Netzwerksicherheit ist in den letzten Jahren zu einer sehr komplizierten Aufgabe geworden. Dies ist auf das Aufkommen von Phishing, Advanced Persistent Threats, Doxing und Masquerading zurückzuführen. Diese Tricks bedeuten, dass es den Mitarbeitern jetzt schwer fällt, zu erkennen, ob die Anweisungen, die sie von der entfernten Geschäftsleitung erhalten, echt sind. In dieser Art von Umgebung gehen die traditionellen Grenzen der Netzwerksicherheit über das Verhindern von Schnüffeln im Internet und das Blockieren von Viren durch Firewalls hinaus. Sie müssen jetzt auch Verhaltensmuster im Verkehr analysieren und anomale Aktivitäten erkennen, selbst wenn sie von autorisierten Benutzern ausgeführt werden.
Traditionell verfügte die IT-Abteilung über Administratorrechte, die jedem Support-Mitarbeiter Zugriff auf alle Elemente des Unternehmenssystems gewährten. Die Risiken der Datenpreisgabe sind jetzt höher. Selbst unbeabsichtigte Verstöße gegen die Vertraulichkeit können zu teuren Rechtsstreitigkeiten mit Personen führen, deren personenbezogene Daten auf Ihrem System gespeichert sind. Diese neue Umgebung erfordert, dass Sie Zugriffsrechte verschärfen und alle Aktivitäten verfolgen, um böswillige Aktivitäten und versehentliche Zerstörung zu verhindern und zu protokollieren.
Glücklicherweise verfügen moderne Netzwerkgeräte über integrierte Messaging-Systeme, und Sie können diese Informationsquellen nutzen, indem Sie einfach Kollektor-Agenten und Analysesoftware installieren. Der Netzwerksicherheitsmarkt bietet mehrere Kategorien von Monitoren, die Ihnen helfen, Ihr Unternehmen vor Datendiebstahl und anderen böswilligen Aktivitäten zu schützen.
In diesem Handbuch werden wir uns die folgenden Kategorien von Netzwerkverwaltungssoftware ansehen:
Verkehrsanalysatoren
Protokollmanager
Schwachstellen-Scanner
Konfigurationsmanager
Netzwerkmonitore
Intrusion-Detection- und Intrusion-Prevention-Systeme
Hier ist unsere Liste der besten Netzwerksicherheitssoftware:
SolarWinds Network Performance Monitor
WhatsUp-Gold
TrueSight-Netzwerkautomatisierung / Verwaltung von Netzwerkschwachstellen
OSSEC
Sagan
Paessler PRTG
Weitere Einzelheiten zu jeder dieser Optionen finden Sie im nächsten Abschnitt dieses Handbuchs.
Inhaltsverzeichnis
Optionen der Netzwerksicherheitssoftware
Die Empfehlungen in dieser Liste umfassen eine Reihe umfassender Netzwerkverwaltungstools, die als allgemeine Überwachung der Netzwerkleistung dienen und speziell Sicherheitsprobleme für Sie verfolgen. Die drei wichtigsten Tools in der Liste sind SolarWinds Network Performance Monitor, WhatsUp Gold und Paessler PRTG. Jedes dieser Pakete kann um zahlreiche Zusatzfunktionen erweitert werden. Die Architektur dieser Tools ermöglicht es Ihnen auch, ihre Funktionalität zu beschränken, um sich auf nur eine Aufgabe zu konzentrieren, wie z. B. die Sicherheitsüberwachung. OSSEC und Sagan sind hoch angesehene spezialisierte Intrusion Detection-Systeme und das TrueSight-Paket enthält eine schöne Mischung aus Netzwerkschutzfunktionen.
Diese Liste enthält Optionen, die für kleine, mittlere und große Netzwerke geeignet sind.
1. SolarWinds Network Performance Manager (KOSTENLOSE TESTVERSION)
Der Network Performance Manager ist das wichtigste Tool von SolarWinds. Es verfolgt den Zustand von Netzwerkgeräten durch die Verwendung von Simple Network Management Protocol Messaging. Alle Netzwerkgeräte werden mit SNMP-Funktionen geliefert, sodass Sie nur einen SNMP-Manager wie dieses SolarWinds-Tool installieren müssen, um von den Informationen zu profitieren, die SNMP bereitstellt.
