Was sind einige gebräuchliche Tools zur Erkennung von Eindringlingen? [geschlossen]

Bitte geben Sie eine kurze Beschreibung für jedes Werkzeug.

Schnauben

Von ihrer About-Seite :

Snort wurde ursprünglich 1998 vom Gründer und CTO von Sourcefire, Martin Roesch, veröffentlicht und ist ein kostenloses Open-Source-System zur Erkennung und Verhinderung von Netzwerkeinbrüchen, das Echtzeit-Verkehrsanalysen und Paketprotokollierung in IP-Netzwerken durchführen kann. Ursprünglich als "leichte" Intrusion Detection-Technologie bezeichnet, hat sich Snort zu einer ausgereiften, funktionsreichen IPS-Technologie entwickelt, die zum De-facto-Standard für Intrusion Detection und -Vermeidung geworden ist. Mit fast 4 Millionen Downloads und ungefähr 300.000 registrierten Benutzern ist Snort die weltweit am weitesten verbreitete Intrusion Prevention-Technologie.

Warum checkst du nicht http://sectools.org/

Tripwire

Ist ein Open-Source-Integritätsprüfer (obwohl es eine Closed-Source-Version gibt), der Hashes verwendet, um Dateiänderungen zu erkennen, die von Eindringlingen zurückgelassen wurden.

OpenBSD hat mtree (8): http://www.openbsd.org/cgi-bin/man.cgi?query=mtree Überprüft, ob sich Dateien in einer bestimmten Verzeichnishierarchie geändert haben.

Logcheck ist ein einfaches Dienstprogramm, mit dem ein Systemadministrator die Protokolldateien anzeigen kann, die auf Hosts erstellt werden, die unter ihrer Kontrolle stehen.

Dies geschieht, indem Zusammenfassungen der Protokolldateien an diese gesendet werden, nachdem zuerst "normale" Einträge herausgefiltert wurden. Normale Einträge sind Einträge, die mit einer der vielen enthaltenen Dateien für reguläre Ausdrücke in der Datenbank übereinstimmen.

Sie sollten Ihre Protokolle als Teil einer ordnungsgemäßen Sicherheitsroutine überwachen. Es hilft auch dabei, viele andere (Hardware-, Authentifizierungs-, Lade- ...) Anomalien einzufangen.

DenyHosts für SSH-Server.

Für NIDS sind Suricata und Bro zwei kostenlose Alternativen zum Schnupfen.

Hier ist ein interessanter Artikel über alle drei:
http://blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/

Zu erwähnen ist OSSEC , ein HIDS.

Second Look ist ein kommerzielles Produkt, das ein leistungsstarkes Tool zur Erkennung von Eindringlingen auf Linux-Systemen darstellt. Mithilfe der Speicherforensik werden der Kernel und alle ausgeführten Prozesse untersucht und mit Referenzdaten verglichen (vom Distributionsanbieter oder einer autorisierten benutzerdefinierten Software / Software von Drittanbietern). Mit diesem Integritätsprüfungsansatz werden Kernel-Rootkits und Backdoors, injizierte Threads und Bibliotheken sowie andere Linux-Malware auf Ihren Systemen ohne Signaturen oder vorherige Kenntnis der Malware erkannt.

Dies ist ein komplementärer Ansatz zu den in anderen Antworten genannten Tools / Techniken (z. B. Dateiintegritätsprüfungen mit Tripwire; netzwerkbasierte Angriffserkennung mit Snort, Bro oder Suricata; Protokollanalyse usw.).

Haftungsausschluss: Ich bin Entwickler von Second Look.