. Несколько лет назад мы создали решение IDS, поместив кран перед нашим внешним брандмауэром, направив весь трафик на DS1 через ящик IDS, а затем отправив результаты на сервер регистрации, на котором запущен ACiD. Это было примерно в 2005 году. Меня попросили обновить решение и расширить его, и, осмотревшись, я вижу, что последний выпуск ACiD был выпущен в 2003 году, и я не могу найти ничего, что казалось бы хоть отдаленно актуальным. Хотя эти вещи могут быть полноценными, я беспокоюсь о конфликтах библиотек и т. Д. Может ли кто-нибудь дать мне предложения по решению на основе Linux / OpenBSD с использованием несколько современных инструментов?
Чтобы внести ясность, я знаю, что Snort все еще активно развивается. Думаю, я больше заинтересован в современной веб-консоли с открытым исходным кодом для консолидации данных. Конечно, если у людей есть большой опыт работы с IDS, помимо Snort, я рад слышать об этом.
Я думаю, что лучшие комбинации с открытым исходным кодом:
Для NIDS: Фырканье с ОСНОВОЙ для сети ui
Для HIDS: OSSEC
Я также использую OSSEC для consolidade данные NIDS в единственное место (как SIEM OSSEC, действительно регистрирует анализ, проверку целостности файлов и обнаружение руткита).
Ссылки: http://www.snort.org http://www.ossec.net http://base.secureideas.net/
OSSIM.
OSSIM консолидирует весь такой материал. OSSEC, Фырканье, и т.д.
Открытый исходный код и Свободный.
OSSIM имеет следующие компоненты программного обеспечения:
Arpwatch – используемый для обнаружения аномалии MAC.
P0f – используемый для пассивного обнаружения ОС и ОС изменяют анализ.
Клавиатуры – используемый для сервисного обнаружения аномалии.
Nessus – используемый для оценки уязвимости и для взаимной корреляции (IDS по сравнению со Сканером безопасности).
Фырканье – IDS, также используемый для взаимной корреляции с nessus.
Лопата – статистический пакетный механизм обнаружения аномалии. Используемый для получения знания о нападениях без подписей.
Tcptrack – используемый для получения информации о данных сессии, которая может оказаться полезной для корреляции нападения.
Ntop – который создает впечатляющую базу данных информации о сети, от которой мы можем определить аномальное поведение / обнаружение аномалии.
Nagios – питаемый от базы данных актива хоста, это контролирует хост и сервисную информацию о доступности.
Osiris – большой HIDS.
OCS-NG – межплатформенное решение для материально-технических ресурсов.
OSSEC – целостность, руткит, обнаружение реестра, и т.д.
http://www.alienvault.com/community.php?section=Home
- Josh
Можно использовать и бесплатное решение с открытым исходным кодом на основе IDS вводной части http://www.prelude-ids.com/
Вводная часть IDS является SIM (Управление информацией о безопасности) система / Платформа IDS.
Фырканье может использоваться в качестве NIDS
Начните LML как HIDS: rulesets для SSH, Cisco ЯЩИК ДЛЯ ПРОБНОЙ МОНЕТЫ, Netfilter IPFW, Постфикс, Sendmail...
Prewikka, официальный Пользовательский интерфейс Вводной части: Сеть GUI на основе Python => https://dev.prelude-ids.com/wiki/prelude/ManualPrewikka