Laden Sie eine kostenlose Testversion herunter unter https://www.solarwinds.com/network-performance-monitor/
Das Tool enthält ein Autodiscovery- und Mapping-Tool, das eine Bestandsaufnahme Ihrer Netzwerkgeräte erstellt. Die Erkennungsfunktion wird kontinuierlich ausgeführt und erkennt neue Geräte, die dem Netzwerk hinzugefügt werden. Dies ist ein nützlicher Assistent für die Angriffserkennung, da Hardware-Invasionen eine Form des Eindringens sind. Die Deep-Packet-Inspection-Funktionen des Network Performance Monitor helfen Ihnen auch dabei, Ihr Netzwerk zu schützen, indem sie anomales Verhalten in Verkehrsmustern und Benutzeraktivitäten hervorheben und verfolgen.
SolarWinds bietet eine Reihe anderer Netzwerkverwaltungstools an, die die Fähigkeiten des Network Performance Monitor in Bezug auf die Sicherheitsüberwachung verbessern. Ein NetFlow Traffic Analyzer untersucht den Verkehrsfluss in Ihrem Netzwerk und umfasst Sicherheitsüberwachungsfunktionen. Dazu gehört die Verfolgung von fehlerhaftem und potenziell bösartigem Datenverkehr zum Netzwerkport 0. Zusätzlich zu diesen Überwachungsfunktionen helfen Ihnen die Verkehrsvisualisierungen und Anomaliewarnungen, ungewöhnliche Aktivitäten zu erkennen.
Das Dashboard dieses Tools enthält einige großartige Visualisierungen von Live-Daten und ist auch in der Lage, Paketdaten für historische Analysen zu speichern. Das Tool verfügt über eine Reihe von Optionen für die Paketerfassung, darunter Stichprobenverfahren, die die Datenmenge reduzieren, die Sie für die Analyse speichern müssen. Wenn Sie nicht über das Budget für den SolarWinds Network Performance Monitor und den NetFlow Traffic Analyzer verfügen, können Sie den kostenlosen Echtzeit-Bandbreitenmonitor ausprobieren. Dieses Tool hat jedoch nicht viele Funktionen und wäre nur für kleine Netzwerke geeignet.
Sie erhalten bessere Einblicke in die Benutzeraktivitäten, wenn Sie den User Device Tracker hinzufügen. Auf diese Weise können Sie die Benutzeraktivität verfolgen und auch Switch-Port-Ereignisse im Auge behalten, einschließlich Versuchen von Hackern, Ports zu scannen. Das Tool kann auch Ports schließen und Benutzer im Falle einer Intrusion Detection selektiv blockieren.
Zusätzliche Funktionen des SolarWinds-Stalls können dem Monitor hinzugefügt werden, da das Unternehmen eine gemeinsame Plattform für alle seine wichtigen Tools geschaffen hat, die den Datenaustausch und interdisziplinäre Module ermöglicht. Der Network Configuration Manager wäre eine gute Wahl für Sicherheitsprobleme, da er die Einstellungen Ihrer Netzwerkgeräte steuert. Es wird auch nach Firmware-Updates suchen und diese für Sie installieren – Betriebssysteme und sämtliche Software auf dem neuesten Stand zu halten, ist eine wichtige Sicherheitsaufgabe von IT-Systemen.
SolarWinds bietet eine Reihe kostenloser Tools, mit denen Sie die Sicherheit Ihres Netzwerks kontrollieren können. Dazu gehören die Solar-Kitt Paket. Dies ist nicht nur ein sicherer Terminalemulator, mit dem Sie sicher auf entfernte Server zugreifen können. Es enthält auch eine SFTP-Implementierung, die Sie zum Sichern und Verteilen von Gerätekonfigurationsabbildern verwenden können. Dies wäre eine günstige Alternative zum Network Configuration Manager, wenn Sie ein kleines Netzwerk und ein sehr knappes Budget haben.
