Quais são algumas ferramentas comuns para detecção de intrusão? [fechadas]

Question

Quais são algumas ferramentas comuns para detecção de intrusão? [fechadas]

#1 resposta do (12 votos)
#2 resposta do (8 votos)
#3 resposta do (6 votos)
#4 resposta do (6 votos)
#5 resposta do (3 votos)
#6 resposta do (2 votos)
#7 resposta do (1 votos)
#8 resposta do (0 votos)

17

Por favor, dê uma breve descrição de cada ferramenta.

networking security monitoring linux

por setzamora 19.08.2010 / 12:50

8 respostas

Tags networking security monitoring linux

Efeito das entradas em / etc / securetty Como alterar o UUID do sistema de arquivos (2 mesmo UUID)?

score 12 · Answer 1

Snort

De sua página sobre :

Originally released in 1998 by Sourcefire founder and CTO Martin Roesch, Snort is a free, open source network intrusion detection and prevention system capable of performing real-time traffic analysis and packet logging on IP networks. Initially called a “lightweight” intrusion detection technology, Snort has evolved into a mature, feature-rich IPS technology that has become the de facto standard in intrusion detection and prevention. With nearly 4 million downloads and approximately 300,000 registered users Snort, it is the most widely deployed intrusion prevention technology in the world.

score 8 · Answer 2

8

Por que você não confere o link

por 19.08.2010 / 17:23

score 6 · Answer 3

Tripwire

É um verificador de integridade de código-fonte aberto (embora exista uma versão de fonte fechada) que usa hashes para detectar modificações de arquivos deixadas por intrusos.

score 6 · Answer 4

O OpenBSD tem o mtree (8): link Ele verifica se algum arquivo foi alterado em uma determinada hierarquia de diretórios.

score 3 · Answer 5

O Logcheck é um utilitário simples projetado para permitir que um administrador do sistema visualize os arquivos de registro que são produzidos nos hosts sob seu controle.

Ele faz isso enviando resumos dos arquivos de log para eles, depois de filtrar entradas "normais". Entradas normais são entradas que correspondem a um dos muitos arquivos de expressão regular incluídos no banco de dados.

Você deve observar seus registros como parte de uma rotina de segurança saudável. Isso também ajudará a capturar muitas outras anomalias (hardware, auth, load ...).

score 2 · Answer 6

2

DenyHosts para o servidor SSH.

por 19.08.2010 / 17:26

score 1 · Answer 7

Para NIDS, Suricata e Bro são duas alternativas livres para cheirar.

Aqui está um artigo interessante discutindo todos os três: link

Tem que mencionar o OSSEC , que é um HIDS.

score 0 · Answer 8

O Second Look é um produto comercial que é uma ferramenta poderosa para a detecção de intrusões em sistemas Linux. Ele usa análise forense de memória para examinar o kernel e todos os processos em execução e compara-os com dados de referência (do fornecedor de distribuição ou software personalizado / de terceiros autorizado). Usando essa abordagem de verificação de integridade, ele detecta rootkits e backdoors de kernel, encadeamentos e bibliotecas injetados e outros malwares do Linux em execução nos seus sistemas, sem assinaturas ou outros conhecimentos a priori do malware.

Esta é uma abordagem complementar às ferramentas / técnicas mencionadas em outras respostas (por exemplo, verificações de integridade de arquivos com o Tripwire; detecção de intrusão baseada em rede com Snort, Bro ou Suricata; análise de log; etc.)

Aviso: Sou um desenvolvedor do Second Look.