DOCSLIB.ORG

Herramienta Tipo Snort NIDS BRO NIDS Suricata NIDS/IPS Security Onion NIDS Openwips-NG WIPS (Wireless) Sagan NIDS Vortexids NIDS

Total Page:16

File Type:pdf, Size:1020Kb

Download full-text PDF Read full-text

Load more

Open source y freeware Herramienta Tipo Snort NIDS BRO NIDS Suricata NIDS/IPS Security Onion NIDS OpenWIPS-NG WIPS (wireless) Sagan NIDS VortexIDS NIDS OSSEC HIDS Prelude SIEM Gestión SnortReport Gestión OSSIM Gestión SGUIL Gestión SIDSC Gestión IRDM-HTN IRS OrBAC IRS Comerciales (ordenados por top sellings y cuadrante mágico de gartner) Herramienta Tipo Sourcefire Cisco NGIPS TippingPoint IPS IPS Check Point IPS IPS HP-UX HIDS McAfee Network Security Platform IPS RealSecure Server Sensor HIDS RealSecure Network Sensor NIDS ISA Server HIDS Cisco Secure Intrusion Detection System NIDS Dragon NIDS ArcSight SIEM platform Gestión GFI Events Mananger Gestión Cisco Security Information Event Gestión McAfee Enterprise Log Manager Gestión Management Gestión Open source y freeware URL https://www.snort.org/ https://www.bro.org/ http://suricata-ids.org/ http://securityonion.net http://openwips-ng.org/ http://sagan.quadrantsec.com/ https://github.com/jandre/vortex-ids http://www.ossec.net/ https://www.prelude-ids.org/ http://freecode.com/projects/snortreport http://trac.osgeo.org/ossim/ sguil.sourceforge.net/ http://sourceforge.net/projects/sidsc/ Cita:Mu, C., & Li, Y. (2010). An intrusion response decision-making model based on hierarchical task network planning. Expert systems with applications, 37(3), 2465-2472. http://orbac.org/ Comerciales (ordenados por top sellings y cuadrante mágico de gartner) URL http://www.sourcefire.com/ www8.hp.com/ https://www.checkpoint.com/ https://h20392.www2.hp.com/ http://www.mcafee.com/ ibm.com/services/us/iss http://www.iss.net http://www.isaserver.org/ http://www.cisco.com http://www.enterasys.com/ids http://www.ndm.net/siem/arcsight/ http://www.gfi.com/ www.cisco.com/ http://www.mcafee.com https://www.alienvault.com/ Open source y freeware Características principales Análisis de tráfico en tiempo real, captura el tráfico que circula por la red aprovechando al máximo los recursos de procesamiento, (velocidad máxima de monitoreo 1Gbps) Basado en UNIX, monitorea pasivamente el tráfico de la red en busca de actividaees sospechosas, tiene la capacidad de realizar análisis multicapa. Basado en un motor para el monitoreo de la Seguridad en la red.Es el NIDS mas joven pero con desarrollo rápido. Puede analizar más tráfico de red que Snort y de manera eficiente. Es un IDS de red basado en distribución Linux, puede ser distribuido como sensores en la red permitiendo monitorerar multiples VLANs, compartible con ambientes viruales, compatible con BRO y OSSEC Creado por Aircrack-NG, utiliza algunos servicios y funciones ya desarrollados como el de escaneo, dtección y prevención de intrusos y permite descargar plugins para mejorar la herramienta. Está escrito en C y utiliza una arquitectura multi-hilo para ofrecer un alto registro de rendimiento y análisis de eventos . Compatible con Snort y " Snortsam " A partir de un fichero .pcap , es capaz de reensamblar los flujos TCP para crear una serie de fichero con los datos de la captura para su posterior análisis. Es un proyecto de gestión de Logs, que monitoriza una máquina, y detecta las anomalías que puedan producirse en ella. Utilizando herramientas para la detección de rootkits, y tiene la capacidad de analizar logs. IDS distribuido que recolecta, correlaciona y analiza todos los eventos de sensores remotos IDS, sensores del sistema local Es un módulo adicional para el sistema de detección de intrusiones Snort . Proporciona informes en tiempo real de la base de datos MySQL generado por Snort . OSSIM es sinónimo de código abierto de gestión de seguridad de la información. Su objetivo es proporcionar una recopilación completa de las herramientas que, al trabajar juntos, conceder a los administradores de red / seguridad con una visión detallada sobre cada aspecto de las redes , hosts , dispositivos de acceso físicos y servidores. Presenta una interfaz gráfica de usuario intuitiva que proporciona acceso a los eventos en tiempo real, datos de la sesión , y capturas de paquetes. Sguil facilita la práctica de la supervisión de la seguridad de redes y análisis orientado a eventos . Es una consola basada en navegador para la visualización y gestión de Snort IDS alertas . Es un IRS presentado en el 2010 que basa su criterio de valoración de riesgos en metricas de ataque Sistema de Respuesta a Intrusiones que define un framework conceptual e industrial que protege a la red de manera proactiva Comerciales (ordenados por top sellings y cuadrante mágico de gartner) Características principales Nueva generación de IPS, después de su alianza con cisco, lider en la detección de amenazas basado en red con una velocidad efectiva de hasta 60Gbps. Opera en línea en la red, brindando una seguridad proactiva de la red optimizando el desempeño del tráfico deseado mediante una limpieza continua en la red El Sistema de prevención de intrusiones de Check Point Software ofrece alto rendimiento con la ventaja de implementación y administración de una solución de servidor de seguridad unificada y escalable . Es un software de seguridad basado en host que permite a los administradores supervisar de forma proactiva , detectar y responder a los dos ataques conocidos y desconocidos que se originan en la red o en el host IPS que escubre y bloquea amenazas sofisticadas en la red mediante el uso de múltiples técnicas de detección basadas en firmas , la emulación en tiempo real , y la integración de punto final . Herramienta de IBM que ofrece un IDS e IPS en tiempo real. Es un sensor que analiza los eventos y logs de cada host bloqueando actividad maliciosa. El sensor de la red busca miles de firmas de ataques conocidos para detectar intrusiones, debe ser instalado en una máquina dedicada. Integrado en un hardware preconfigurado que incluye un servidor con una versión reducida de Windows Server preinstalado Anteriormente llamado NetRanger, El sistema de detección de intrusiones de Cisco Secure ( PEIDC ) es un IDS en tiempo real , basado en la red diseñados para detectar , informar y poner fin a la actividad no autorizada a través de una red La arquitectura del Dragón se compone de uno o más sensores controlados desde un servidor central el cual administra la configuración de cada sensor. Ofrece un conjunto de herramientas para obtener información SIEM - seguridad y gestión de eventos. Es un dispositivo autónomo , y los programas de gestión se ejecutan en Linux , Windows , AIX y Solaris . Administrador de log de eventos que para garantizar la fiabilidad, seguridad, disponibilidad e integridad del sistema, monitorea y administra una plataforma completa TI. Es un infraestructura CISCO que integra firewalls, routers, IDS, IPS y otros sistemas que son fuentes de eventos de seguridad de información. Proporciona reportes necesarios para identificar las amenazas críticas , responder rápidamente y con facilidad frente a los requisitos de cumplimiento . Conjunto de herramientas bajo la licencias GPL, diseñadas para facilitar la administración de la seguridad de una red mediante la detección y prevenciónde intrusos. Análisis Comparativo IDS Open Source Herramientas Bro Snort Suricata Procesamiento Multihilo No No Yes Soporte completo de IPv6 Yes Some Complete reputación IP Somewhat No Yes (soon) Detección automatizada Protocolo Yes No Yes Aceleración GPU No No Yes (soon) Variables globales / Flowbits Yes No Yes (soon) Soporte en línea de Windows No No Yes GeoIP búsquedas Yes No Yes (soon) Avanzada de análisis HTTP Yes No Yes HTTP Registro de acceso Yes No Yes SMB Acceso Registro Planned No Yes (soon) HTTP ListaBloqueados búsquedas Yes No Yes (soon) libre Yes Some Yes En desarrollo…. IPS SIEM .
Recommended publications
  • Prototype Open-Source Software Stack for the Reduction of False

