Quais são algumas ferramentas comuns para detecção de intrusão? [fechadas]

18

Por favor, forneça uma breve descrição para cada ferramenta.

setzamora
fonte

Respostas:

12

Snort

Na página sobre :

Originalmente lançado em 1998 pelo fundador da Sourcefire e CTO Martin Roesch, o Snort é um sistema gratuito de detecção e prevenção de intrusões de rede de código aberto capaz de executar análises de tráfego em tempo real e registro de pacotes em redes IP. Inicialmente chamada de tecnologia de detecção de intrusão "leve", o Snort evoluiu para uma tecnologia IPS madura e rica em recursos que se tornou o padrão de fato na detecção e prevenção de intrusões. Com quase 4 milhões de downloads e aproximadamente 300.000 usuários registrados do Snort, é a tecnologia de prevenção contra intrusões mais amplamente implementada no mundo.

Cristi
fonte
2
Isso é cópia do anúncio?
precisa saber é
7

Tripwire

É um verificador de integridade de código aberto (embora exista uma versão de código fechado) que use hashes para detectar modificações de arquivos deixadas pelos invasores.

pjz
fonte
4

O Logcheck é um utilitário simples, projetado para permitir que um administrador do sistema visualize os arquivos de log produzidos nos hosts sob seu controle.

Isso é feito enviando resumos dos arquivos de log para eles, depois de filtrar primeiro as entradas "normais". Entradas normais são entradas que correspondem a um dos muitos arquivos de expressão regular incluídos no banco de dados.

Você deve assistir seus logs como parte de uma rotina de segurança saudável. Também ajudará a capturar muitas outras anomalias (hardware, autenticação, carga ...).

XTL
fonte
3

DenyHosts para servidor SSH.

grokus
fonte
1

Second Look é um produto comercial que é uma ferramenta poderosa para detecção de intrusões em sistemas Linux. Ele usa análise forense de memória para examinar o kernel e todos os processos em execução e os compara com dados de referência (do fornecedor de distribuição ou software personalizado / de terceiros). Usando essa abordagem de verificação de integridade, ele detecta rootkits e backdoors do kernel, threads e bibliotecas injetadas e outros malwares Linux em execução em seus sistemas, sem assinaturas ou outro conhecimento a priori do malware.

Essa é uma abordagem complementar às ferramentas / técnicas mencionadas em outras respostas (por exemplo, verificações de integridade de arquivos com o Tripwire; detecção de intrusões baseada em rede com Snort, Bro ou Suricata; análise de log etc.)

Disclaimer: Sou desenvolvedor do Second Look.

Andrew Tappert
fonte