it-swarm-es.tech

¿Cuáles son algunas herramientas comunes para la detección de intrusos?

Proporcione una breve descripción de cada herramienta.

19
setzamora

resoplido

De su página acerca de :

Lanzado originalmente en 1998 por el fundador y CTO de Sourcefire, Martin Roesch, Snort es un sistema de prevención y detección de intrusiones de red de código abierto y gratuito capaz de realizar análisis de tráfico en tiempo real y registro de paquetes en redes IP. Inicialmente denominada tecnología de detección de intrusiones "ligera", Snort se ha convertido en una tecnología madura y rica en funciones IPS que se ha convertido en el estándar de facto en detección y prevención de intrusiones. Con casi 4 millones de descargas y aproximadamente 300.000 usuarios registrados Snort, es la tecnología de prevención de intrusiones más ampliamente implementada en el mundo.

12
Cristi

Tripwire

Es un verificador de integridad de código abierto (aunque hay una versión de código cerrado) que usa hashes para detectar modificaciones de archivos dejadas por intrusos.

7
pjz

OpenBSD tiene mtree (8): http://www.openbsd.org/cgi-bin/man.cgi?query=mtree Comprueba si algún archivo ha cambiado en una jerarquía de directorios determinada.

6
cannedprimates

Logcheck es una utilidad simple que está diseñada para permitir que un administrador del sistema vea los archivos de registro que se generan en los hosts bajo su control.

Lo hace enviándoles resúmenes de los archivos de registro, después de filtrar primero las entradas "normales". Las entradas normales son entradas que coinciden con uno de los muchos archivos de expresión regular incluidos en la base de datos.

Debe observar sus registros como parte de una rutina de seguridad saludable. También ayudará a atrapar muchas otras anomalías (hardware, autenticación, carga ...).

4
XTL

DenyHosts para servidor SSH.

3
grokus

Para NIDS, Suricata y Bro son dos alternativas gratuitas para inhalar.

Aquí hay un artículo interesante que analiza los tres:
http://blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/

Tengo que mencionar OSSEC , que es un HIDS.

2
3molo

Second Look es un producto comercial que es una poderosa herramienta para la detección de intrusos en sistemas Linux. Utiliza análisis forenses de memoria para examinar el kernel y todos los procesos en ejecución, y los compara con datos de referencia (del proveedor de distribución o software personalizado/de terceros autorizado). Con este enfoque de verificación de integridad, detecta rootkits y puertas traseras del kernel, hebras y bibliotecas inyectadas y otro malware de Linux que se ejecuta en sus sistemas, sin firmas u otro conocimiento a priori del malware.

Este es un enfoque complementario a las herramientas/técnicas mencionadas en otras respuestas (por ejemplo, verificaciones de integridad de archivos con Tripwire; detección de intrusiones basada en la red con Snort, Bro o Suricata; análisis de registros; etc.)

Descargo de responsabilidad: soy desarrollador de Second Look.

1
Andrew Tappert