Der Kiwi-Syslog-Server ist ein weiteres nützliches SolarWinds-Sicherheitstool, das kleine Organisationen kostenlos nutzen können. Sie müssen für dieses Tool nicht bezahlen, wenn Sie nur bis zu fünf Geräte überwachen. Das Tool eignet sich auch für größere Netzwerke, dafür müssen Sie aber bezahlen. Der Protokollmanager sammelt und speichert auch SNMP-Meldungen, und Sie können Warnungen für die Menge der Meldungstypen festlegen. Dies ist eine sehr nützliche Funktion, wenn Sie keinen SNMP-basierten Netzwerkmanager haben. Die Warnungen heben Volumenangriffe und Brute-Force-Passwort-Cracking-Versuche hervor. Ungewöhnliche Verkehrsspitzen und verdächtige Benutzeraktivitäten können ebenfalls von diesem Protokollverwaltungstool erkannt werden.
2. WhatsUp-Gold
WhatsUp Gold ist ein Herausforderer des SolarWinds Network Performance Monitor. Es wird von Ipswitch hergestellt, das auch eine Reihe von Zusatzmodulen anbietet, die die Sicherheitsüberwachungsfunktionen von WhatsUp Gold verbessern. Dieser Netzwerkmonitor hebt ungewöhnliches Verhalten hervor, indem er Switches und Router mit dem SNMP-Messaging-System überwacht. Schließlich können Sie mit der Konsole Ihre eigenen benutzerdefinierten Warnungen einrichten, die Sie vor Verkehrsspitzen und unlogischen Benutzeraktivitäten warnen.
Warnungen werden im Dashboard des Systems angezeigt und Sie können auch festlegen, dass sie als E-Mail- oder SMS-Benachrichtigungen gesendet werden. Es ist möglich, je nach Nachrichtenquelle und Schweregrad unterschiedliche Benachrichtigungen an verschiedene Teammitglieder zu richten. Ein kostenloses Begleittool, WhatsUp-Syslog-Server erweitert die Informationen, die Sie aus Systemmeldungen erhalten können, und erstellt auch benutzerdefinierte Warnungen. Syslog-Meldungen können in der Konsole angezeigt, an andere Anwendungen weitergeleitet und in Dateien gespeichert werden. Der Server verwaltet Ihre Syslog-Dateien in einem logischen Verzeichnisbaum, um das Abrufen bestimmter Nachrichten zu erleichtern. Archivierte Nachrichten können zur Analyse wieder in das Dashboard eingelesen werden. Darüber hinaus ermöglicht Ihnen die Benutzeroberfläche das Sortieren und Filtern von Nachrichten, sodass Sie Verhaltensmuster identifizieren und zusätzlich anomales Verhalten erkennen können.
WhatsUp Gold wird von einer Reihe kostenpflichtiger Erweiterungen begleitet, die Ihre Sicherheitsüberwachung verbessern. Sie sollten erwägen, das hinzuzufügen Verwaltung des Netzwerkverkehrs Modul zum Abrufen von Datenflussinformationen in Ihrem Netzwerk. Das Hauptpaket von WhatsUp Gold konzentriert sich auf den Status von Geräten, und das Traffic Management-Modul sammelt Informationen zum Datenfluss. Das Modul enthält Traffic-Tagging-Funktionen für QoS-Implementierungen. Es kann die Berichterstattung über das Verkehrsvolumen nach Quell- und Zielgerät, Quell- und Zielland und -domäne, Konversation, Anwendung, Protokoll oder Portnummer aufteilen. Dieses Detail hilft Ihnen, ungewöhnliche Aktivitäten zu verfolgen, und Sie können sogar bestimmte Anwendungen blockieren, z. B. Dateiübertragungsprogramme im Notfall.
