Zabezpečení sítě se v posledních letech stalo velmi komplikovanou odpovědností. Důvodem je nástup phishingu, pokročilých trvalých hrozeb, doxingu a maskování. Tyto triky znamenají, že zaměstnanci mají nyní problém zjistit, zda jsou pokyny, které dostávají od vzdáleného vrcholového vedení, pravé. V tomto typu prostředí sahají tradiční hranice zabezpečení sítě nad rámec prevence slídění na internetu a blokování virů pomocí firewallů. Nyní také potřebujete analyzovat vzorce chování v provozu a odhalit anomální aktivity, i když je provádějí oprávnění uživatelé.
Oddělení IT mělo tradičně oprávnění správce, která umožňovala jakémukoli personálu podpory přístup ke každému prvku podnikového systému. Rizika zveřejnění údajů jsou nyní vyšší. Dokonce i neúmyslné porušení důvěrnosti může vést k drahým soudním sporům s těmi, jejichž osobní údaje jsou uloženy ve vašem systému. Toto nové prostředí vyžaduje, abyste zpřísnili přístupová práva a sledovali všechny aktivity, abyste zabránili a zaznamenali škodlivé aktivity a náhodné zničení.
Naštěstí moderní síťové vybavení má zabudované systémy pro zasílání zpráv a tyto zdroje informací můžete využít pouze instalací kolektorových agentů a analytického softwaru. Trh zabezpečení sítí nabízí několik kategorií monitorů, které vám pomohou ochránit vaši společnost před krádeží dat a jinou škodlivou činností.
V této příručce se podíváme na následující kategorie softwaru pro správu sítě:
Dopravní analyzátory
Správci protokolů
Skenery zranitelnosti
Konfigurační manažeři
Síťové monitory
Systémy detekce a prevence narušení
Zde je náš seznam nejlepšího softwaru pro zabezpečení sítě:
Monitor výkonu sítě SolarWinds
WhatsUp Gold
TrueSight Network Automation / Network Vulnerability Management
OSSEC
Sagan
Paessler PRTG
Další podrobnosti o každé z těchto možností si můžete přečíst v další části této příručky.
Table of Contents
Možnosti softwaru pro zabezpečení sítě
Doporučení v tomto seznamu zahrnují řadu komplexních nástrojů pro správu sítě, které poslouží jako obecné monitory výkonu sítě a také budou konkrétně sledovat bezpečnostní problémy. Tři hlavní nástroje v seznamu jsou SolarWinds Network Performance Monitor, WhatsUp Gold a Paessler PRTG. Každý z těchto balíčků lze rozšířit o širokou škálu doplňkových funkcí. Architektura těchto nástrojů také umožňuje omezit jejich funkčnost a zaměřit se pouze na jeden úkol, jako je monitorování bezpečnosti. OSSEC a Sagan jsou vysoce uznávané specializované systémy detekce narušení a balíček TrueSight obsahuje pěknou kombinaci funkcí ochrany sítě.
Tento seznam obsahuje možnosti, které jsou vhodné pro malé, středně velké a velké sítě.
1. SolarWinds Network Performance Manager (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
Správce výkonu sítě je klíčovým nástrojem nabízeným společností SolarWinds. Sleduje stav síťových zařízení pomocí zasílání zpráv protokolu Simple Network Management Protocol. Všechna síťová zařízení se dodávají s funkcemi SNMP, takže stačí nainstalovat správce SNMP, jako je tento nástroj SolarWinds, abyste mohli těžit z informací, které SNMP poskytuje.
Stáhněte si bezplatnou zkušební verzi na https://www.solarwinds.com/network-performance-monitor/
Nástroj obsahuje nástroj pro automatické zjišťování a mapování, který vytváří inventář vašeho síťového vybavení. Funkce zjišťování běží nepřetržitě a rozpozná nová zařízení přidaná do sítě. Toto je užitečný pomocník pro detekci narušení, protože invaze hardwaru jsou jednou z forem narušení. Funkce hloubkové kontroly paketů nástroje Network Performance Monitor vám také pomohou chránit vaši síť zdůrazněním a sledováním anomálního chování ve vzorcích provozu a aktivitě uživatelů.
