Пять систем обнаружения атак

Защита компьютерных сетей, как обычных, так и беспроводных, — тема острая и злободневная. Чтобы обезопасить себя от неприятных сюрпризов, следует реализовать защиту в комплексе. Особое место в этом списке занимают системы обнаружения атак (IDS). 

01. SNORT 

Snort является сетевой системой обнаружения атак (IDS) с открытым исходным кодом, которая способна выполнить в реальном времени анализ IP-пакетов, передаваемых на контролируемых интерфейсах. Snort обнаруживает атаки, комбинируя два метода: сигнатурный и анализ протоколов. Система, построенная на Snort, способна собирать и обрабатывать информацию с нескольких разнесенных датчиков. Все в дело в производительности компьютеров, используемых в качестве сенсоров. Система состоит из модулей, каждый из которых направлен только на одно: выявлять всевозможные черви, эксплойты, сканирование портов, разные виды атак, а также другие подозрительные действия. Все это настраивается с помощью специального языка правил, которые четко регламентируют действия защитной системы. 

02. SGUIL 

Snort создан для того, чтобы выполнять одну задачу — определение атак, и выполняет он ее хорошо. Анализ файлов журналов отдан на откуп сторонним разработчикам. Вообще, системы обнаружения вторжений (IDS) обычно редко обладают красивым и наглядным интерфейсом, а также мощной системой оповещения. За них эту работу выполняют отдельные приложения, и одним из наиболее мощных из них является Sguil. Она обрабатывает логи IDS и превращает их в удобный для анализа dashboard. 

03. OSSEC HIDS 

Добротная IDS со стандартным набором функций, которые реализованы на самом высоком уровне. Мы говорим об эффективном анализаторе логов, проверке целостности системных файлов, выявлении распространенных руткитов, а также своевременном оповещении админа. Впрочем, чаще всего OSSEC HIDS все-таки используется именно в качестве анализатора логов файрволов, веб-демонов, систем авторизации и других IDS. 

04. OSSIM 

Целая система, построенная на open source решениях. Виртуальная машина с Linux будет выполнять роль основной системы контроля. Различные агенты, которые можно разместить в ключевых узлах сети (Snort, Nagios, кастомные анализаторы логов, системы контроля целостности и сканер уязвимостей), будут централизованно отстукивать и докладывать о ситуации. Система же будет реагировать на события согласно настройкам. Чтобы ее развернуть, нужно вложить душу, но результат того стоит. 

05. HONEYD 

Honeyd — специализированная платформа для построения хонипотов (ловушек для хакера). Она работает по модульному принципу. Каждый сервис — отдельный скрипт, определяющий поведение ловушки и реализующий механизм «запрос — ответ». Кроме того, HoneyD имеет расширенные средства формирования виртуальных сетей, в которых роль узлов выполняют сконфигурированные ловушки. Так что сложность хонипота зависит только от твоей фантазии.