiřují schopnosti Network Performance Monitor v oblasti monitorování zabezpečení. NetFlow Traffic Analyzer zkoumá toky dat v síti a zahrnuje funkce pro monitorování bezpečnosti, včetně sledování potenciálně škodlivého provozu na portu 0. Kromě toho vizualizace provozu a upozornění na anomálie usnadňují odhalení neobvyklé aktivity.

Panel nástroje nabízí vizualizaci živých dat a také možnost ukládat paketová data pro historickou analýzu. Nástroj disponuje různými možnostmi pro zachytávání paketů, včetně metod vzorkování, které snižují množství dat potřebných pro analýzu. Pokud váš rozpočet nedovoluje pořízení SolarWinds Network Performance Monitor a NetFlow Traffic Analyzer, můžete vyzkoušet bezplatný Real-time Bandwidth Monitor. Tento nástroj však má omezenou funkčnost a je vhodný pouze pro menší sítě.

Díky nástroji pro sledování uživatelských zařízení získáte lepší přehled o aktivitách uživatelů. Můžete tak sledovat aktivitu uživatelů a dohlížet na události portů přepínačů, včetně pokusů hackerů o skenování portů. Nástroj může také uzavřít porty a selektivně blokovat uživatele v případě detekce narušení.

K monitoru lze přidat další funkce z portfolia společnosti SolarWinds, protože firma vytvořila společnou platformu pro všechny své hlavní nástroje, která umožňuje sdílení dat a mezioborové moduly. Network Configuration Manager je vhodný pro řešení problémů se zabezpečením, jelikož spravuje nastavení vašeho síťového zařízení. Vyhledá také aktualizace firmwaru a nainstaluje je za vás. Udržování aktuálního softwaru je klíčové pro zajištění bezpečnosti IT systémů.

SolarWinds nabízí řadu bezplatných nástrojů, které vám pomohou spravovat zabezpečení vaší sítě. Mezi ně patří balíček Solar-PuTTY. Toto není jen emulátor zabezpečeného terminálu pro bezpečný přístup ke vzdáleným serverům. Zahrnuje také implementaci SFTP, kterou lze použít pro zálohování a distribuci obrazů konfigurace zařízení. Může se jednat o levnou alternativu k Network Configuration Manager pro menší sítě s omezeným rozpočtem.

Kiwi Syslog Server je dalším užitečným bezpečnostním nástrojem SolarWinds, který menší organizace mohou využívat zdarma (pro monitorování maximálně pěti zařízení). Je vhodný i pro větší sítě, ale v tom případě je nutné za něj zaplatit. Správce protokolů také shromažďuje a ukládá zprávy SNMP a lze nastavit upozornění na určité typy zpráv. Tato funkce je velmi užitečná, pokud nemáte správce sítě založeného na SNMP. Upozornění vás informují o útocích a pokusech o prolomení hesla hrubou silou. Tento nástroj pro správu protokolů může také zaznamenat neobvyklé nárůsty provozu a podezřelou aktivitu uživatelů.

2. WhatsUp Gold

WhatsUp Gold je konkurentem SolarWinds Network Performance Monitor. Vyrábí jej společnost Ipswitch, která nabízí řadu přídavných modulů pro rozšíření možností monitorování zabezpečení WhatsUp Gold. Tento monitor sítě upozorňuje na neobvyklé chování monitorováním přepínačů a směrovačů pomocí systému zpráv SNMP. Konzole umožňuje nastavit si vlastní upozornění na nárůst provozu a podezřelou aktivitu uživatelů.

Upozornění se zobrazují na hlavním panelu systému a mohou být zasílána i e-mailem nebo SMS. Je možné směrovat různá upozornění různým členům týmu podle zdroje a závažnosti. Bezplatný doprovodný nástroj, WhatsUp Syslog Server, rozšiřuje informace, které lze získat ze systémových zpráv, a také umožňuje vytvářet vlastní upozornění. Zprávy Syslog lze zobrazit v konzoli, přeposlat do jiných aplikací a ukládat do souborů. Server spravuje soubory syslog v logické adresářové struktuře, což usnadňuje vyhledávání konkrétních zpráv. Archivované zprávy lze načíst zpět do hlavního panelu pro analýzu. Rozhraní umožňuje třídit a filtrovat zprávy, identifikovat vzorce chování a odhalovat anomálie.

WhatsUp Gold nabízí řadu placených vylepšení pro efektivnější monitorování zabezpečení. Měli byste zvážit přidání modulu Správa síťového provozu pro získání informací o toku dat ve vaší síti. Hlavní balíček WhatsUp Gold se zaměřuje na stav zařízení, zatímco modul Traffic Management shromažďuje informace o toku dat. Modul obsahuje funkce pro označování provozu pro implementaci QoS. Umožňuje rozdělit hlášení o objemu provozu podle zdrojového a cílového zařízení, zdrojové a cílové země a domény, konverzace, aplikace, protokolu nebo čísla portu. Detailní informace usnadní sledování neobvyklé aktivity a umožní blokovat určité aplikace, jako jsou nástroje pro přenos souborů.