SolarWinds nabízí řadu dalších nástrojů pro správu sítě, které rozšíří schopnosti Network Performance Monitor s ohledem na monitorování zabezpečení. NetFlow Traffic Analyzer zkoumá toky provozu kolem vaší sítě a obsahuje funkce pro monitorování zabezpečení. To zahrnuje sledování chybně vytvořeného a potenciálně škodlivého provozu na síťový port 0. Kromě těchto funkcí monitorování vám vizualizace provozu a upozornění na anomálie pomohou odhalit neobvyklou aktivitu.
Dashboard tohoto nástroje obsahuje skvělou vizualizaci živých dat a je také schopen ukládat data paketů pro historickou analýzu. Nástroj má řadu možností pro zachytávání paketů, které zahrnují metody vzorkování, které snižují množství dat, která je třeba ukládat pro analýzu. Pokud nemáte rozpočet na SolarWinds Network Performance Monitor a NetFlow Traffic Analyzer, můžete vyzkoušet bezplatný Real-time Bandwidth Monitor. Tento nástroj však nemá mnoho funkcí a byl by vhodný pouze pro malé sítě.
Pokud přidáte nástroj Sledování uživatelských zařízení, získáte lepší přehled o aktivitách uživatelů. To vám umožňuje sledovat aktivitu uživatelů a také dohlížet na události portů přepínačů, včetně pokusů hackerů o skenování portů. Nástroj může také uzavřít porty a selektivně blokovat uživatele v případě detekce narušení.
Na monitor lze přidat další funkce stáje SolarWinds, protože společnost vytvořila společnou platformu pro všechny své hlavní nástroje, která umožňuje sdílení dat a mezioborové moduly. Network Configuration Manager by byl dobrou volbou pro problémy se zabezpečením, protože řídí nastavení vašeho síťového zařízení. Vyhledá také aktualizace firmwaru a nainstaluje je za vás – udržování aktuálního stavu operačních systémů a veškerého softwaru je důležitým úkolem zabezpečení IT systémů.
SolarWinds nabízí řadu bezplatných nástrojů, které vám pomohou řídit zabezpečení vaší sítě. Mezi ně patří Solar-PuTTY balík. Toto není jen emulátor zabezpečeného terminálu, který vám umožní bezpečný přístup ke vzdáleným serverům. Zahrnuje také implementaci SFTP, kterou můžete použít k zálohování a distribuci obrazů konfigurace zařízení. To by byla levná alternativa k Network Configuration Manager, pokud máte malou síť a velmi napjatý rozpočet.
Kiwi syslog server je dalším užitečným bezpečnostním nástrojem SolarWinds, který mohou malé organizace používat zdarma. Pokud monitorujete pouze pět zařízení, za tento nástroj nemusíte platit. Nástroj je vhodný i pro větší sítě, ale za to si budete muset zaplatit. Správce protokolů také shromažďuje a ukládá zprávy SNMP a můžete nastavit upozornění na objemy typů zpráv. Toto je velmi užitečná funkce, pokud nemáte správce sítě založený na SNMP. Upozornění upozorní na objemové útoky a pokusy o prolomení hesla hrubou silou. Tento nástroj pro správu protokolů může také zaznamenat neobvyklé nárůsty provozu a podezřelou aktivitu uživatelů.
2. WhatsUp Gold
WhatsUp Gold je výzvou pro Monitor výkonu sítě SolarWinds. Vyrábí jej společnost Ipswitch, která také nabízí řadu přídavných modulů, které vylepšují možnosti monitorování zabezpečení WhatsUp Gold. Tento síťový monitor upozorní na neobvyklé chování monitorováním přepínačů a směrovačů pomocí systému zpráv SNMP. Konzole vám konečně umožňuje nastavit si vlastní upozornění, která vás upozorní na nárůst provozu a nelogickou aktivitu uživatelů.
