Eu tenho visto o monitoramento por um tempo. Minha org não tinha qualquer antes eu vim diferente de 'whered meu yahoo ir'. Parece que a maioria dos pacotes por aí se concentra no monitoramento negativo (ou seja, este serviço / host estava ativo e agora não está). Este parece ser um primeiro passo válido, mas o que você pode ver no passado para um monitoramento positivo (ou seja, que a porta não estava ativa, e agora está, ou olha, isso é um novo host DHCP)? Eu suponho que é possível ter uma declaração para cada endereço de porta / rede único no nagios, mas isso parece complicado.
Alguém sabe de uma ferramenta melhor para monitorar portas / hosts para baixo afirmativamente?
Nós usamos o nmap para isso. Temos um script simples que envolve o nmap, que verifica toda a nossa rede e armazena a saída XML. Na noite seguinte, ele é executado novamente e compara a saída. Se qualquer novo host ou porta aparecer, um email será enviado para a equipe administrativa.
O recém-lançado Nmap 5.0 inclui um utilitário para esse propósito chamado Ndiff .
Para hosts que você conhece, o Nagios / Zenoss / OpenNMS é sua melhor aposta - eles podem ser configurados para notificar quando os hosts e / ou serviços forem desativados ou voltarem a funcionar. Eles são na maioria inteligentes o suficiente para não começar a alertar sobre TODOS os serviços em um host se o host em si também estiver desligado; é importante configurar esses tipos de coisas corretamente, para que você não seja inundado com 20 alertas devido a uma reinicialização do servidor. Se houver muita informação sobre coisas triviais, mais cedo ou mais tarde você acabará ignorando-a e deixando de perceber algo importante.
Para a segunda metade da sua pergunta, Catherine está certa; você está olhando para um sistema de detecção de intrusão (IDS). Eles podem ser configurados para saber como sua rede deve se parecer em termos de hosts, topologia, tipos de tráfego e assim por diante, e alertá-lo se algo diferente do que você definiu como "normal" acontecer. Alguns exemplos seriam Snort e OSSEC .
O que você está procurando não está realmente monitorando tanto quanto é segurança. Não sou especialista em segurança, mas existem várias ferramentas de digitalização em rede que podem ser "ensinadas" sobre o que esperar e, em seguida, informam se algo está fora do comum.
Para suas perguntas específicas, eu usaria algo como arpwatch para observar alterações nos endereços ARP e portsentry para observar se alguém está tentando se conectar a portas não utilizadas. Você também pode usar outras ferramentas.
Essas ferramentas podem ser integradas em uma verificação ativa ou passiva para o Nagios.
Nagios inclui uma ampla variedade de plug-ins e módulos para monitoramento ativo / intrusivo e monitoramento passivo. Deve incluir tudo que você precisa!