Сигурността често е една от основните грижи на мрежовите администратори. И точно както има инструменти, които да ни помогнат с почти всичките ни ежедневни задачи, има инструменти, които ще ни помогнат да защитим нашите мрежи и оборудването, от което са направени. И днес ви представяме някои от най-добрите инструменти за мрежова сигурност, за които бихме могли да се сетим.
Нашият списък в никакъв случай не е пълен, тъй като има стотици инструменти, които могат да ви помогнат да защитите вашата мрежа. Той също така изключва антивирусен софтуер, който, въпреки че е свързан със сигурността, попада в напълно различна категория инструменти. Също така изключихме защитните стени от нашия списък. Те също са в различна категория. Това, което сме включили са инструменти и скенери за оценка на уязвимостите, инструменти за криптиране, скенери на портове и т.н. Всъщност имахме почти само един критерий за включване в нашия списък, те трябваше да бъдат инструменти, свързани със сигурността. Това са инструменти, които могат да ви помогнат да увеличите сигурността или да го тествате и проверявате.
Имаме толкова много инструменти за преглед, че няма да отделяме много време на теория. Просто ще започнем с някои повече подробности за различните категории инструменти и ще продължим с преглед на самите инструменти.
Съдържание
Различни категории инструменти
Има буквално стотици различни инструменти, свързани с мрежовата сигурност. За по-лесно сравнение на различните инструменти може да е полезно да ги категоризирате. Един от видовете инструменти, които имаме в нашия списък, са мениджърите на събития. Това са инструменти, които ще реагират на различни събития, случващи се във вашата мрежа. Те често откриват тези събития, като анализират регистрационни файлове от вашето оборудване.
Полезни са също сниферите на пакети, те ви позволяват да копаете в трафика и да декодирате пакети, за да видите полезния товар, който съдържат. Те често ще се използват за по-нататъшно разследване на събития, свързани със сигурността.
Друга основна категория инструменти са системите за откриване и предотвратяване на проникване. Те са различни от антивирусния софтуер или софтуера за защитна стена. Те работят в периметъра на вашата мрежа, за да открият всеки опит за неоторизиран достъп и/или всяка злонамерена дейност.
Нашият списък включва и някои странни инструменти, които всъщност не се вписват в конкретна категория, но смятаме, че трябва да бъдат включени, тъй като са наистина полезни.
Най-добрите инструменти за мрежова сигурност
Когато представяте толкова обширен списък от инструменти, които служат за много различни цели, е трудно да ги изброите в някакъв ред. Всички инструменти, разгледани тук, са много различни и единият не е обективно по-добър от всеки друг. Така че решихме просто да ги изброим в произволен ред.
1. SolarWinds Log and Event Manager (БЕЗПЛАТЕН ПРОБЕН ПРОБЕН АП)
Ако все още не познавате SolarWinds, компанията от години прави едни от най-добрите инструменти за мрежово администриране. Неговият монитор за мрежова производителност или неговият NetFlow Traffic Analyzer са едни от най-добрите пакети за мониторинг на SNMP мрежа и NetFlow колектор и анализатор, които можете да намерите. SolarWinds също така прави някои отлични безплатни инструменти, които отговарят на специфичните нужди на мрежовите и системните администратори, като отличен калкулатор на подмрежата и много добър TFTP сървър.
Когато става въпрос за инструменти за мрежова сигурност, SolarWinds има няколко добри продукта за вас. На първо място е неговият мениджър на журнали и събития (LEM). Този инструмент е най-добре описан като система за управление на информация за сигурност и събития от начално ниво (SIEM). Това е може би една от най-конкурентните SIEM системи от начално ниво на пазара. Продуктът SolarWinds има почти всичко, което можете да очаквате от основна система. Инструментът има отлично управление на регистрационни файлове и функции за корелация, заедно с впечатляващ механизъм за отчитане.
SolarWinds Log and Event Manager също може да се похвали с някои отлични функции за реакция на събития. Неговата система в реално време ще реагира на всяка заплаха, която открие. И инструментът се основава на поведение, а не на подпис, което го прави чудесен за защита срещу експлоати с нулев ден и неизвестни бъдещи заплахи, без да е необходимо постоянно да актуализирате инструмента. SolarWinds LEM и разполага с впечатляващо табло, което може би е най-добрият му актив. Опростеният му дизайн означава, че няма да имате проблеми с бързото идентифициране на аномалии.
Цените за SolarWinds Log and Event Manager започват от $4 585. И ако искате да опитате, преди да купите, е налична безплатна напълно функционална 30-дневна пробна версия.