Upozornění se budou zobrazovat na řídicím panelu systému a můžete také nominovat, aby byla zasílána jako upozornění e-mailem nebo SMS. Je možné směrovat různá upozornění různým členům týmu podle zdroje a závažnosti zprávy. Bezplatný doprovodný nástroj, WhatsUp Syslog Server vylepšuje informace, které můžete získat ze systémových zpráv, a také vytváří vlastní upozornění. Zprávy Syslog lze zobrazit v konzole, přeposlat do jiných aplikací a uložit do souborů. Server bude spravovat vaše soubory syslog ve stromu logického adresáře, aby bylo snazší načíst konkrétní zprávy. Archivované zprávy lze číst zpět do řídicího panelu pro analýzu. Kromě toho vám rozhraní umožňuje třídit a filtrovat zprávy, abyste mohli identifikovat vzorce chování a navíc odhalit anomální chování.
WhatsUp Gold doprovází řada placených vylepšení, která zlepší vaši výkonnost při monitorování zabezpečení. Měli byste zvážit přidání na Správa síťového provozu modul pro získání informací o datovém toku ve vaší síti. Hlavní balíček WhatsUp Gold se zaměřuje na stavy zařízení a modul Traffic Management shromažďuje informace o datovém toku. Modul obsahuje funkce značení provozu pro implementace QoS. Může rozdělit hlášení objemu provozu podle zdrojového a cílového zařízení, podle zdrojové a cílové země a domény, podle konverzace, aplikace, protokolu nebo čísla portu. Tento detail vám pomůže sledovat neobvyklou aktivitu a dokonce budete moci v případě nouze zablokovat určité aplikace, jako jsou nástroje pro přenos souborů.
The Správa konfigurace sítě modul vám pomůže kontrolovat jakékoli změny nastavení vašich síťových zařízení. Neoprávněné změny nastavení zařízení jsou často předehrou k narušení a pokročilým trvalým hrozbám. Je to proto, že hackeři mohou otevřít porty a poté zablokovat funkce hlášení, které by indikovaly neoprávněné aktivity. Musíte vytvořit zásady pro každý typ zařízení, značku a model a vytvořit standardní profil nastavení pro každou skupinu. Doplněk WhatsUp Network Configuration Management vám umožní distribuovat tyto standardní konfigurační obrazy, zálohovat schválené konfigurace a nakonec se vrátit k těmto standardním nastavením, pokud budou zjištěny jakékoli změny konfigurace.
Placené nástroje WhatsUp Gold jsou přístupné zdarma po dobu 30 dnů. Veškerý software WhatsUp Gold se nainstaluje do prostředí Windows.
3. TrueSight Network Automation / Network Vulnerability Management
Tyto dva produkty od BMC Software se spojily a vytvořily skutečně komplexní sadu bezpečnostních nástrojů. Nástroj Network Automation bude monitorovat vaši síť poté, co nejprve objeví všechna vaše zařízení, zaprotokoluje je a zmapuje. Modul pro správu konfigurace balíku Network Automation je skutečně působivou funkcí tohoto systému monitorování sítě. Integruje šablony nebo „zásady“, které automaticky implementují bezpečnostní standardy. Pro každý ze známých standardů existuje politika: NIST, HIPAA, PCI, CIS, DISA, SOX a SCAP. Pokud jste se tedy zavázali dodržovat jeden z těchto systémů integrity dat, nástroj Network Automation to za vás dokonce vynutí.
Správce konfigurace v TrueSight Network Automation upraví konfiguraci každého síťového zařízení tak, aby vyhovovalo vybraným zásadám. Poté zálohuje tuto konfiguraci a sleduje případné změny v nastavení zařízení. Pokud jsou provedeny změny, které způsobí, že zařízení nebude v souladu se zásadami, správce konfigurace znovu načte zálohovaný konfigurační soubor. Tato akce má za následek vymazání těchto neoprávněných změn. Systém Network Automation je také správcem oprav. Bude udržovat kontakt s oznamovacími systémy výrobců zařízení ohledně oprav a aktualizací firmwaru. Jakmile bude oprava k dispozici, nástroj vás upozorní a dokonce tyto aktualizace zavede do vašich síťových zařízení.
