¿Qué software de FOSS le gusta usar para construir pilas de detección de intrusiones?

9

Las empresas de nueva creación y las organizaciones con presupuestos limitados que están preocupados por la seguridad a menudo se les recomienda desplegar pilas de detección de intrusos. Dado que la prevención siempre fallará , las acumulaciones de detección de intrusiones a menudo son vitales para saber por qué fallaron las defensas.

Soy un fan de la siguiente pila de intrusiones que cubre la capa de la aplicación, la capa del sistema y la capa de red:

  

sistema: OSSEC
  aplicación: ModSecurity
  red: FlowMatrix (engañé, este no es FOSS, ¡pero es gratis!)

¿Cuáles son tus pilas de intrusión favoritas (FOSS o gratuitas)?

    
pregunta Tate Hansen 16.11.2010 - 01:49
fuente

3 respuestas

5
respondido por el atdre 16.11.2010 - 02:00
fuente
5

Snort es un excelente IDS con un largo historial. He implementado un poco más de una docena de sensores en mi organización y continuamente estoy agregando más a la mezcla. La mayor desventaja de Snort es el hecho de que las versiones actuales son de un solo hilo, aunque eso cambiará con la próxima versión 3. Combinado con las reglas de Emerging Threats , me ha impresionado mucho el producto.

La plataforma completa consiste en:

Todo el registro se agrega mediante RSA enVision, aunque Splunk debería manejarlo bien.

    
respondido por el Scott Pack 08.12.2010 - 02:38
fuente
2

The Bro IDS enlace que ha sido financiado por el programa de Tecnologías Estratégicas para el Internet de la Fundación Nacional de Ciencia, DOE, DEC, y otros grupos de investigación. Tiene su propio sistema controlado por eventos y también puede importar reglas de Snort para la detección agregada basada en firmas.

    
respondido por el Weber 08.12.2010 - 00:16
fuente

Lea otras preguntas en las etiquetas