2. Мениджър за мрежова конфигурация на SolarWinds (БЕЗПЛАТЕН ПРОБЕН ПРОБЕН АП)
SolarWinds също правят няколко други инструмента, свързани с мрежовата сигурност. Например, на Мениджър за мрежова конфигурация на SolarWinds ще ви позволи да гарантирате, че всички конфигурации на оборудването са стандартизирани. Това ще ви позволи да натиснете групови промени в конфигурацията на хиляди мрежови устройства. От гледна точка на сигурността, той ще открие неоторизирани промени, които могат да бъдат знак за злонамерено подправяне на конфигурацията.
Инструментът може да ви помогне бързо да се възстановите от повреди чрез възстановяване на предишни конфигурации. Можете също да използвате неговите функции за управление на промените, за да идентифицирате бързо какво се е променило в конфигурационния файл и да подчертаете промените. Освен това този инструмент ще ви позволи да демонстрирате съответствие и да преминете регулаторни одити благодарение на вградените си стандартни отчети за индустрията.
Ценообразуване за Мениджър за мрежова конфигурация на SolarWinds започва от $2 895 и варира в зависимост от броя на управляваните възли. Налична е безплатна напълно функционална 30-дневна пробна версия.
3. Проследяване на потребителски устройства на SolarWinds (БЕЗПЛАТЕН ПРОБЕН ПРОБЕН)
В Проследяване на потребителски устройства на SolarWinds е друг задължителен инструмент за мрежова сигурност. Той може да подобри вашата ИТ сигурност чрез откриване и проследяване на потребители и крайни устройства. Той ще идентифицира кои портове за комутатор се използват и ще определи кои портове са налични в множество VLAN.
Когато има съмнение за злонамерена дейност с конкретно крайно устройство или даден потребител, инструментът ще ви позволи бързо да определите местоположението на устройството или потребителя. Търсенето може да се основава на имена на хостове, IP/MAC адреси или потребителски имена. Търсенето може дори да бъде разширено, като се разгледат минали дейности за свързване на предполагаемото устройство или потребител.
В Проследяване на потребителски устройства на SolarWinds е на цена от $1 895 и варира в зависимост от броя на портовете за проследяване. Както при повечето продукти на SolarWinds, е налична безплатна 30-дневна пробна версия с пълни функции.
4. Wireshark
За да кажа това Wireshark е просто инструмент за мрежова сигурност е грубо подценяване. Това е най-добрият пакет за улавяне и анализ на пакети, който можем да намерим в наши дни. Това е инструмент, който можете да използвате за извършване на задълбочен анализ на мрежовия трафик. Той ще ви позволи да улавяте трафик и да декодирате всеки пакет, като ви показва какво точно съдържа.
Wireshark се превърна в де-факто стандарт и повечето други инструменти са склонни да го подражават. Възможностите за анализ на този инструмент са толкова мощни, че много администратори ще използват Wireshark за да анализирате заснеманията, направени с помощта на други инструменти. Всъщност това е толкова често, че при стартиране ще ви подкани или да отворите съществуващ файл за заснемане, или да започнете да улавяте трафик. Но най-голямата сила на този инструмент са неговите филтри. Те лесно ще ви позволят да се ориентирате точно към съответните данни.
Въпреки стръмната му крива на обучение (веднъж присъствах на тридневен клас само за това как да го използвам) Wireshark си струва да се учи. Ще се окаже безценен безброй пъти. Това е безплатен инструмент с отворен код, който е пренесен към почти всяка операционна система. Може да се изтегли директно от Уебсайт на Wireshark.
5. Nessus Professional
Несус Професионален е едно от най-широко разпространените в индустрията решения за оценка за идентифициране на уязвимости, проблеми с конфигурацията и злонамерен софтуер, които нападателите използват, за да получат неоторизиран достъп до мрежи. Използва се от милиони специалисти по киберсигурност, като им дава поглед отвън за тяхната мрежова сигурност. Несус Професионален също така предлага важни насоки как да подобрим мрежовата сигурност.
Несус Професионален има едно от най-широките отразявания на сцената на заплахите. Той притежава най-новата интелигентност и лесен за използване интерфейс. Бързите актуализации също са една от отличните характеристики на инструмента. Несус Професионален предоставя ефективен и изчерпателен пакет за сканиране на уязвимости.
Несус Професионален се основава на абонамент и ще ви струва $2 190/година. Ако предпочитате да изпробвате продукта, преди да закупите абонамент, можете да получите безплатна пробна версия, въпреки че продължава само 7 дни.
6. Пръмтете
Пръмтете е една от най-известните системи за откриване на проникване с отворен код (IDS). Създаден е през 1998 г. и е собственост на Cisco System от 2013 г. През 2009 г. Snort влезе в Залата на славата с отворен код на InfoWorld като един от „най-великия софтуер с отворен код на всички времена“. Ето колко е добре.
