Detecção de natureza de intrusos por ferramentas opensource como o tripwire

0

Eu quero usar diferentes tipos de ferramentas de detecção de intrusões como o OpenSource Tripwire. Por favor, sugiram-me algumas ferramentas que podem me fornecer algumas informações adicionais àquelas fornecidas pelo tripwire? Em segundo lugar, como posso obter endereços IP de todos os clientes do meu servidor? Em terceiro lugar, posso mesclar registros criados por todas essas ferramentas?

    
por Mohit Sehgal 19.11.2012 / 17:46

1 resposta

1

Primeiro, uma generalidade: os timestamps são cruciais. Use o NTP para sincronizar o relógio do sistema, certifique-se de que o relógio não esteja oscilando em todo o lugar. Depois disso, você pode passar para o básico.

Eu sugeriria executar o p0f de Michal Zalewski e registrar seus palpites sobre as solicitações TCP de entrada. Estou usando versão 2 , mas o Zalewski tem um ersion 3 out.

O CERT na Carnegie Mellon tem um arquivo de impressão digital p0f v2.x amplamente atualizado .

Você pode executar p0f v2.x em segundo plano com uma invocação como esta:

p0f -f $FPRINTS -d -t -l -o $LOGFILE

$FPRINTS nomeia o arquivo de impressões digitais e $LOGFILE nomeia o arquivo no qual a saída é finalizada.

p0f lhe dará uma boa idéia sobre qual sistema operacional o atacante usa. Você terá que coordenar p0f com quaisquer outros dados coletados.

Uma alternativa: SinFP3 . Eu achei um pouco difícil de instalar, pois tinha algumas dependências de módulo Perl não padrão.

    
por 19.11.2012 / 20:05