İzinsiz giriş tespiti için bazı yaygın araçlar nelerdir? [kapalı]

Lütfen her bir araç için kısa bir açıklama yapın.

homurdanma

Gönderen onların hakkında sayfa :

İlk olarak 1998'de Sourcefire kurucusu ve CTO Martin Roesch tarafından piyasaya sürülen Snort, IP ağlarında gerçek zamanlı trafik analizi ve paket kaydı yapabilen ücretsiz, açık kaynaklı bir ağ saldırı tespit ve önleme sistemidir. Başlangıçta “hafif” saldırı tespit teknolojisi olarak adlandırılan Snort, izinsiz giriş tespiti ve önlenmesinde fiili standart haline gelen olgun, zengin özelliklere sahip bir IPS teknolojisine dönüştü. Yaklaşık 4 milyon indirme ve yaklaşık 300.000 kayıtlı kullanıcı Snort ile dünyada en yaygın kullanılan saldırı önleme teknolojisidir.

Neden http://sectools.org/ adresini kontrol etmiyorsun?

tripwire

Davetsiz misafirlerin geride bıraktığı dosya değişikliklerini algılamak için karma kullanan açık kaynaklı (kapalı bir kaynak sürümü olmasına rağmen) bütünlük denetleyicisidir.

OpenBSD, mtree (8) değerine sahiptir: http://www.openbsd.org/cgi-bin/man.cgi?query=mtree Belirli bir dizin hiyerarşisinde herhangi bir dosyanın değişip değişmediğini kontrol eder.

Logcheck , bir sistem yöneticisinin kontrolleri altındaki ana bilgisayarlar üzerinde üretilen günlük dosyalarını görüntülemesini sağlamak için tasarlanmış basit bir yardımcı programdır.

Bunu, ilk olarak "normal" girişleri filtreledikten sonra, günlük dosyalarının özetlerini kendilerine göndererek yapar. Normal girdiler, veritabanında bulunan birçok normal ifade dosyasından biriyle eşleşen girdilerdir.

Günlüklerinizi sağlıklı bir güvenlik rutininin bir parçası olarak izlemelisiniz. Aynı zamanda birçok diğer (donanım, kimlik doğrulama, yük ...) anomalisini yakalamaya yardımcı olacaktır.

SSH sunucusu için DenyHosts .

NIDS için Suricata ve Bro, horlamak için iki ücretsiz alternatiftir.

İşte bunların üçünü tartışan ilginç bir makale:
http://blog.securitymonks.com/2010/08/26/three-little-idsips-engines-build-their-open-source-solutions/

Bir HIDS olan OSSEC'den bahsetmek zorundayız .

İkinci Bakış , Linux sistemlerinde izinsiz giriş tespiti için güçlü bir araç olan ticari bir üründür. Çekirdeği ve çalışan tüm işlemleri incelemek için bellek adli tıp kullanır ve bunları referans verilerle (dağıtım satıcısından veya yetkili özel / üçüncü taraf yazılımdan) karşılaştırır. Bu bütünlük doğrulama yaklaşımını kullanarak, çekirdek kök setlerini ve arka kapıları, enjekte edilen iş parçacıklarını ve kitaplıkları ve sistemlerinizde çalışan diğer kötü amaçlı yazılım kötü amaçlı yazılımlarını imza veya kötü amaçlı yazılım hakkında önceden bilgi sahibi olmadan algılar.

Bu, diğer cevaplarda belirtilen araçlara / tekniklere tamamlayıcı bir yaklaşımdır (örneğin, Tripwire ile dosya bütünlüğü kontrolleri; Snort, Bro veya Suricata ile ağ tabanlı izinsiz giriş tespiti; günlük analizi; vb.)

Feragatname: Second Look'un geliştiricisiyim.