У данашње време, безбедност мреже постала је изузетно сложен задатак. Разлог лежи у појави превара путем фишинга, напредних и упорних претњи, доксинга и метода прикривања. Ове лукавштине знатно отежавају запосленима да процене аутентичност упутстава која примају од виших руководилаца који раде на даљину. У оваквим околностима, традиционални концепт мрежне безбедности, који се сводио на спречавање њушкања по интернету и блокирање вируса заштитним зидовима, постаје недовољан. Сада је неопходно анализирати обрасце саобраћаја и откривати нетипичне активности, чак и када их изводе овлашћени корисници.
Раније је ИТ сектор имао администраторске привилегије, омогућавајући сваком члану техничке подршке приступ било ком делу корпоративног система. Међутим, ризици од излагања података знатно су порасли. Чак и ненамерно кршење поверљивости може резултирати скупим судским процесима од стране особа чији се лични подаци чувају у вашем систему. Ова новонастала ситуација захтева строжу контролу приступа и стално праћење свих активности, како би се спречиле и документовале злонамерне акције и ненамерна оштећења.
Срећом, савремена мрежна опрема је опремљена уграђеним системима за размену порука. Можете користити ове изворе информација једноставно инсталирањем агената за прикупљање података и софтвера за анализу. Тржиште мрежне безбедности нуди различите категорије монитора, који вам могу помоћи у заштити компаније од крађе података и других злонамерних радњи.
У овом водичу, анализираћемо следеће категорије софтвера за управљање мрежом:
Анализатори саобраћаја
Менаџери дневника
Скенери рањивости
Менаџери конфигурације
Мрежни монитори
Системи за детекцију упада и спречавање упада
Представљамо нашу листу најквалитетнијег софтвера за мрежну безбедност:
SolarWinds Network Performance Monitor
WhatsUp Gold
TrueSight Network Automation / Network Vulnerability Management
OSSEC
Sagan
Paessler PRTG
Више информација о свакој од ових опција можете пронаћи у наредном одељку овог водича.
Опције софтвера за мрежну безбедност
Препоруке са ове листе укључују низ свеобухватних алата за управљање мрежом, који служе као општи монитори перформанси мреже, али и као специјализована решења за праћење безбедносних проблема. Три кључна алата са листе су SolarWinds Network Performance Monitor, WhatsUp Gold и Paessler PRTG. Сваки од ових пакета може се надоградити и проширити додатним функцијама. Структура ових алата вам омогућава да ограничите њихову функционалност и фокусирате се само на један задатак, као што је надзор безбедности. OSSEC и Sagan су високо цењени специјализовани системи за детекцију упада, док TrueSight пакет нуди изузетну комбинацију функција заштите мреже.
Ова листа обухвата опције које су погодне за мале, средње и велике мреже.
1. SolarWinds Network Performance Manager (бесплатна пробна верзија)
Network Performance Manager је кључни алат који нуди компанија SolarWinds. Он прати стање мрежних уређаја користећи размену порука путем протокола за једноставно управљање мрежом (SNMP). Сва мрежна опрема је опремљена SNMP могућностима, па је потребно само инсталирати SNMP менаџер, као што је овај SolarWinds алат, како бисте искористили предности информација које SNMP пружа.
Преузмите бесплатну пробну верзију на https://www.solarwinds.com/network-performance-monitor/
Овај алат укључује и функцију аутоматског откривања и мапирања, која креира инвентар ваше мрежне опреме. Откривање се одвија континуирано и региструје нове уређаје који су додати у мрежу. Ова функција је од велике помоћи при откривању упада, јер је инвазија хардвера један од облика упада. Функција детаљне инспекције пакета (Deep Packet Inspection – DPI) коју нуди Network Performance Monitor такође ће вам помоћи да заштитите своју мрежу наглашавањем и праћењем нетипичних образаца саобраћаја и активности корисника.
SolarWinds нуди и низ других алата за управљање мрежом, који могу побољшати могућности Network Performance Monitor-а у погледу безбедносног надзора. NetFlow Traffic Analyzer анализира токове саобраћаја у вашој мрежи и укључује функције за безбедносни надзор. Ово подразумева праћење деформисаног и потенцијално злонамерног саобраћаја до мрежног порта 0. Осим функција надзора, визуелизација саобраћаја и обавештења о аномалијама вам омогућавају да уочите необичне активности.
Контролна табла овог алата нуди визуелизацију података у реалном времену и такође чува пакетне податке за каснију анализу. Алат има различите опције за хватање пакета, укључујући методе узорковања које смањују количину података које треба да складиштите за анализу. Ако немате буџет за SolarWinds Network Performance Monitor и NetFlow Traffic Analyzer, можете испробати бесплатан монитор пропусног опсега у реалном времену. Међутим, овај алат нема много функција и погодан је само за мање мреже.