Modul Správa konfigurace sítě vám pomůže kontrolovat změny nastavení síťových zařízení. Neoprávněné změny nastavení často předcházejí narušením a pokročilým trvalým hrozbám, jelikož hackeři mohou otevřít porty a poté zablokovat funkce hlášení, které by indikovaly neoprávněnou aktivitu. Je nutné definovat zásady pro každý typ zařízení, značku a model, a vytvořit standardní konfigurační profil pro každou skupinu. WhatsUp Network Configuration Management vám umožňuje distribuovat tyto standardní konfigurace, zálohovat schválené konfigurace a v případě zjištění změn se vrátit k výchozímu nastavení.

Placené nástroje WhatsUp Gold jsou dostupné zdarma po dobu 30 dnů. Veškerý software WhatsUp Gold se instaluje do prostředí Windows.

3. TrueSight Network Automation / Network Vulnerability Management

Tyto dva produkty od BMC Software vytváří komplexní sadu bezpečnostních nástrojů. Network Automation monitoruje síť po objevení, protokolování a zmapování všech zařízení. Modul pro správu konfigurace balíku Network Automation je působivou funkcí tohoto systému pro monitorování sítě. Integruje šablony nebo „zásady“, které automaticky implementují bezpečnostní standardy. Pro každý známý standard existuje zásada: NIST, HIPAA, PCI, CIS, DISA, SOX a SCAP. Pokud jste tedy zavázáni dodržovat některý z těchto systémů integrity dat, nástroj Network Automation to za vás dokonce vynutí.

Správce konfigurace v TrueSight Network Automation upraví konfiguraci každého síťového zařízení tak, aby vyhovovala zvoleným zásadám. Poté zálohuje tuto konfiguraci a sleduje případné změny v nastavení zařízení. Pokud jsou provedeny změny, které způsobí, že zařízení nebude v souladu se zásadami, správce konfigurace znovu načte zálohovaný konfigurační soubor, čímž se tyto neoprávněné změny vymažou. Systém Network Automation je také správcem oprav. Udržuje kontakt s oznamovacími systémy výrobců zařízení o opravách a aktualizacích firmwaru. Jakmile je oprava k dispozici, nástroj vás upozorní a dokonce tyto aktualizace zavede do vašich síťových zařízení.

Nástroj Network Vulnerability Management prohledá všechna zařízení s cílem odhalit zranitelnosti. Systém se spoléhá na kontroly s oznámeními od dodavatelů a na národní databázi zranitelností NIST, která zaznamenává známá slabá místa v síťovém vybavení a serverech. Nástroj následně aktualizuje software a sleduje výkon zařízení a serverů.

4. OSSEC

OSSEC (Open Source HIDS Security) je hostitelský systém detekce narušení (HIDS), který se stal základním prvkem zabezpečení sítě.

Dvěma hlavními výhodami OSSEC je to, že se jedná o nejlepší dostupný HIDS a je zcela zdarma. Produkt vlastní a podporuje renomovaná společnost Trend Micro. Metodologie HIDS spoléhá na správu souborů protokolů. Správné dotazování souborů protokolů by mělo odhalit aktivity hackerů, kteří se pokoušejí prozkoumat systém a ukrást data. Z tohoto důvodu se hackeři často snaží pozměnit soubory protokolů. OSSEC vytvoří kontrolní součet pro každý soubor protokolů, což mu umožní detekovat manipulaci. Nástroj monitoruje soubory protokolů, které zaznamenávají přenosy souborů, aktivitu brány firewall a antiviru, protokoly událostí a protokoly pošty a webového serveru. Musíte nastavit zásady, které určují chování nástroje. Tyto zásady lze napsat interně, případně je lze získat od komunity OSSEC. Zásady definují podmínky, které má OSSEC monitorovat, a vygenerují upozornění, pokud některý z monitorovaných protokolů indikuje neoprávněnou aktivitu. Upozornění lze odeslat do rozhraní nebo zaslat e-mailem.

V systému Windows sleduje neoprávněné změny registru. V systémech podobných Unixu sleduje přístup k účtu root. OSSEC funguje v systémech Windows, Linux, Mac OS a Unix.

