web-dev-qa-db-ja.com

最新のオープンソースNIDS / HIDSとコンソール?

数年前、外部ファイアウォールの前にタップを配置し、DS1上のすべてのトラフィックをIDSボックスにパイプして、その結果をACiDを実行しているロギングサーバーに送信することで、IDSソリューションをセットアップしました。これは2005年頃でした。ソリューションを刷新して拡張するように依頼されましたが、ACiDの最後のリリースは2003年のものであり、リモートでさえ最新のように見えるものは他に見つからないようです。これらは完全な機能かもしれませんが、ライブラリの競合などが心配です。やや最新のツールを使用したLinux/OpenBSDベースのソリューションの提案を誰かに教えてもらえますか?

明確にするために、私はSnortがまだ活発に開発されていることを知っています。私は、データを統合するための最新のオープンソースWebコンソールの市場にもっといると思います。もちろん、Snort以外のIDSで素晴らしい経験をしている人がいれば、それについて聞いてうれしいです。

linuxsecurityopenbsdsnortids
7
MattC

最良のオープンソースの組み合わせは次のとおりです。

NIDSの場合:WebUI用のBASEを使用したSnort

HIDSの場合:OSSEC

また、OSSECを使用してNIDSデータを1つの場所に統合します(SIEM OSSECがログ分析、ファイル整合性チェック、ルートキット検出を行うように)。

リンク: http://www.snort.orghttp://www.ossec.nethttp://base.secureideas.net/ ==

5
sucuri

Prelude-IDSに基づくオープンソースの無料ソリューションを使用できます http://www.prelude-ids.com/

  • Prelude IDSは、SIM(セキュリティ情報管理)システム/ IDSフレームワークです。

  • SnortはNIDSとして使用できます

  • HIDSとしてのプレリュードLML:SSH、Cisco PIX、Netfilter IPFW、Postfix、Sendmailのルールセット...

  • Prewikkaは、公式のPreludeユーザーインターフェイスです:Python => https://dev.prelude-ids.com/wiki/prelude/ManualPrewikka に基づくWeb GUI

1
Foxy

OSSIM。

OSSIMは、そのようなものすべてを統合します。 OSSEC、Snortなど。

オープンソース&無料。

OSSIMには、次のソフトウェアコンポーネントがあります。

Arpwatch –MAC異常検出に使用されます。
P0f –パッシブOS検出およびOS変更分析に使用されます。
パッド–サービス異常の検出に使用されます。
Nessus –脆弱性評価と相互相関(IDSとセキュリティスキャナー)に使用されます。
Snort –IDS。nessusとの相互相関にも使用されます。
Spade –統計パケット異常検出エンジン。シグニチャのない攻撃に関する知識を得るために使用されます。
Tcptrack –攻撃の相関に役立つことが証明できるセッションデータ情報に使用されます。
Ntop –異常な動作/異常検出を特定できる印象的なネットワーク情報データベースを構築します。
Nagios –ホスト資産データベースから供給され、ホストとサービスの可用性情報を監視します。
オシリス–素晴らしいHIDS。
OCS-NG –クロスプラットフォームの在庫ソリューション。
OSSEC –整合性、ルートキット、レジストリ検出など。

http://www.alienvault.com/community.php?section=Home

-ジョシュ

1
Josh Brower