Soru Modern açık kaynaklı NIDS / HIDS ve konsollar? [kapalı]


Yıllar önce dış güvenlik duvarımızın önüne bir musluk yerleştirerek bir IDS çözümü oluşturduk, DS1'deki tüm trafiği bir IDS kutusundan geçirip sonuçları ACiD çalıştıran bir günlük sunucusuna gönderdik. Bu 2005-ish civarındaydı. Çözümü yenilemem ve üzerinde genişletip etrafa bakmam istendi, ACiD'nin son sürümünün 2003'ten geldiğini görüyorum ve uzaktan güncel görünebilecek başka bir şey göremiyorum. Bu özellikler tamamlanmış olsa da, kütüphane çatışmaları, vb. İçin endişeleniyorum. Birileri bana biraz modern araçlar kullanarak Linux / OpenBSD tabanlı bir çözüm önerisi verebilir mi?

Sadece açık olmak gerekirse, Snort'un aktif olarak geliştirildiğini biliyorum. Verileri pekiştirmek için modern açık kaynaklı bir web konsolu için daha fazla pazardayım. Tabii ki insanlar Snort'tan başka IDS'lerle çok iyi deneyimlere sahiplerse, bunu duyduğuma çok sevindim.


7
2017-10-22 14:24


Menşei




Cevaplar:


Bence en iyi açık kaynak kombinasyonları:

NIDS için: Web kullanıcı arayüzü için BASE ile snort

HIDS için: OSSEC

Ayrıca, NIDS verilerini tek bir yerde birleştirmek için OSSEC'i kullanıyorum (SIEM OSSEC kayıt analizi, dosya bütünlüğü denetimi ve rootkit algılama gibi).

Bağlantılar:         http://www.snort.org http://www.ossec.net http://base.secureideas.net/


5
2017-10-28 12:44



Tam olarak aradığım şey. Teşekkür ederim! - MattC


OSSIM.

OSSIM tüm bu tür şeyleri birleştirir. OSSEC, Snort, vb.

Açık kaynak ve ücretsiz.

OSSIM aşağıdaki yazılım bileşenlerine sahiptir:

Arpwatch - MAC anormallik tespiti için kullanılır.
P0f - pasif OS algılama ve işletim sistemi değişikliği analizi için kullanılır.
Pedler - servis anormalliği tespiti için kullanılır.
Nessus - güvenlik açığı değerlendirmesi ve çapraz korelasyon için kullanılır (IDS - Security Scanner).
Snort - IDS, ayrıca nessus ile çapraz korelasyon için kullanılır.
Spade - istatistiksel paket anormallik algılama motoru. İmza olmadan saldırı hakkında bilgi kazanmak için kullanılır.
Tcptrack - saldırı korelasyonu için yararlı olabilecek oturum bilgisi bilgileri için kullanılır.
Ntop - anormal davranış / anomali tespitini tanımlayabileceğimiz etkileyici bir ağ bilgi veritabanı oluşturur.
Nagios - ana makine varlık veritabanından beslenir, ana bilgisayar ve servis kullanılabilirlik bilgilerini izler.
Osiris - harika bir HIDS.
OCS-NG - platformlar arası envanter çözümü.
OSSEC - bütünlük, rootkit, kayıt defteri tespiti ve daha fazlası.

http://www.alienvault.com/community.php?section=Home

-Josh


1
2017-10-28 13:10



Bu çok büyük bir yardım. Teşekkür ederim! - MattC


Prelude-IDS tabanlı açık kaynaklı ve ücretsiz bir çözüm kullanabilirsiniz. http://www.prelude-ids.com/

  • Prelude IDS, bir SIM (Güvenlik Bilgi Yönetimi) sistemi / IDS Çerçevesidir.

  • Snort NIDS olarak kullanılabilir

  • HIDS olarak Prelude LML: SSH, Cisco PIX, Netfilter IPFW, Postfix, Sendmail için kurallar ...

  • Prewikka resmi Prelude Kullanıcı Arayüzüdür: Python'a dayalı Web GUI => https://dev.prelude-ids.com/wiki/prelude/ManualPrewikka


1
2018-01-11 23:16