Quali sono alcuni strumenti comuni per il rilevamento delle intrusioni? [chiuso]

18

Chiuso . Questa domanda è basata sull'opinione . Al momento non accetta risposte.

Vuoi migliorare questa domanda? Aggiorna la domanda in modo che possa essere risolta con fatti e citazioni modificando questo post .

Chiuso 5 anni fa .

Fornire una breve descrizione per ogni strumento.

— setzamora
fonte

12

sbuffo

Dalla loro pagina di informazioni :

Pubblicato originariamente nel 1998 dal fondatore e CTO Martin Roesch di Sourcefire, Snort è un sistema gratuito di rilevamento e prevenzione delle intrusioni di rete open source in grado di eseguire analisi del traffico in tempo reale e registrazione dei pacchetti su reti IP. Inizialmente chiamata tecnologia di rilevamento delle intrusioni "leggera", Snort si è evoluta in una tecnologia IPS matura e ricca di funzionalità che è diventata di fatto lo standard nel rilevamento e nella prevenzione delle intrusioni. Con quasi 4 milioni di download e circa 300.000 utenti registrati Snort, è la tecnologia di prevenzione delle intrusioni più diffusa al mondo.

— Cristi
fonte

2

Quella è una copia dell'annuncio?

— gvkv,

9

Perché non controlli http://sectools.org/

— jocape
fonte

7

Tripwire

È un controllo di integrità open source (anche se esiste una versione chiusa) che utilizza gli hash per rilevare le modifiche ai file lasciate dagli intrusi.

— pjz
fonte

6

OpenBSD ha mtree (8): http://www.openbsd.org/cgi-bin/man.cgi?query=mtree Verifica se qualche file è cambiato in una determinata gerarchia di directory.

— cannedprimates
fonte

4

Logcheck è una semplice utility progettata per consentire a un amministratore di sistema di visualizzare i file di registro prodotti su host sotto il loro controllo.

Lo fa inviando loro i riassunti dei file di registro, dopo aver prima filtrato le voci "normali". Le voci normali sono voci che corrispondono a uno dei molti file di espressioni regolari inclusi nel database.

Dovresti guardare i tuoi registri come parte di una sana routine di sicurezza. Aiuterà anche a intrappolare molte altre anomalie (hardware, auth, load ...).

— XTL
fonte

3

DenyHosts per server SSH.

— grokus
fonte

2

Per NIDS, Suricata e Bro sono due alternative gratuite per sbuffare.

Ecco un articolo interessante che ne discute tutti e tre:
http://blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/

Devo menzionare OSSEC , che è un HIDS.

— 3molo
fonte

1

Second Look è un prodotto commerciale che è un potente strumento per il rilevamento delle intrusioni sui sistemi Linux. Utilizza le analisi forensi della memoria per esaminare il kernel e tutti i processi in esecuzione e li confronta con i dati di riferimento (dal fornitore della distribuzione o da software personalizzato / di terze parti autorizzato). Utilizzando questo approccio di verifica dell'integrità, rileva rootkit e backdoor del kernel, thread e librerie iniettati e altri malware Linux in esecuzione sui sistemi, senza firme o altre conoscenze a priori del malware.

Questo è un approccio complementare agli strumenti / tecniche menzionati in altre risposte (ad es. Controlli di integrità dei file con Tripwire; rilevamento delle intrusioni basato sulla rete con Snort, Bro o Suricata; analisi dei log; ecc.)

Disclaimer: sono uno sviluppatore di Second Look.

— Andrew Tappert
fonte