Nástroj Network Vulnerability Management prohledá všechna zařízení, zda nejsou zranitelná. Systém se spoléhá na kontroly s oznámeními od dodavatelů a národní databázi zranitelností NIST, která zaznamenává známá slabá místa v síťovém vybavení a serverech, které provozujete. Nakonec nástroj aktualizuje software, aby blokoval exploity a sledoval výkon zařízení a serverů.
4. OSSEC
OSSEC znamená Open Source HIDS Security. Systém HIDS je hostitelský systém detekce narušení. Detekce narušení se stala základní specializací ve světě síťového zabezpečení a opravdu potřebujete nainstalovat IDS jako součást vašeho bezpečnostního balíku.
Dvěma skvělými atributy OSSEC jsou to, že je to nejlepší dostupný HIDS a jeho použití je zcela zdarma. Produkt vlastní a podporuje známý výrobce bezpečnostního softwaru Trend Micro. Metodologie HIDS spoléhají na správu souborů protokolu. Správný dotaz na vaše soubory protokolu by měl odhalit akce hackerů, aby prozkoumali váš systém a ukradli data a zdroje. To je důvod, proč hackeři vždy mění soubory protokolu. OSSEC vytvoří kontrolní součet pro každý soubor protokolu, což mu umožní detekovat manipulaci. Nástroj monitoruje soubory protokolů, které zaznamenávají přenosy souborů, aktivitu brány firewall a antiviru, protokoly událostí a protokoly pošty a webového serveru. Musíte nastavit zásady, které určují akce nástroje. Tyto zásady mohou být napsány interně, nebo je dokonce můžete získat od komunity OSSEC. Zásady diktují podmínky, které má OSSEC monitorovat, a vygeneruje výstrahu, pokud jeden z monitorovaných protokolů ukáže neoprávněnou aktivitu. Tato upozornění lze odeslat do rozhraní nebo odeslat jako upozornění e-mailem.
Pokud systém nainstalujete na Windows, bude v registru sledovat neoprávněné změny. Na systémech podobných Unixu bude sledovat přístup k účtu root. OSSEC poběží na Windows, Linux, Mac OS a Unix.
OSSEC je skvělý nástroj pro sběr dat, ale jeho frontend je samostatný produkt a ve skutečnosti již není podporován. Protože je tento HIDS tak dobře respektován, řada poskytovatelů softwaru vytvořila rozhraní, která jsou kompatibilní s datovými formáty OSSEC. Mnohé z nich jsou zdarma. Nainstalovali byste tedy OSSEC plus frontend z jiného zdroje pro prohlížení a analýzu dat. Překontrolovat Kibana nebo Splunk pro tuto funkci.
5. Sagan
Sagan je bezplatný správce souborů protokolu. Má mnoho funkcí, které z něj dělají dobrý hostitelský systém detekce narušení. Sagan je také schopen analyzovat data shromážděná síťovými systémy detekce narušení. NIDS shromažďuje provozní data prostřednictvím paketového snifferu. Sagan nemá sniffer paketů, ale umí číst data o provozu shromážděná Šňupat, bráchoa Suricata — všechny jsou zdarma k použití. Se Saganem tedy získáte směs bezpečnostních aktivit HIDS a NIDS.
Sagan můžete nainstalovat na Unix, Linux a Mac OS. Verze pro Windows bohužel neexistuje. Přestože nemá přístup k počítačům pomocí operačního systému Windows, dokáže zpracovat zprávy protokolu událostí systému Windows. Metody zpracování Sagan rozdělují svou zátěž mezi několik serverů nebo jakékoli jiné zařízení ve vaší síti, které má procesor. To ulehčuje zpracování každého kusu zařízení.
