Jakie są typowe narzędzia do wykrywania włamań? [Zamknięte]

18

Proszę podać krótki opis każdego narzędzia.

setzamora
źródło

Odpowiedzi:

12

Parsknięcie

Z ich strony o stronie :

Pierwotnie wydany w 1998 r. Przez założyciela Sourcefire i dyrektora technicznego Martina Roescha, Snort to darmowy system wykrywania włamań i zapobiegania włamaniom do sieci o otwartym kodzie źródłowym, zdolny do przeprowadzania analizy ruchu w czasie rzeczywistym i rejestrowania pakietów w sieciach IP. Początkowo nazywany „lekką” technologią wykrywania włamań, Snort przekształcił się w dojrzałą, bogatą w funkcje technologię IPS, która stała się de facto standardem w wykrywaniu włamań i zapobieganiu im. Dzięki prawie 4 milionom pobrań i około 300 000 zarejestrowanych użytkowników Snort jest najczęściej stosowaną technologią zapobiegania włamaniom na świecie.

Cristi
źródło
2
Czy to jest reklama?
gvkv,
7

Tripwire

Jest narzędziem do sprawdzania integralności oprogramowania typu open source (choć jest wersja zamknięta), który używa skrótów do wykrywania modyfikacji plików pozostawionych przez intruzów.

pjz
źródło
4

Logcheck to proste narzędzie, które pozwala administratorowi systemu na przeglądanie plików dziennika, które są tworzone na hostach pod ich kontrolą.

Robi to, wysyłając do nich streszczenia plików dziennika, po uprzednim odfiltrowaniu „normalnych” wpisów. Normalne wpisy to wpisy, które pasują do jednego z wielu zawartych w bazie danych plików wyrażeń regularnych.

Powinieneś obserwować swoje dzienniki jako część zdrowej procedury bezpieczeństwa. Pomoże również w pułapce wielu innych anomalii (sprzęt, uwierzytelnianie, ładowanie ...).

XTL
źródło
3

DenyHosts dla serwera SSH.

grokus
źródło
1

Second Look to produkt komercyjny, który jest potężnym narzędziem do wykrywania włamań w systemach Linux. Korzysta z kryminalistyki pamięci, aby zbadać jądro i wszystkie uruchomione procesy i porównać je z danymi referencyjnymi (pochodzącymi od dostawcy dystrybucji lub autoryzowanego oprogramowania niestandardowego / zewnętrznego). Stosując to podejście do weryfikacji integralności, wykrywa rootkity jądra i backdoory, wstrzykiwane wątki i biblioteki oraz inne złośliwe oprogramowanie dla Linuksa działające w twoim systemie, bez sygnatur ani innej wiedzy o tym szkodliwym oprogramowaniu z góry.

Jest to komplementarne podejście do narzędzi / technik wymienionych w innych odpowiedziach (np. Sprawdzanie integralności plików za pomocą Tripwire; wykrywanie włamań przez sieć za pomocą Snorta, Bro lub Suricata; analiza logów itp.)

Uwaga: Jestem programistą Second Look.

Andrew Tappert
źródło