Добијате бољи увид у активности корисника ако додате функцију за праћење корисничких уређаја. Ова функција вам омогућава да пратите активности корисника и догађаје на портовима прекидача, укључујући покушаје хакера да скенирају портове. Алат може затворити портове и селективно блокирати кориснике у случају откривања упада.
Могуће је додати додатне карактеристике SolarWinds платформе на монитор, јер је компанија креирала заједничку платформу за све своје кључне алате, омогућавајући размену података и интердисциплинарне модуле. Network Configuration Manager би био одличан избор за безбедносна питања, јер контролише подешавања ваше мрежне опреме. Такође, тражиће ажурирања фирмвера и инсталирати их уместо вас – ажурирање оперативних система и целокупног софтвера је важан безбедносни задатак ИТ система.
SolarWinds нуди и низ бесплатних алата који вам могу помоћи у контроли безбедности ваше мреже. Ту спада и Solar-PuTTY пакет. Ово није само емулатор безбедног терминала који омогућава сигуран приступ удаљеним серверима. Он укључује и SFTP имплементацију, коју можете користити за прављење резервних копија и дистрибуцију слика конфигурације уређаја. Ово би могла бити приступачна алтернатива Network Configuration Manager-у ако имате малу мрежу и ограничен буџет.
Kiwi Syslog Server је још један користан безбедносни алат компаније SolarWinds, који мање организације могу користити бесплатно. Не морате плаћати за овај алат уколико надгледате само до пет уређаја. Алат је погодан и за веће мреже, али ћете морати да платите за ту услугу. Менаџер дневника прикупља и складишти SNMP поруке, а можете подесити и обавештења о количини одређених типова порука. Ово је веома корисна функција уколико немате мрежни менаџер заснован на SNMP-у. Упозорења ће указати на масовне нападе и покушаје провале лозинке бруталном силом. Овај алат за управљање евиденцијама може препознати и необичне скокове саобраћаја и сумњиве активности корисника.
2. WhatsUp Gold
WhatsUp Gold је озбиљан конкурент SolarWinds Network Performance Monitor-у. Производи га компанија Ipswitch, која такође нуди бројне додатне модуле који побољшавају капацитете WhatsUp Gold-а за безбедносни надзор. Овај мрежни монитор ће препознати необично понашање праћењем прекидача и рутера користећи SNMP систем за размену порука. Поред тога, конзола вам омогућава да подесите прилагођена упозорења, која ће вас обавестити о порасту саобраћаја и нелогичним активностима корисника.
Упозорења ће бити приказана на контролној табли система, али можете и да номинујете примаоце, који ће их добијати као обавештења путем е-поште или СМС-а. Могуће је упућивати различита обавештења различитим члановима тима, зависно од извора поруке и озбиљности. Бесплатан пратећи алат, WhatsUp Syslog Server, побољшава информације које можете добити из системских порука и омогућава креирање прилагођених обавештења. Syslog поруке могу се приказати на конзоли, проследити другим апликацијама и ускладиштити у датотекама. Сервер ће управљати вашим syslog датотекама у логичном стаблу директоријума, како би олакшао преузимање одређених порука. Архивиране поруке се могу поново прочитати на контролној табли ради анализе. Штавише, интерфејс вам омогућава да сортирате и филтрирате поруке, како бисте идентификовали обрасце понашања и лакше уочили нетипичне активности.
WhatsUp Gold подржан је бројним плаћеним побољшањима, која могу побољшати ваш надзор безбедности. Препоручљиво је да додате модул Network Traffic Analysis, како бисте добили информације о протоку података у вашој мрежи. Главни пакет WhatsUp Gold фокусира се на статусе уређаја, док модул за управљање саобраћајем прикупља информације о току података. Модул укључује могућности означавања саобраћаја за имплементацију QoS-а (Quality of Service). Може да дели извештаје о обиму саобраћаја према изворном и одредишном уређају, према изворној и одредишној земљи и домену, према разговору, апликацији, протоколу или броју порта. Ови детаљи вам могу помоћи да пратите необичне активности, а чак ћете моћи и да блокирате одређене апликације, као што су услужни програми за пренос датотека, у случају нужде.
