Moderne Open Source NIDS / HIDS und Konsolen? [geschlossen]

7

Vor Jahren haben wir eine IDS-Lösung eingerichtet, indem wir einen Wasserhahn vor unsere externe Firewall gestellt, den gesamten Datenverkehr auf unserem DS1 über eine IDS-Box geleitet und die Ergebnisse dann an einen Protokollierungsserver mit ACiD gesendet haben. Dies war ungefähr 2005. Ich wurde gebeten, die Lösung zu überarbeiten, zu erweitern und mich umzuschauen. Ich sehe, dass die letzte Version von ACiD aus dem Jahr 2003 stammt, und ich kann anscheinend nichts anderes finden, das auch nur aus der Ferne auf dem neuesten Stand zu sein scheint. Obwohl diese Dinge möglicherweise vollständig sind, mache ich mir Sorgen über Bibliothekskonflikte usw. Kann mir jemand Vorschläge für eine Linux / OpenBSD-basierte Lösung mit etwas modernen Tools geben?

Um ganz klar zu sein, ich weiß, dass Snort noch aktiv entwickelt ist. Ich bin wohl eher auf dem Markt für eine moderne Open-Source-Webkonsole zur Konsolidierung der Daten. Natürlich freue ich mich, wenn Leute andere großartige Erfahrungen mit IDS als Snort machen.

MattC
quelle

Antworten:

5

Ich denke, die besten Open Source-Kombinationen sind:

Für NIDS: Schnauben mit BASE für die Web-Benutzeroberfläche

Für HIDS: OSSEC

Ich verwende OSSEC auch, um die NIDS-Daten an einem einzigen Ort zu konsolidieren (wie ein SIEM OSSEC die Protokollanalyse, die Überprüfung der Dateiintegrität und die Rootkit-Erkennung durchführt).

Links: http://www.snort.org http://www.ossec.net http://base.secureideas.net/

sucuri
quelle
1

OSSIM.

OSSIM konsolidiert all diese Dinge. OSSEC, Snort usw.

Open Source & Kostenlos.

OSSIM verfügt über die folgenden Softwarekomponenten:

Arpwatch - wird zur Erkennung von MAC-Anomalien verwendet.
P0f - wird zur passiven Betriebssystemerkennung und zur Analyse von Betriebssystemänderungen verwendet.
Pads - werden zur Erkennung von Serviceanomalien verwendet.
Nessus - wird zur Schwachstellenbewertung und zur Kreuzkorrelation verwendet (IDS vs Security Scanner).
Snort - das IDS, das auch für die Kreuzkorrelation mit Nessus verwendet wird.
Spade - die statistische Paketanomalie-Erkennungs-Engine. Wird verwendet, um Kenntnisse über Angriffe ohne Signaturen zu erlangen.
Tcptrack - wird für Sitzungsdateninformationen verwendet, die sich für die Angriffskorrelation als nützlich erweisen können.
Ntop - baut eine beeindruckende Netzwerkinformationsdatenbank auf, anhand derer wir aberrante Verhaltens- / Anomalieerkennung identifizieren können.
Nagios - wird aus der Host-Asset-Datenbank gespeist und überwacht Informationen zur Verfügbarkeit von Hosts und Diensten.
Osiris - ein tolles Versteck.
OCS-NG - plattformübergreifende Inventarisierungslösung.
OSSEC - Integrität, Rootkit, Registrierungserkennung und mehr.

http://www.alienvault.com/community.php?section=Home

-Josh

Josh Brower
quelle
1

Sie können eine Open-Source- und kostenlose Lösung verwenden, die auf Prelude-IDS basiert. Http://www.prelude-ids.com/

  • Prelude IDS ist ein SIM-System (Security Information Management) / IDS Framework.

  • Snort kann als NIDS verwendet werden

  • Prelude LML als HIDS: Regelsätze für SSH, Cisco PIX, Netfilter IPFW, Postfix, Sendmail ...

  • Prewikka ist die offizielle Prelude-Benutzeroberfläche: Web-GUI basierend auf Python => https://dev.prelude-ids.com/wiki/prelude/ManualPrewikka

Foxy
quelle