Der Netzwerkkonfigurationsverwaltung -Modul hilft Ihnen, alle Änderungen an den Einstellungen Ihrer Netzwerkgeräte zu kontrollieren. Unbefugte Änderungen an Geräteeinstellungen sind oft ein Vorbote für Eindringlinge und Advanced Persistent Threats. Dies liegt daran, dass Hacker Ports öffnen und dann Berichtsfunktionen blockieren können, die auf unbefugte Aktivitäten hinweisen würden. Sie müssen eine Richtlinie für jeden Gerätetyp, jede Marke und jedes Modell erstellen und ein Standardeinstellungsprofil für jede Gruppe erstellen. Mit dem WhatsUp Network Configuration Management-Add-on können Sie diese Standardkonfigurations-Images verteilen, Sicherungskopien von genehmigten Konfigurationen erstellen und schließlich zu diesen Standardeinstellungen zurückkehren, falls Konfigurationsänderungen erkannt werden.
Auf die kostenpflichtigen WhatsUp Gold-Tools kann 30 Tage lang kostenlos zugegriffen werden. Die gesamte WhatsUp Gold-Software wird in der Windows-Umgebung installiert.
3. TrueSight-Netzwerkautomatisierung / Verwaltung von Netzwerkschwachstellen
Diese beiden Produkte von BMC Software bilden zusammen ein wirklich umfassendes Sicherheits-Toolkit. Das Netzwerkautomatisierungstool überwacht Ihr Netzwerk, nachdem es zuerst alle Ihre Geräte entdeckt, protokolliert und zugeordnet hat. Das Konfigurationsmanagement-Modul des Netzwerkautomatisierungspakets ist das wirklich beeindruckende Merkmal dieses Netzwerküberwachungssystems. Es integriert Vorlagen oder „Richtlinien“, die Sicherheitsstandards automatisch implementieren. Für jeden der bekannten Standards gibt es eine Richtlinie: NIST, HIPAA, PCI, CIS, DISA, SOX und SCAP. Wenn Sie sich also verpflichtet haben, eines dieser Datenintegritätssysteme einzuhalten, wird das Network Automation Tool es sogar für Sie durchsetzen.
Der Konfigurationsmanager in TrueSight Network Automation passt die Konfiguration jedes Netzwerkgeräts so an, dass es der ausgewählten Richtlinie entspricht. Anschließend wird diese Konfiguration gesichert und auf Änderungen in den Geräteeinstellungen überwacht. Wenn Änderungen vorgenommen werden, die dazu führen, dass das Gerät nicht mehr mit der Richtlinie übereinstimmt, lädt der Konfigurationsmanager die gesicherte Konfigurationsdatei neu. Diese Aktion hat den Effekt, dass diese nicht autorisierten Änderungen gelöscht werden. Das Network Automation-System ist auch ein Patch-Manager. Es wird mit den Benachrichtigungssystemen der Gerätehersteller für Patches und Firmware-Updates in Kontakt bleiben. Sobald ein Patch verfügbar ist, benachrichtigt Sie das Tool und führt diese Updates sogar auf Ihren Netzwerkgeräten aus.
Das Dienstprogramm Network Vulnerability Management scannt alle Geräte auf Schwachstellen. Das System stützt sich auf Überprüfungen mit Anbieterbenachrichtigungen und der NIST National Vulnerability Database, um bekannte Schwachstellen in den von Ihnen betriebenen Netzwerkgeräten und Servern zu protokollieren. Schließlich aktualisiert das Tool die Software, um Exploits zu blockieren und die Leistung von Geräten und Servern im Auge zu behalten.
4. OSSEC
OSSEC steht für Open Source HIDS Security. Ein HIDS-System ist ein Host-basiertes Intrusion Detection System. Intrusion Detection ist zu einer wesentlichen Spezialisierung in der Welt der Netzwerksicherheit geworden, und Sie müssen wirklich ein IDS als Teil Ihrer Sicherheitssuite installieren.