Модул Network Configuration Management вам помаже да контролишете све промене у подешавањима ваших мрежних уређаја. Неовлашћене измене подешавања уређаја често представљају увод у упад и напредне трајне претње. Разлог је тај што хакери могу да отворе портове, а затим да блокирају функције извештавања, које би указале на неовлашћене активности. Потребно је да креирате смернице за сваки тип уређаја, марку и модел, и креирате профил стандардних подешавања за сваку групу. Додатак за управљање конфигурацијом мреже WhatsUp вам омогућава да дистрибуирате ове стандардне слике конфигурације, правите резервне копије одобрених конфигурација и да се вратите на та стандардна подешавања ако се открију било какве промене конфигурације.
Плаћеним алатима WhatsUp Gold може се бесплатно приступити током 30 дана. Сав WhatsUp Gold софтвер инсталира се у Windows окружењу.
3. TrueSight Network Automation / Network Vulnerability Management
Ова два производа компаније BMC Software комбинована су ради стварања изузетно свеобухватног пакета безбедносних алата. Алат за аутоматизацију мреже пратиће вашу мрежу након што прво открије, евидентира и мапира сву вашу опрему. Модул за управљање конфигурацијом пакета Network Automation је импресивна карактеристика овог система за праћење мреже. Интегрише шаблоне, односно „политике“, које аутоматски примењују безбедносне стандарде. Постоји политика за сваки од познатих стандарда: NIST, HIPAA, PCI, CIS, DISA, SOX и SCAP. Стога, уколико сте одлучили да се придржавате једног од ових система интегритета података, алат за аутоматизацију мреже ће га имплементирати уместо вас.
Менаџер конфигурације у TrueSight Network Automation прилагодиће конфигурацију сваког мрежног уређаја, како би био у складу са одабраном политиком. Након тога, направиће резервну копију те конфигурације и пратити све промене у подешавањима уређаја. Ако дође до промена због којих уређај није у складу са смерницама, менаџер конфигурације ће поново учитати резервну копију датотеке конфигурације. Ова акција уклања неовлашћене промене. Систем Network Automation такође је и менаџер закрпа. Одржаваће контакт са системима обавештења произвођача опреме у вези са закрпама и ажурирањима фирмвера. Када закрпа постане доступна, алат ће вас обавестити и чак увести ажурирања на ваше мрежне уређаје.
Услужни програм за управљање рањивостима мреже скенира све уређаје ради провере рањивости. Систем користи провере са обавештењима добављача и Националну базу података о рањивости NIST, како би евидентирао познате слабости у мрежној опреми и серверима које користите. На крају, алат ће ажурирати софтвер ради блокаде искориштавања и пратити перформансе уређаја и сервера.
4. OSSEC
OSSEC је скраћеница од Open Source HIDS Security. HIDS систем је систем за детекцију упада заснован на хосту. Детекција упада је постала есенцијална специјализација у свету мрежне безбедности и неопходно је да инсталирате IДС као део вашег безбедносног пакета.
Два главна атрибута OSSEC-а јесу да је водећи HIDS доступан и потпуно бесплатан за коришћење. Производ је у власништву и подржава га познати произвођач безбедносног софтвера, Trend Micro. HIDS методологије се ослањају на управљање датотекама евиденције. Исправно испитивање датотека евиденције требало би да открије акције хакера који истражују ваш систем и краду податке и ресурсе. Због тога хакери увек мењају датотеке евиденције. OSSEC ће креирати контролни збир за сваку датотеку евиденције, омогућавајући му да открије неовлашћено коришћење. Алат надгледа датотеке евиденције које бележе пренос датотека, активности заштитног зида и антивирусних програма, евиденције догађаја и евиденције поште и веб сервера. Потребно је подесити политике које диктирају радње услужног програма. Ове политике се могу написати у оквиру компаније, или можете набавити од OSSEC заједнице. Политика диктира услове које OSSEC треба да надгледа и генерише упозорење ако једна од праћених евиденција покаже неовлашћену активност. Упозорења могу бити послата на интерфејс или путем е-поште.
Ако инсталирате систем на Windows, он ће надгледати регистар ради неовлашћених промена. На системима сличним Unix-у, пратиће приступ root налогу. OSSEC ће радити на Windows, Linux, Mac OS и Unix.
OSSEC је одличан алат за прикупљање података, али његов предњи део је засебан производ и, у ствари, више није подржан. Пошто је овај HIDS високо цењен, велики број добављача софтвера је направио интерфејсе који су компатибилни са OSSEC форматима података. Многи од њих су бесплатни. Дакле, инсталирали бисте OSSEC, плус предњи део од другог добављача ради прегледа и анализе података. Проверите Kibana или Splunk ради ове функције.
