Несколько лет назад мы создали решение IDS, поместив кран перед нашим внешним брандмауэром, направив весь трафик на DS1 через ящик IDS, а затем отправив результаты на сервер регистрации, на котором запущен ACiD. Это было примерно в 2005 году. Меня попросили обновить решение и расширить его, и, осмотревшись, я вижу, что последний выпуск ACiD был выпущен в 2003 году, и я не могу найти ничего, что казалось бы хоть отдаленно актуальным. Хотя все эти функции могут быть завершены, я беспокоюсь о конфликтах библиотек и т. Д. Может ли кто-нибудь дать мне предложения по решению на основе Linux / OpenBSD с использованием современных инструментов?
Для ясности, я знаю, что Snort все еще активно развивается. Думаю, я больше заинтересован в современной веб-консоли с открытым исходным кодом для консолидации данных. Конечно, если у людей есть большой опыт работы с IDS, помимо Snort, я рад слышать об этом.
Я думаю, что лучшие комбинации с открытым исходным кодом:
Для NIDS: Snort с BASE для веб-интерфейса
Для HIDS: OSSEC
Я также использую OSSEC для консолидации данных NIDS в одном месте (например, SIEM OSSEC выполняет анализ журналов, проверку целостности файлов и обнаружение руткитов).
Ссылки: http://www.snort.org http://www.ossec.net http://base.secureideas.net/
Вы можете использовать бесплатное решение с открытым исходным кодом на основе Prelude-IDS. http://www.prelude-ids.com/
Prelude IDS - это система SIM (Security Information Management) / IDS Framework.
Snort можно использовать как NIDS
Prelude LML as HIDS: наборы правил для SSH, Cisco PIX, Netfilter IPFW, Postfix, Sendmail ...
Prewikka - это официальный пользовательский интерфейс Prelude: веб-интерфейс на основе Python => https://dev.prelude-ids.com/wiki/prelude/ManualPrewikka
OSSIM.
OSSIM объединяет все подобные вещи. OSSEC, Snort и т. Д.
Открытый исходный код и бесплатно.
OSSIM имеет следующие программные компоненты:
Arpwatch - используется для обнаружения аномалий MAC.
P0f - используется для пассивного обнаружения ОС и анализа изменений ОС.
Контактные площадки - используются для обнаружения аномалий сервиса.
Nessus - используется для оценки уязвимостей и взаимной корреляции (IDS vs Security Scanner).
Snort - IDS, также используется для взаимной корреляции с nessus.
Spade - механизм обнаружения аномалий статистических пакетов. Используется для получения информации об атаках без сигнатур.
Tcptrack - используется для информации о данных сеанса, которая может оказаться полезной для корреляции атак.
Ntop - создает впечатляющую базу данных сетевой информации, из которой мы можем идентифицировать отклоняющееся поведение / обнаружение аномалий.
Nagios - загружается из базы данных ресурсов хоста, отслеживает информацию о доступности хоста и сервиса.
Осирис - великий HIDS.
OCS-NG - кроссплатформенное решение для инвентаризации.
OSSEC - целостность, руткит, обнаружение реестра и многое другое.
http://www.alienvault.com/community.php?section=Home
-Джош