Die beiden großartigen Attribute von OSSEC sind, dass es das führende verfügbare HIDS ist und völlig kostenlos zu verwenden ist. Das Produkt gehört dem bekannten Hersteller von Sicherheitssoftware, Trend Micro, und wird von diesem unterstützt. HIDS-Methoden beruhen auf der Verwaltung von Protokolldateien. Die korrekte Abfrage Ihrer Protokolldateien sollte Aktionen von Hackern aufdecken, die Ihr System erkunden und Daten und Ressourcen stehlen. Aus diesem Grund ändern Hacker immer Protokolldateien. OSSEC erstellt für jede Protokolldatei eine Prüfsumme, die es ermöglicht, Manipulationen zu erkennen. Das Tool überwacht Protokolldateien, die Dateiübertragungen, Firewall- und Antivirenaktivitäten, Ereignisprotokolle sowie Mail- und Webserverprotokolle aufzeichnen. Sie müssen Richtlinien einrichten, die die Aktionen des Dienstprogramms vorschreiben. Diese Richtlinien können intern geschrieben oder sogar von der OSSEC-Community erworben werden. Die Richtlinie schreibt die Bedingungen vor, die OSSEC überwachen soll, und generiert eine Warnung, wenn eines der überwachten Protokolle nicht autorisierte Aktivitäten anzeigt. Diese Warnungen können an die Benutzeroberfläche oder als E-Mail-Benachrichtigungen gesendet werden.
Wenn Sie das System unter Windows installieren, überwacht es die Registrierung auf nicht autorisierte Änderungen. Auf Unix-ähnlichen Systemen verfolgt es den Zugriff auf das Root-Konto. OSSEC läuft unter Windows, Linux, Mac OS und Unix.
OSSEC ist ein großartiges Datenerfassungstool, aber sein Frontend ist ein separates Produkt und wird tatsächlich nicht mehr unterstützt. Da dieses HIDS so angesehen ist, haben eine Reihe von Softwareanbietern Schnittstellen geschaffen, die mit den OSSEC-Datenformaten kompatibel sind. Viele davon sind kostenlos. Sie würden also OSSEC plus ein Frontend aus einer anderen Quelle für die Datenanzeige und -analyse installieren. Kasse Kibana oder Splunk für diese Funktion.
5. Sagan
Sagan ist ein kostenloser Protokolldateimanager. Es hat viele Funktionen, die es zu einem guten hostbasierten Intrusion Detection System machen. Sagan ist auch in der Lage, Daten zu analysieren, die von netzwerkbasierten Intrusion Detection-Systemen gesammelt wurden. Ein NIDS sammelt Verkehrsdaten über einen Paketschnüffler. Sagan hat keinen Packet-Sniffer, kann aber die gesammelten Verkehrsdaten einlesen Schnauben, Bruderund Surikata – die alle kostenlos genutzt werden können. Mit Sagan erhalten Sie also eine Mischung aus HIDS- und NIDS-Sicherheitsaktivitäten.
Sie können Sagan unter Unix, Linux und Mac OS installieren. Leider gibt es keine Version für Windows. Obwohl es nicht auf Computer zugreifen kann, die das Windows-Betriebssystem verwenden, kann es Windows-Ereignisprotokollmeldungen verarbeiten. Die Verarbeitungsmethoden von Sagan verteilen seine Last auf mehrere Server oder andere Geräte in Ihrem Netzwerk, die über einen Prozessor verfügen. Dies verringert die Verarbeitungslast für jedes Ausrüstungsteil.
Das Tool enthält Funktionen, die es zu einem Intrusion Prevention System (IPS) machen. Sobald Sagan ein anomales Verhalten erkennt, kann es in Ihre Firewall-Tabellen schreiben, um bestimmte IP-Adressen entweder dauerhaft oder vorübergehend aus dem Netzwerk zu verbannen. Dies ist ein großartiger Assistent für die Netzwerksicherheit, da es IP-Verbote automatisch implementiert und das System für echte Benutzer verfügbar hält. Sagan generiert gleichzeitig eine Warnung, um Sie über das Eindringen zu informieren. Die Präventionsmaßnahmen müssen nicht implementiert werden, wenn Sie Sagan nur als IDS verwenden möchten.
Für Berichtszwecke hat Sagan eine nette Funktion, die verdächtige IP-Adressen zu ihrem Standort zurückverfolgt. Dies kann ein sehr nützliches Werkzeug sein, um Hacker zu verfolgen, die ihre Angriffe über mehrere verschiedene Adressen durchlaufen, um zu versuchen, der Erkennung zu entgehen. Sagan ermöglicht es Ihnen, die Netzwerkaktivität nach Standort der Quell-IP-Adresse zu aggregieren und so alle Aktionen eines Schurken mit mehreren Adressen zu vereinen.