    Prototype Open-Source Software Stack for the Reduction of False

    CYBER 2018 : The Third International Conference on Cyber-Technologies and Cyber-Systems Prototype Open-Source Software Stack for the Reduction of False Positives and Negatives in the Detection of Cyber Indicators of Compromise and Attack Hybridized Log Analysis Correlation Engine and Container-Orchestration System Supplemented by Ensemble Method Voting Algorithms for Enhanced Event Correlation Steve Chan Decision Engineering Analysis Laboratory San Diego, California U.S.A. email: [email protected] Abstract—A prototypical solution stack (Solution Stack #1) black boxed commercial offering itself. Accordingly, with chosen Open-Source Software (OSS) components for an MSSPs are endeavoring to put forth their own offerings experiment was enhanced by hybridized OSS amalgams (e.g., (also for market differentiation), in a white box fashion; for Suricata and Sagan; Kubernetes, Nomad, Cloudify and Helios; the purposes of adhering to Joyce’s recommendation, the MineMeld and Hector) and supplemented by select modified white box approach can be, in some cases, more effective algorithms (e.g., modified N-Input Voting Algorithm [NIVA] modules and a modified Fault Tolerant Averaging Algorithm than the black box approach, but it is a much more difficult [FTAA] module) leveraged by ensemble method machine pathway in terms of the sophistication needed to understand learning. The preliminary results of the prototype solution and appropriately orchestrate the various involved stack (Stack #2) indicate a reduction, with regards to cyber subsystems. By way of example, a Verizon Data Breach Indicators of Compromise (IOC) and indicators of attack Report had articulated that those with robust log analysis (IOA), of false positives by approximately 15% and false and correlation were least likely to be a cyber victim; yet, negatives by approximately 47%.
  • Logging and Monitoring at Home Who Am I