5. Sagan
Sagan је бесплатни менаџер датотека дневника. Има многе функције које га чине поузданим системом за детекцију упада заснованим на хосту. Sagan је такође у могућности да анализира податке прикупљене системима за детекцију упада заснованим на мрежи. NIDS прикупља податке о саобраћају кроз њушкало пакета. Sagan нема њушкало пакета, али може да чита податке о саобраћају које прикупља Snort, Bro и Suricata – сви су бесплатни за коришћење. Дакле, са Sagan-ом добијате комбинацију безбедносних активности HIDS и NIDS.
Sagan можете инсталирати на Unix, Linux и Mac OS. Нажалост, не постоји верзија за Windows. Иако не може да приступи рачунарима који користе Windows оперативни систем, може да обрађује поруке из евиденције Windows догађаја. Sagan-ове методе обраде распоређују свој терет на неколико сервера или било коју другу опрему на вашој мрежи која има процесор. Ово олакшава терет обраде сваког комада опреме.
Алат укључује функције које га чине системом за спречавање упада (IPS). Једном када Sagan открије нетипично понашање, може да уписује у ваше табеле заштитног зида како би трајно или привремено забранио одређене IP адресе на мрежи. Ово је одлична помоћ за безбедност мреже, јер аутоматски примењује IP забране и чува систем доступним за праве кориснике. Sagan ће истовремено генерисати упозорење да вас обавести о упаду. Акције превенције не морају се примењивати, ако само желите да користите Sagan као IDS.
За потребе извештавања, Sagan има корисну функцију, која прати сумњиве IP адресе до њихове локације. Ово може бити веома користан алат за праћење хакера који циљају своје нападе са неколико различитих адреса, како би избегли откривање. Sagan вам омогућава да агрегирате мрежну активност према локацији изворне IP адресе, чиме се обједињују све акције једног нападача који користи више адреса.
6. Paessler PRTG
Paessler PRTG је изузетно велики систем за надзор, имплементиран кроз низ сензора. Сваки сензор надгледа један атрибут мреже. Можете смањити обим алата за праћење, тако што ћете се фокусирати само на један аспект ваше инфраструктуре помоћу сензора које изаберете да активирате. Целокупан систем ће надгледати мрежне уређаје, мрежни саобраћај, апликације и сервере. Paessler је осмислио ПРТГ искључиво као алат за праћење, тако да не нуди функције управљања, као што је управљање конфигурацијом.
Један од сензора у ПРТГ-у је Syslog Receiver. Он прикупља syslog поруке и убацује их у базу података. Када су поруке ускладиштене, могу се сортирати, пренети у датотеке или чак евалуирати као догађаји који могу покренути аутоматизоване радње.
Функције сигурносног праћења ПРТГ-а укључују могућност дубинске инспекције пакета, која се назива „сензор њушкања пакета“. Овај сензор ће узорковати пакете мрежног саобраћаја и сачувати их у датотеку. Када прикупите довољно података, можете анализирати саобраћај на ПРТГ контролној табли. Ова могућност вам омогућава да циљате саобраћај на вебу, пошту и пренос датотека, тако да је ово одличан алат за праћење активности корисника и заштите веб сервера од напада. Монитор заштитног зида прати догађаје напада и обавештава вас о њима путем упозорења. Алат ће, такође, редовно проверавати код вашег добављача заштитног зида да ли има ажурирања и закрпа за софтвер, преузима их и инсталира уместо вас. Ово осигурава да имате најновија решења за новооткривене безбедносне слабости.
ПРТГ систем се инсталира на Windows. Алтернативно, можете одабрати приступ услузи на мрежи. У сваком случају, можете га користити бесплатно ако активирате до 100 сензора. Такође, можете добити 30 бесплатних пробних периода Paessler PRTG-а са укљученим неограниченим сензорима.
Алатке за мрежну безбедност
На располагању је много различитих специјализованих алата за мрежну безбедност и мораћете да инсталирате неколико како бисте податке и ресурсе ваше компаније заштитили од крађе, оштећења и искоришћавања.
Из описа софтвера на нашој листи препоручених алата, можете приметити да су многи од њих бесплатни. Плаћени алати често нуде бесплатну верзију или пробне периоде, тако да немате шта да изгубите испробавањем сваког од њих.
Неки од ових алата раде на Windows-у, а неки на Linux-у и Unix-у. Дакле, ако имате само један оперативни систем на хостовима у вашој компанији, ваш избор безбедносног алата ће бити ограничен. Величина ваше мреже је још један важан фактор који ће вас усмерити ка одређеном алату.
Да ли имате омиљени алат за мрежну безбедност? Да ли сте пробали неки од софтвера са наше листе? Оставите поруку у одељку Коментари испод и поделите своје искуство са заједницом.