Pregunta:
¿Qué software FOSS le gusta utilizar para crear pilas de detección de intrusos?
Tate Hansen
2010-11-16 06:49:26 UTC
view on stackexchange narkive permalink

A las empresas emergentes y a las organizaciones con presupuestos limitados que se preocupan por la seguridad, a menudo se les anima a implementar pilas de detección de intrusos. Dado que la prevención siempre fallará , las pilas de detección de intrusiones suelen ser vitales para saber por qué fallaron las defensas.

Soy un fanático de la siguiente cobertura de pila de intrusiones la capa de la aplicación, la capa del sistema y la capa de la red:

sistema: OSSEC
aplicación: ModSecurity
red: FlowMatrix (hice trampa, este no es FOSS, ¡pero es gratis!)

¿Cuáles son tus pilas de intrusión favoritas (FOSS o gratis)?

ModSecurity es más un WAF (firewall de aplicaciones web) que IDS (aunque, por supuesto, puede configurarlo para que inicie sesión en lugar de bloquearlo ...) No estoy familiarizado con los demás.
No estoy de acuerdo: la mayoría de las instalaciones que he visto implementar ModSec se utilizan para mejorar la visibilidad (es decir, registro y detección de intrusos). Yo lo uso de la misma manera. Ivan Ristiæ (autor original de ModSecurity https://www.feistyduck.com/books/modsecurity-handbook/index.html) en realidad dice en su libro: “Otras veces lo llamaré una herramienta de detección de intrusiones HTTP, porque creo que nombre describe mejor lo que hace ModSecurity ".
Tres respuestas:
atdre
2010-11-16 07:00:25 UTC
view on stackexchange narkive permalink
Argus es una gran herramienta. Lo usamos todo el tiempo como una fuente de datos complementaria para exámenes forenses y manejo de incidentes.
Scott Pack
2010-12-08 07:38:11 UTC
view on stackexchange narkive permalink

Snort es un IDS excelente con una larga trayectoria. He implementado un poco más de una docena de sensores en mi organización y continuamente agrego más a la mezcla. La mayor caída de Snort es el hecho de que las versiones actuales son de un solo subproceso, aunque eso cambiará con la próxima versión 3. En combinación con las reglas de amenazas emergentes, me ha impresionado mucho el producto.

La plataforma completa consta de:

  • Snort
  • Puppet (para la administración del sistema y la eliminación de reglas)
  • Oinkmaster (para la administración y actualización de reglas)
  • Cobbler (para aprovisionamiento)
  • RedHat

Todo el registro se agrega usando RSA enVision, aunque Splunk debería manejar está bien.

Weber
2010-12-08 05:16:12 UTC
view on stackexchange narkive permalink

El Bro IDS http://www.bro-ids.org/ que ha sido financiado por el programa de Tecnologías Estratégicas para Internet de la Fundación Nacional de Ciencias, DOE, DEC y otros grupos de investigación. Tiene su propio sistema controlado por eventos y también puede importar reglas de Snort para una detección adicional basada en firmas.



Esta pregunta y respuesta fue traducida automáticamente del idioma inglés.El contenido original está disponible en stackexchange, a quien agradecemos la licencia cc by-sa 2.0 bajo la que se distribuye.
Loading...