6. Paessler PRTG
Paessler PRTG ist ein sehr großes Überwachungssystem, das durch eine Reihe von Sensoren implementiert wird. Jeder Sensor überwacht ein Attribut eines Netzwerks. Sie können den Umfang des Überwachungstools reduzieren, um sich nur auf einen Aspekt Ihrer Infrastruktur zu konzentrieren, indem Sie die Sensoren aktivieren, die Sie auswählen. Das gesamte System überwacht Netzwerkgeräte, Netzwerkverkehr, Anwendungen und Server. Paessler hat dies zu einem reinen Überwachungstool gemacht, es hat also keine Verwaltungsfunktionen, wie z. B. Konfigurationsmanagement.
Einer der Sensoren in PRTG ist der Syslog-Empfänger. Dieser sammelt Syslog-Meldungen und fügt sie in eine Datenbank ein. Sobald diese Nachrichten gespeichert wurden, können sie sortiert, in Dateien geschrieben oder sogar als auslösende Ereignisse bewertet werden, denen automatisierte Aktionen zugeordnet werden können.
Zu den Sicherheitsüberwachungsfunktionen von PRTG gehört eine Deep Packet Inspection-Funktion, die als „Packet Sniffer Sensor“ bezeichnet wird. Dadurch werden die Pakete Ihres Netzwerkverkehrs abgetastet und in einer Datei gespeichert. Sobald Sie genügend Daten erfasst haben, können Sie den Datenverkehr im PRTG-Dashboard analysieren. Diese Funktion ermöglicht es Ihnen, den Web-, E-Mail- und Dateiübertragungsverkehr mit diesem Tool gezielt zu steuern, sodass es eine gute Hilfe bei der Überwachung der Benutzeraktivitäten und auch beim Schutz eines Webservers vor Angriffen darstellt. Der Firewall-Monitor verfolgt Angriffsereignisse und benachrichtigt Sie durch Warnungen darüber. Das Tool wird außerdem regelmäßig bei Ihrem Firewall-Anbieter nach Updates und Patches für die Software suchen, diese herunterladen und für Sie installieren. Dadurch wird sichergestellt, dass Sie über die neuesten Abhilfemaßnahmen für neu entdeckte Sicherheitslücken verfügen.
Das PRTG-System wird unter Windows installiert. Alternativ können Sie auch online auf den Service zugreifen. In jedem Fall können Sie es kostenlos nutzen, wenn Sie nur bis zu 100 Sensoren aktivieren. Sie können auch eine kostenlose 30-Testversion von Paessler PRTG mit unbegrenzten Sensoren erhalten.
Netzwerksicherheitstools
Es gibt viele verschiedene Arten von spezialisierten Netzwerksicherheitstools, und Sie müssen mehrere installieren, um die Daten und Ressourcen Ihres Unternehmens vor Diebstahl, Beschädigung und Ausbeutung zu schützen.
Sie werden anhand der Erläuterungen zu Software in unserer Liste der empfohlenen Tools feststellen, dass viele von ihnen kostenlos sind. Die kostenpflichtigen Tools haben oft eine kostenlose Version oder Testzeiträume, sodass Sie nichts verlieren, wenn Sie jedes von ihnen ausprobieren.
Einige dieser Tools funktionieren unter Windows und andere unter Linux und Unix. Wenn Sie also nur ein Betriebssystem auf den Hosts in Ihrem Unternehmen haben, wird die Auswahl des Sicherheitstools für Sie eingegrenzt. Die Größe Ihres Netzwerks ist ein weiterer Einflussfaktor, der Sie bei der Auswahl eines bestimmten Tools anleiten wird.
Haben Sie ein bevorzugtes Netzwerksicherheitstool? Haben Sie eine der Software in unserer Liste ausprobiert? Hinterlassen Sie eine Nachricht im Kommentarbereich unten, um Ihre Erfahrungen mit der Community zu teilen.