Was sind einige gebräuchliche Tools zur Erkennung von Eindringlingen? [geschlossen]

18

Geschlossen . Diese Frage ist meinungsbasiert . Derzeit werden keine Antworten akzeptiert.

Möchten Sie diese Frage verbessern? Aktualisieren Sie die Frage, damit sie mit Fakten und Zitaten beantwortet werden kann, indem Sie diesen Beitrag bearbeiten .

Geschlossen vor 5 Jahren .

Bitte geben Sie eine kurze Beschreibung für jedes Werkzeug.

— Setzamora
quelle

12

Schnauben

Von ihrer About-Seite :

Snort wurde ursprünglich 1998 vom Gründer und CTO von Sourcefire, Martin Roesch, veröffentlicht und ist ein kostenloses Open-Source-System zur Erkennung und Verhinderung von Netzwerkeinbrüchen, das Echtzeit-Verkehrsanalysen und Paketprotokollierung in IP-Netzwerken durchführen kann. Ursprünglich als "leichte" Intrusion Detection-Technologie bezeichnet, hat sich Snort zu einer ausgereiften, funktionsreichen IPS-Technologie entwickelt, die zum De-facto-Standard für Intrusion Detection und -Vermeidung geworden ist. Mit fast 4 Millionen Downloads und ungefähr 300.000 registrierten Benutzern ist Snort die weltweit am weitesten verbreitete Intrusion Prevention-Technologie.

— Cristi
quelle

2

Ist das eine Anzeige?

— gvkv

9

Warum checkst du nicht http://sectools.org/

— jocape
quelle

7

Tripwire

Ist ein Open-Source-Integritätsprüfer (obwohl es eine Closed-Source-Version gibt), der Hashes verwendet, um Dateiänderungen zu erkennen, die von Eindringlingen zurückgelassen wurden.

— pjz
quelle

6

OpenBSD hat mtree (8): http://www.openbsd.org/cgi-bin/man.cgi?query=mtree Überprüft, ob sich Dateien in einer bestimmten Verzeichnishierarchie geändert haben.

— Dosenprimaten
quelle

4

Logcheck ist ein einfaches Dienstprogramm, mit dem ein Systemadministrator die Protokolldateien anzeigen kann, die auf Hosts erstellt werden, die unter ihrer Kontrolle stehen.

Dies geschieht, indem Zusammenfassungen der Protokolldateien an diese gesendet werden, nachdem zuerst "normale" Einträge herausgefiltert wurden. Normale Einträge sind Einträge, die mit einer der vielen enthaltenen Dateien für reguläre Ausdrücke in der Datenbank übereinstimmen.

Sie sollten Ihre Protokolle als Teil einer ordnungsgemäßen Sicherheitsroutine überwachen. Es hilft auch dabei, viele andere (Hardware-, Authentifizierungs-, Lade- ...) Anomalien einzufangen.

— XTL
quelle

3

DenyHosts für SSH-Server.

— grokus
quelle

2

Für NIDS sind Suricata und Bro zwei kostenlose Alternativen zum Schnupfen.

Hier ist ein interessanter Artikel über alle drei:
http://blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/

Zu erwähnen ist OSSEC , ein HIDS.

— 3molo
quelle

1

Second Look ist ein kommerzielles Produkt, das ein leistungsstarkes Tool zur Erkennung von Eindringlingen auf Linux-Systemen darstellt. Mithilfe der Speicherforensik werden der Kernel und alle ausgeführten Prozesse untersucht und mit Referenzdaten verglichen (vom Distributionsanbieter oder einer autorisierten benutzerdefinierten Software / Software von Drittanbietern). Mit diesem Integritätsprüfungsansatz werden Kernel-Rootkits und Backdoors, injizierte Threads und Bibliotheken sowie andere Linux-Malware auf Ihren Systemen ohne Signaturen oder vorherige Kenntnis der Malware erkannt.

Dies ist ein komplementärer Ansatz zu den in anderen Antworten genannten Tools / Techniken (z. B. Dateiintegritätsprüfungen mit Tripwire; netzwerkbasierte Angriffserkennung mit Snort, Bro oder Suricata; Protokollanalyse usw.).

Haftungsausschluss: Ich bin Entwickler von Second Look.

— Andrew Tappert
quelle