    Logging and Monitoring at Home Who Am I

    Defending the Homeland Logging and Monitoring at home Who am I @nullthreat Offensive Red Team for a major company I break stuff Started security @ CNDSP ADT for networks @ DOD Designed and Deployed NSM on DOD net Talking Points Perimeter Firewall Central Logging Host IDS Network IDS Basic Honeypots Deployment Strategies Disclaimer: The ideas and solutions presented are my opinion, feel free to disagree. OS'es I use all Linux and Macs at home I will not be talking about Windows at all, deal with it Won't matter once we are talking NIDS Firewalls on the Cheap As I see it there is only one good solution in this space PFSense http://www.pfsense.org ● Fork of MonoWall ● Robust Firewall based on PF(FreeBSD) ● Multiple VPN Support built-in ○ OpenVPN, IPSec, L2TP, PPTP ● Package based add-ons ○ pfBlocker(block netblocks), Snort, Squid ● Runs on almost anything, Full PC or Embedded Embedded Solutions ALIX 2D3/2D13 ~ 200$ @ store.netgate.com PFsense on Alix Setup Pauldotcom.com tech segement from episode 220 Google "alix pfsense pauldotcom" and you'll find the show notes Spark notes: Download IMG, Write to CF Card, Boot, Use Serial Terminal to do initial setup PFSense on Alix Setup Pro Tip: Don't put the box together until you flash the OS onto the card, You have to take the entire box apart to get the CF Card in and out. PFSense Demo Other Options Surplus Cisco/Juniper/Checkpoint Hardware Consumer Firewall Solutions http://en.wikipedia. org/wiki/List_of_router_or_firewall_distributions Firewalls Questions? Central Logging I do this on my servers and VPSs Could do on clients but....meh Usually the same box that hosts my NIDS stuff Lots of options syslogd Ol' reliable Been around since the dawn of freaking time originally part of sendmail circa 1980s UDP Only(in most cases) Easy-ish to configure but hard to really dial in syslogd Server: set -r flag in /etc/sysconfig/syslog ex.

  • Logging and Monitoring to Detect Network Intrusions and Compliance Violations in the Environment

    Interested in learning more about security? SANS Institute InfoSec Reading Room This paper is from the SANS Institute Reading Room site. Reposting is not permitted without express written permission. Logging and Monitoring to Detect Network Intrusions and Compliance Violations in the Environment Log Management and Intrusion Detection solutions have been evolving for years. Yet, it remains a challenge for organizations of all sizes to meet the operational, audit and security needs using these solutions. This paper presents a solution to bridge logging, log based intrusion detection and network based intrusion detection using well known free open source tools available on the Security Onion Linux Distribution. It walks through the logging, monitoring and alerting approach necessary for security, compliance and q... Copyright SANS Institute Author Retains Full Rights AD Logging and Monitoring to Detect Network Intrusions and Compliance Violations in the Environment . ts h g ri GIAC (GCIA) Gold Certification ll u f Author: Sunil Gupta, [email protected] s Advisor: Dr. Kees Leune in ta re r Accepted: July 4, 2012o th u , A te tu ti Abstract s n Log Management and Intrusion I Detection solutions have been evolving for years. Yet, it remains a challenge for organizationsS of all sizes to meet the operational, audit and security needs using these solutions. ThisN paper presents a solution to bridge logging, log based intrusion detection A and network Sbased intrusion detection using well known free open source tools available on the Security Onion Linux Distribution. It walks through the logging, monitoring and alerting 12 approach0 necessary for security, compliance and quality of service.

  • Shadow Sensor Configuration Policy

    Guy Bruneau – [email protected] Build Securely Suricata with Sguil Sensor Step-by-Step Powered by Slackware 64-Bit Linux By Guy Bruneau, GSE (GSEC, GCIA, GCIH, GCUX, GCFA, GPEN) Version 8.0 – 17 June 2015 INTRODUCTION .........................................................................................................................................3 DETAILED INSTALLATION, CONFIGURATION AND PARTITIONING THE DRIVE ................4 DATABASE AND SENSOR ..............................................................................................................................4 Note on MySQL Drive size estimate: .......................................................................................................5 INSTALL THE SOFTWARE ..............................................................................................................................5 SGUIL CLIENT CONFIGURATION ...................................................................................................................6 Sguil sguil.conf update ............................................................................................................................7 CLIENT ACCESS TO DATABASE ....................................................................................................................8 TCP WRAPPER - SSH ...................................................................................................................................8 IPTABLES FIREWALL ....................................................................................................................................8