Anos atrás, montamos uma solução IDS, colocando um toque na frente do nosso firewall externo, canalizando todo o tráfego em nosso DS1 através de uma caixa IDS e, em seguida, enviando os resultados para um servidor de registro executando ACiD. Isso foi em torno de 2005-ish. Foi-me pedido para reformular a solução e expandi-la. Olhando em volta, vejo que o último lançamento do ACiD foi de 2003 e não consigo encontrar nada que pareça remotamente atualizado. Embora essas coisas possam ser características completas, eu me preocupo com conflitos de bibliotecas, etc. Alguém pode me dar sugestões para uma solução baseada em Linux / OpenBSD usando ferramentas um tanto modernas?
Só para ficar claro, eu sei que o Snort ainda está ativamente desenvolvido. Eu acho que estou mais no mercado para um console da web de código aberto moderno para consolidar os dados. É claro que se as pessoas tiverem ótimas experiências com a IDS, com exceção da Snort, ficarei feliz em saber disso.
Acho que as melhores combinações de código aberto são:
Para NIDS: Snort com BASE para a web ui
Para HIDS: OSSEC
Eu também uso o OSSEC para consolidar os dados do NIDS em um único lugar (como um SIEM OSSEC faz análise de logs, verificação de integridade de arquivos e detecção de rootkits).
OSSIM.
O OSSIM consolida todo esse tipo de coisa. OSSEC, Snort, etc.
Código aberto & Grátis.
O OSSIM possui os seguintes componentes de software:
Arpwatch - usado para detecção de anomalia MAC.
P0f - usado para detecção passiva de SO e análise de alteração de SO.
Pads - usados para detecção de anomalias de serviço.
Nessus - usado para avaliação de vulnerabilidade e para correlação cruzada (IDS vs Security Scanner).
Snort - o IDS, também usado para correlação cruzada com o nessus.
Spade - o mecanismo de detecção de anomalias de pacotes estatísticos. Usado para obter conhecimento sobre ataques sem assinaturas.
Tcptrack - usado para informações de dados de sessão que podem ser úteis para correlação de ataques.
Ntop - que cria um impressionante banco de dados de informações de rede, a partir do qual podemos identificar a detecção anormal de comportamento / anomalia.
Nagios - alimentado a partir do banco de dados de ativos do host, monitora as informações de disponibilidade de hosts e serviços.
Osiris - um ótimo HIDS.
OCS-NG - solução de inventário entre plataformas.
OSSEC - integridade, rootkit, detecção de registro e muito mais.
-Josh
Você pode usar uma solução gratuita e de código aberto com base no link do Prelude-IDS
O Prelude IDS é um sistema SIM (Security Information Management) / Estrutura do IDS.
O Snort pode ser usado como NIDS
Prelúdio LML como HIDS: conjuntos de regras para SSH, Cisco PIX, IPFW do Netfilter, Postfix, Sendmail ...
Prewikka is é a interface oficial do usuário do Prelude: GUI da Web baseada em Python = > link