Пръмтете има три режима на работа: снифер, регистратор на пакети и откриване на проникване в мрежа. Режимът снифер се използва за четене на мрежови пакети и показването им на екрана. Режимът за регистриране на пакети е подобен, но пакетите се записват на диска. Режимът за откриване на проникване е най-интересен. Инструментът следи мрежовия трафик и го анализира спрямо дефиниран от потребителя набор от правила. След това могат да бъдат извършени различни действия въз основа на идентифицираната заплаха.
Пръмтете може да се използва за откриване на различни типове сонди или атаки, включително опити за снемане на пръстови отпечатъци на операционната система, атаки на семантични URL адреси, препълвания на буфер, сонди за блокиране на съобщения на сървъра и сканиране на стелт портове. Пръмтете може да се изтегли от собствен уебсайт.
7. TCPdump
Tcpdump е оригиналният пакетен анализатор. Издаден за първи път през 1987 г., оттогава е поддържан и надграждан, но остава по същество непроменен, поне по начина, по който се използва. Този инструмент с отворен код се предлага предварително инсталиран в почти всяка операционна система *nix и се превърна в стандартен инструмент за бързо улавяне на пакети. Той използва библиотеката libpcap – също с отворен код – за действителното улавяне на пакети.
По подразбиране. tcpdump улавя целия трафик на посочения интерфейс и го „изхвърля“ – оттук и името – на екрана. Това е подобно на режима на нюхане на Snort. Дъмпа може също да се прехвърли във файл за заснемане – като се държи като режима за регистриране на пакети на Snort – и да се анализира по-късно с помощта на всеки наличен инструмент. Wireshark често се използва за тази цел.
тcpdumpОсновната сила на ‘s е възможността да се прилагат филтри за улавяне и да се предава неговият изход към grep – друга обща помощна програма за командния ред на Unix – за още повече филтриране. Някой с добри познания за tcpdumpgrep и командната обвивка могат лесно да уловят точно правилния трафик за всяка задача за отстраняване на грешки.
8. Кисмет
Кисмет е мрежов детектор, анализатор на пакети и система за откриване на проникване за безжични LAN мрежи. Той ще работи с всяка безжична карта, която поддържа необработен режим на наблюдение и може да надуши 802.11a, 802.11b, 802.11g и 802.11n трафик. Инструментът може да работи под Linux, FreeBSD, NetBSD, OpenBSD и OS X. За съжаление има много ограничена поддръжка за Windows, главно защото само един безжичен мрежов адаптер за Windows поддържа режим на наблюдение.
Този безплатен софтуер се издава под Gnu GPL License. Той се различава от другите детектори за безжична мрежа по това, че работи пасивно. Софтуерът може да открие наличието както на безжични точки за достъп, така и на клиенти, без да изпраща пакети за регистриране. И също така ще ги асоциира един с друг. Освен това, Кисмет е най-широко използваният инструмент за безжично наблюдение с отворен код.
Кисмет също така включва основни функции за откриване на безжични прониквания и може да открие активни безжични програми за подслушване, както и редица атаки на безжична мрежа.
9 Никто
Никто е скенер за уеб сървър с отворен код. Той ще извърши обширен набор от тестове срещу уеб сървъри, като тества множество елементи, включително над 6700 потенциално опасни файла и програми. Инструментът ще провери за остарели версии на над 1250 сървъра и ще идентифицира специфични за версията проблеми на над 270 сървъра. Той може също да проверява елементи за конфигурация на сървъра, като например наличието на множество индексни файлове, опции за HTTP сървър и ще се опита да идентифицира инсталираните уеб сървъри и софтуер.
Никто е проектиран за скорост, а не за стелт. Той ще тества уеб сървър възможно най-бързо, но преминаването му ще се покаже в регистрационни файлове и ще бъде открито от системи за откриване и предотвратяване на проникване.
Никто е издаден под лиценза GNU GPL и може да бъде изтеглен безплатно от него Начало на GitHub.
10. OpenVAS
Отворената система за оценка на уязвимостите, или OpenVAS, е набор от инструменти, който предлага цялостно сканиране на уязвимости. Основната му рамка е част от решението за управление на уязвимостите на Greenbone Networks. Той е напълно безплатен и повечето от неговите компоненти са с отворен код, въпреки че някои са собственост. Продуктът има над петдесет хиляди теста за уязвимост на мрежата, които се актуализират редовно.