Tento nástroj obsahuje funkce, které z něj dělají systém prevence narušení (IPS). Jakmile Sagan detekuje anomální chování, může zapisovat do vašich tabulek firewallu a zakázat určité IP adresy ze sítě, ať už trvale nebo dočasně. Je to skvělý pomocník pro zabezpečení sítě, protože automaticky zavádí zákazy IP a udržuje systém dostupný pro skutečné uživatele. Sagan současně vygeneruje výstrahu, aby vás informoval o narušení. Preventivní akce není nutné zavádět, pokud chcete Sagana pouze používat jako IDS.
Pro účely hlášení má Sagan příjemnou funkci, která vystopuje podezřelé IP adresy k jejich poloze. To může být velmi užitečný nástroj pro sledování hackerů, kteří cyklicky své útoky procházejí několika různými adresami, aby se vyhnuli detekci. Sagan umožňuje agregovat síťovou aktivitu podle umístění zdrojové IP adresy a sjednotit tak všechny akce jednoho nezbedníka pomocí několika adres.
6. Paessler PRTG
Paessler PRTG je velmi rozsáhlý monitorovací systém, který je implementován řadou senzorů. Každý senzor monitoruje jeden atribut sítě. Pomocí senzorů, které se rozhodnete aktivovat, můžete omezit rozsah monitorovacího nástroje a zaměřit se pouze na jeden aspekt vaší infrastruktury. Celý systém bude monitorovat síťová zařízení, síťový provoz, aplikace a servery. Paessler z toho udělal čistě monitorovací nástroj, takže nemá žádné funkce pro správu, jako je správa konfigurace.
Jedním ze senzorů v PRTG je Syslog Receiver. To shromažďuje zprávy syslog a vkládá je do databáze. Jakmile jsou tyto zprávy uloženy, lze je třídit, zapisovat do souborů nebo dokonce vyhodnocovat jako spouštěcí události, které s nimi mohou mít spojené automatické akce.
Mezi funkce bezpečnostního monitorování PRTG patří zařízení pro hloubkovou kontrolu paketů, které se nazývá „snímač sledování paketů“. Tím se navzorkují pakety síťového provozu a uloží se do souboru. Jakmile získáte dostatek dat, můžete analyzovat provoz na řídicím panelu PRTG. Tato funkce vám umožňuje zacílit pomocí tohoto nástroje provoz na web, poštu a přenos souborů, takže je dobrým pomocníkem při sledování aktivity uživatelů a také k ochraně webového serveru před útokem. Monitor brány firewall sleduje události útoku a upozorňuje vás na ně prostřednictvím výstrah. Nástroj bude také pravidelně kontrolovat u vašeho poskytovatele brány firewall aktualizace a záplaty pro software, stahovat je a instalovat za vás. Díky tomu budete mít k dispozici nejnovější opravné prostředky pro nově objevené bezpečnostní slabiny.
Systém PRTG se nainstaluje do Windows. Případně se můžete rozhodnout pro přístup ke službě online. V každém případě jej můžete používat zdarma, pokud aktivujete pouze 100 senzorů. Můžete také získat 30 bezplatných zkušebních verzí Paessler PRTG s neomezeným počtem senzorů.
Nástroje pro zabezpečení sítě
K dispozici je mnoho různých typů specializovaných nástrojů pro zabezpečení sítě a budete jich muset nainstalovat několik, abyste ochránili data a zdroje vaší společnosti před krádeží, poškozením a zneužitím.
Z vysvětlení softwaru v našem seznamu doporučených nástrojů si všimnete, že mnoho z nich je zdarma. Placené nástroje mají často bezplatnou verzi nebo zkušební období, takže vyzkoušením každého z nich nic neztratíte.
Některé z těchto nástrojů fungují na Windows a některé fungují na Linuxu a Unixu. Pokud tedy máte na hostitelích ve vaší společnosti pouze jeden operační systém, výběr bezpečnostního nástroje se vám zúží. Velikost vaší sítě je dalším ovlivňujícím faktorem, který vás nasměruje k výběru konkrétního nástroje.
Máte oblíbený nástroj pro zabezpečení sítě? Vyzkoušeli jste některý ze softwaru v našem seznamu? Zanechte zprávu v sekci Komentáře níže a podělte se o své zkušenosti s komunitou.