ti-enxame.com

Quais são algumas ferramentas comuns para detecção de intrusão?

Dê uma breve descrição de cada ferramenta.

19
setzamora

Snort

De sua página sobre :

Lançado originalmente em 1998 pelo fundador da Sourcefire e CTO Martin Roesch, o Snort é um sistema de detecção e prevenção de intrusão de rede de código aberto gratuito, capaz de realizar análise de tráfego em tempo real e registro de pacotes em redes IP. Inicialmente chamado de tecnologia de detecção de intrusão “leve”, o Snort evoluiu para uma tecnologia madura e rica em recursos IPS tecnologia que se tornou o padrão de fato em detecção e prevenção de intrusão. Com quase 4 milhões de downloads e aproximadamente 300.000 usuários registrados Snort, é a tecnologia de prevenção de intrusão mais amplamente implantada no mundo.

12
Cristi

Por que você não verifica http://sectools.org/

9
jocape

Tripwire

É um verificador de integridade de código aberto (embora haja uma versão de código fechado) que usa hashes para detectar modificações de arquivo deixadas por intrusos.

7
pjz

O OpenBSD possui mtree (8): http://www.openbsd.org/cgi-bin/man.cgi?query=mtree Ele verifica se algum arquivo foi alterado em uma determinada hierarquia de diretório.

6
cannedprimates

Logcheck é um utilitário simples que é projetado para permitir que um administrador de sistema visualize os arquivos de log que são produzidos em hosts sob seu controle.

Ele faz isso enviando resumos dos arquivos de log para eles, depois de filtrar as entradas "normais". As entradas normais são entradas que correspondem a um dos muitos arquivos de expressão regular incluídos no banco de dados.

Você deve observar seus registros como parte de uma rotina de segurança saudável. Ele também ajudará a detectar muitas outras anomalias (hardware, autenticação, carga ...).

4
XTL

DenyHosts para o servidor SSH.

3
grokus

Para NIDS, Suricata e Bro são duas alternativas gratuitas para cheirar.

Aqui está um artigo interessante discutindo todos os três:
http://blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/

Tenho que mencionar OSSEC , que é um HIDS.

2
3molo

Second Look é um produto comercial que é uma ferramenta poderosa para detecção de intrusão em sistemas Linux. Ele usa análise forense de memória para examinar o kernel e todos os processos em execução e os compara com dados de referência (do fornecedor de distribuição ou software autorizado/de terceiros). Usando essa abordagem de verificação de integridade, ele detecta rootkits e backdoors de kernel, threads e bibliotecas injetadas e outro malware Linux em execução em seus sistemas, sem assinaturas ou outro conhecimento a priori do malware.

Esta é uma abordagem complementar às ferramentas/técnicas mencionadas em outras respostas (por exemplo, verificações de integridade de arquivo com Tripwire; detecção de intrusão baseada em rede com Snort, Bro ou Suricata; análise de log; etc.)

Isenção de responsabilidade: eu sou um desenvolvedor do Second Look.

1
Andrew Tappert