OpenVAS има два основни компонента. Първо, има скенер, който обработва действителното сканиране на целевите компютри. Другият компонент е мениджърът. Той контролира скенера, консолидира резултатите и ги съхранява в централна SQL база данни. Конфигурационните параметри на инструмента също се съхраняват в тази база данни. Допълнителен компонент се нарича база данни за тестове за мрежови уязвимости. Може да се актуализира или от таксата Greenborne Community Feed или Greenborne Security Feed. Последният е платен абонаментен сървър, докато каналът на общността е безплатен.
11. OSSEC
OSSEC, което означава Open Source SECurity, е базирана на хост система за откриване на проникване. За разлика от мрежовия IDS, този работи директно на хостовете, които защитава. Продуктът е собственост на Trend Micro, надеждно име в областта на ИТ сигурността.
Основният фокус на инструмента е лог и конфигурационни файлове на *nix хостове. В Windows той наблюдава регистъра за неоторизирани модификации и подозрителни дейности. Всеки път, когато се открие нещо странно, вие бързо получавате предупреждение или през конзолата на инструмента, или по имейл.
Основният недостатък на OSSEC– или всеки IDS, базиран на хост – трябва да бъде инсталиран на всеки компютър, който искате да защитите. За щастие този софтуер ще консолидира информация от всеки защитен компютър в централизирана конзола, което прави управлението му много по-лесно. OSSEC работи само на *nix. Въпреки това е наличен агент за защита на хостовете на Windows.
OSSEC също се разпространява под лиценза на GNU GPL и може да бъде изтеглен от него уебсайт.
12. Nexpose
Nexpose от Rapid7 е друг инструмент за управление на уязвимости с най-висок рейтинг. Това е скенер за уязвимости, който поддържа целия жизнен цикъл на управление на уязвимостите. Той ще се занимава с откриване, откриване, проверка, класификация на риска, анализ на въздействието, докладване и смекчаване. Взаимодействието с потребителя се управлява чрез уеб-базиран интерфейс.
По отношение на характеристиките, това е много пълен продукт. Някои от най-интересните му функции включват виртуално сканиране за VMware NSX и динамично откриване за Amazon AWS. Продуктът ще сканира повечето среди и може да мащабира до неограничен брой IP адреси. Добавете към това опциите му за бързо внедряване и имате печеливш продукт.
Продуктът се предлага в безплатно издание на общността с намален набор от функции. Има и комерсиални версии, които започват от $2000 на потребител на година. За изтегляния и повече информация посетете Начална страница на Nexpose.
13. GFI LanGuard
GFI Languard твърди, че е „Най-доброто решение за ИТ сигурност за бизнеса“. Това е инструмент, който може да ви помогне да сканирате мрежи за уязвимости, да автоматизирате корекцията и да постигнете съответствие. Софтуерът поддържа не само настолни и сървърни операционни системи, но и Android или iOS. GFI Languard извършва шестдесет хиляди теста за уязвимост и гарантира, че вашите устройства са актуализирани с най-новите корекции и актуализации.
Интуитивното табло за отчитане на GFI Languard е много добре направено, както и управлението му за актуализация на дефинициите на вируси, което работи с всички основни доставчици на антивирусни програми. Този инструмент не само ще коригира операционните системи, но и уеб браузърите и няколко други приложения на трети страни. Той също така има много мощен механизъм за уеб отчети и голяма мащабируемост. GFI Languard ще оцени уязвимостите в компютрите, но също и в широк спектър от мрежови устройства като комутатори, рутери, точки за достъп и принтери.
Структурата на цените за GFI Languard е доста сложна. Софтуерът се основава на абонамент и трябва да се подновява ежегодно. За потребители, които предпочитат да изпробват инструмента, преди да го купят, е налична безплатна пробна версия.
14. Ретина
В Скенер за мрежова сигурност на Retina от AboveTrust е друг от най-известните скенери за уязвимости. Това е напълно функционален продукт, който може да се използва за извършване на оценка на липсващи корекции, уязвимости от нулев ден, незащитена конфигурация и други уязвимости. Инструментът може да се похвали с интуитивен потребителски интерфейс. Освен това. потребителски профили, съответстващи на различни работни функции, опростяват работата на системата.
Скенерът Retina използва обширна база данни от мрежови уязвимости, проблеми с конфигурацията и липсващи пачове. Базата данни се актуализира автоматично и покрива широк спектър от операционни системи, устройства, приложения и виртуални среди. Пълният продукт на VMware среди на продукта включва онлайн и офлайн сканиране на виртуални изображения, сканиране на виртуални приложения и интеграция с vCenter.
Скенерът Retina се предлага само като абонамент на цена от $1 870/година за неограничен брой IP адреси. Може да се получи и безплатна 30-дневна пробна версия.