Domanda:
Quale software FOSS ti piace utilizzare per creare stack di rilevamento delle intrusioni?
Tate Hansen
2010-11-16 06:49:26 UTC
view on stackexchange narkive permalink

Le start-up e le organizzazioni con budget limitati attenti alla sicurezza sono spesso incoraggiate a implementare stack di rilevamento delle intrusioni. Dato che la prevenzione fallirà sempre , gli stack di rilevamento delle intrusioni sono spesso vitali per capire perché le difese hanno fallito.

Sono un fan del seguente stack di intrusioni che copre il livello dell'app, il livello del sistema e il livello della rete:

sistema: OSSEC
applicazione: ModSecurity
rete: FlowMatrix (ho imbrogliato, questo non è FOSS, ma è gratuito!)

Quali sono i tuoi stack preferiti di intrusione (FOSS o gratuiti)?

ModSecurity è più un WAF (web application firewall) che IDS (anche se ovviamente puoi impostarlo per accedere invece che per bloccare ...) Non ho familiarità con gli altri.
Non sono d'accordo: la maggior parte delle installazioni che ho visto ModSec implementato viene utilizzata per migliorare la visibilità (ad esempio registrazione e rilevamento delle intrusioni). Lo uso allo stesso modo. Ivan Ristiæ (autore originale di ModSecurity https://www.feistyduck.com/books/modsecurity-handbook/index.html) dice effettivamente nel suo libro: "Altre volte lo chiamerò uno strumento di rilevamento delle intrusioni HTTP, perché penso che name descrive meglio cosa fa ModSecurity. "
Tre risposte:
atdre
2010-11-16 07:00:25 UTC
view on stackexchange narkive permalink
Argus è un ottimo strumento. Lo usiamo sempre come fonte di dati supplementare per gli esami forensi e la gestione degli incidenti.
Scott Pack
2010-12-08 07:38:11 UTC
view on stackexchange narkive permalink

Snort è un eccellente IDS con una lunga esperienza. Ho implementato poco più di una dozzina di sensori nella mia organizzazione e ne aggiungo continuamente di nuovi. Il più grande difetto di Snort è il fatto che le versioni attuali sono single-threaded, anche se questo cambierà con la prossima versione 3. In combinazione con le regole Minacce emergenti, sono rimasto estremamente colpito dal prodotto.

La piattaforma completa è composta da:

  • Snort
  • Puppet (per la gestione del sistema e la dissimulazione delle regole)
  • Oinkmaster (per gli aggiornamenti e la gestione delle regole)
  • Cobbler (per il provisioning)
  • RedHat

Tutti i log vengono aggregati utilizzando RSA enVision, sebbene Splunk dovrebbe gestirlo va bene.

Weber
2010-12-08 05:16:12 UTC
view on stackexchange narkive permalink

The Bro IDS http://www.bro-ids.org/, che è stato finanziato dal programma Strategic Technologies for the Internet della National Science Foundation, DOE, DEC e altri gruppi di ricerca. Ha il proprio sistema basato sugli eventi e può anche importare regole Snort per un rilevamento aggiuntivo basato sulla firma.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...