Современные с открытым исходным кодом NIDS/HIDS и приставки?

Question

Современные с открытым исходным кодом NIDS/HIDS и приставки?

Несколько лет назад мы создали решение IDS, разместив кран перед нашим внешним брандмауэром, направив весь трафик на нашем DS1 через блок IDS, а затем отправив результаты на сервер регистрации, работающий под управлением ACiD. Это было около 2005 года. Меня попросили обновить решение и расширить его, и, оглядываясь по сторонам, я вижу, что последний выпуск ACiD был в 2003 году, и я не могу найти что-то еще, что кажется даже отдаленно актуальным. Хотя эти вещи могут быть полнофункциональными, я беспокоюсь о конфликтах библиотек и т. Д. Кто-нибудь может дать мне предложения для решения на основе Linux/OpenBSD с использованием довольно современных инструментов?

Просто чтобы быть ясно, я знаю, что Snort все еще активно развивается. Я думаю, я больше на рынке для современной веб-консоли с открытым исходным кодом для консолидации данных. Конечно, если у людей есть отличный опыт работы с IDS, кроме Snort, я буду рад услышать об этом.

7

linux security openbsd snort ids

Источник

MattC 22 окт '09 в 14:24

3 ответа

Решение

Вы можете использовать бесплатное решение с открытым исходным кодом на основе Prelude-IDS http://www.prelude-ids.com/

Prelude IDS - это система SIM (Управление информацией о безопасности) / IDS Framework.
Snort можно использовать как NIDS
Прелюдия LML как HIDS: наборы правил для SSH, Cisco PIX, Netfilter IPFW, Postfix, Sendmail...
Prewikka - это официальный интерфейс пользователя Prelude: веб-интерфейс на основе Python => https://dev.prelude-ids.com/wiki/prelude/ManualPrewikka

1

Источник

Foxy 11 янв '10 в 23:16

OSSIM.

OSSIM объединяет все подобные вещи. OSSEC, Snort и др.

Открытый исходный код и бесплатно.

OSSIM имеет следующие программные компоненты:

Arpwatch - используется для обнаружения MAC-аномалий.
P0f - используется для пассивного обнаружения ОС и анализа изменений ОС.
Колодки - используются для обнаружения сервисных аномалий.
Nessus - используется для оценки уязвимости и для взаимной корреляции (IDS против Security Scanner).
Snort - IDS, также используется для взаимной корреляции с Nessus.
Spade - механизм обнаружения статистических аномалий пакетов. Используется для получения знаний об атаках без подписей.
Tcptrack - используется для информации о данных сеанса, которая может оказаться полезной для корреляции атак.
Ntop - который создает впечатляющую базу данных сетевой информации, из которой мы можем определить отклонения в поведении / обнаружении аномалий.
Nagios - питается от базы данных хоста и отслеживает информацию о доступности хоста и сервиса.
Осирис - великий ВЗРЫВ.
OCS-NG - кроссплатформенное решение для инвентаризации.
OSSEC - целостность, руткит, обнаружение реестра и многое другое.

http://www.alienvault.com/community.php?section=Home

-Josh

1

Источник

Josh Brower 28 окт '09 в 13:10

Другие вопросы по тегам linux security openbsd snort ids

sucuri 28 окт '09 в 12:44 2009-10-28 12:44 · Accepted Answer · 2009-10-28 12:44

Я думаю, что лучшие комбинации с открытым исходным кодом:

Для NIDS: Snort с BASE для веб-интерфейса

Для HIDS: OSSEC

Я также использую OSSEC для консолидации данных NIDS в одном месте (как SIEM OSSEC выполняет анализ журналов, проверку целостности файлов и обнаружение руткитов).

Ссылки: http://www.snort.org/ http://www.ossec.net/ http://base.secureideas.net/