OSSEC je skvělý nástroj pro sběr dat, avšak jeho frontend je samostatný produkt a není již aktivně podporován. Vzhledem k vysoké popularitě tohoto HIDS, řada vývojářů softwaru vytvořila rozhraní kompatibilní s datovými formáty OSSEC. Mnoho z nich je zdarma. Pro zobrazení a analýzu dat byste tedy nainstalovali OSSEC a frontend z jiného zdroje. Pro tento účel můžete použít Kibana nebo Splunk.

5. Sagan

Sagan je bezplatný správce souborů protokolů s mnoha funkcemi, díky nimž je vhodný jako hostitelský systém detekce narušení. Sagan dokáže analyzovat i data shromážděná síťovými systémy detekce narušení (NIDS). NIDS shromažďuje provozní data pomocí paketového snifferu. Sagan sice paketový sniffer nemá, ale umí číst data o provozu, která shromáždily nástroje Snort, Bro a Suricata – všechny jsou zdarma. Se Saganem tak získáte kombinaci bezpečnostních funkcí HIDS a NIDS.

Sagan lze instalovat v systémech Unix, Linux a Mac OS. Verze pro Windows bohužel neexistuje. I když nemá přímý přístup k systémům Windows, dokáže zpracovat zprávy protokolu událostí systému Windows. Sagan rozděluje zátěž zpracování mezi několik serverů nebo jakékoli zařízení v síti s procesorem. To usnadňuje zpracování jednotlivých částí zařízení.

Tento nástroj obsahuje funkce, které z něj činí systém prevence narušení (IPS). Jakmile Sagan detekuje anomální chování, může zapisovat do firewallových tabulek a zakázat určité IP adresy v síti trvale nebo dočasně. Automaticky zavádí zákazy IP a udržuje systém dostupný pro skutečné uživatele. Sagan může generovat upozornění na narušení, pokud si to přejete.

Sagan disponuje užitečnou funkcí, která dokáže vyhledat geografickou polohu podezřelých IP adres. To se hodí při sledování hackerů, kteří pro obcházení detekce používají cyklicky několik různých adres. Sagan dokáže agregovat síťovou aktivitu podle umístění zdrojové IP adresy a sjednotit akce jednoho pachatele z různých adres.

6. Paessler PRTG

Paessler PRTG je rozsáhlý monitorovací systém využívající senzory, z nichž každý sleduje jeden atribut sítě. Výběrem aktivovaných senzorů lze omezit rozsah nástroje a zaměřit se na specifický aspekt infrastruktury. Systém monitoruje síťová zařízení, provoz, aplikace a servery. Paessler PRTG je čistě monitorovací nástroj, nemá funkce pro správu, jako je správa konfigurace.

Jeden ze senzorů PRTG je Syslog Receiver, který shromažďuje zprávy syslog a ukládá je do databáze. Zprávy lze třídit, zapisovat do souborů nebo vyhodnocovat jako spouštěcí události, se kterými mohou být spojeny automatické akce.

Mezi funkce bezpečnostního monitoringu PRTG patří zařízení pro hloubkovou kontrolu paketů, tzv. „packet sniffer“. Toto zařízení vzorkuje pakety síťového provozu a ukládá je do souboru. Jakmile získáte dostatek dat, můžete analyzovat provoz v řídicím panelu PRTG. Tato funkce umožňuje sledovat provoz webu, pošty a přenosu souborů a je užitečná pro sledování aktivity uživatelů a ochranu webového serveru. Monitor brány firewall sleduje události útoků a upozorňuje vás prostřednictvím výstrah. Nástroj kontroluje u poskytovatele brány firewall aktualizace a záplaty pro software, stahuje je a instaluje.

Systém PRTG se instaluje do Windows, případně lze využít online přístup. Můžete jej využívat zdarma, pokud aktivujete maximálně 100 senzorů. Také můžete získat 30denní zkušební verzi Paessler PRTG s neomezeným počtem senzorů.

Důležité Informace o Nástrojích pro Zabezpečení Sítě

Pro ochranu dat a zdrojů společnosti před krádeží, poškozením a zneužitím budete potřebovat více specializovaných nástrojů pro zabezpečení sítě.

Jak vyplývá z popisu softwaru v našem seznamu, mnohé z nástrojů jsou dostupné zdarma. Placené nástroje často nabízejí bezplatnou verzi nebo zkušební období, takže vyzkoušením každého z nich nic neztratíte.

Některé z nástrojů fungují v systémech Windows a některé v systémech Linux a Unix. V případě, že máte ve vaší organizaci pouze jeden operační systém, váš výběr se tak zúží. Velikost sítě je dalším faktorem, který vás nasměruje k výběru konkrétního nástroje.

Máte nějaký oblíbený nástroj pro zabezpečení sítě? Vyzkoušeli jste některý ze softwaru v našem seznamu? Podělte se o své zkušenosti v sekci komentářů níže s ostatními uživateli.