Detectores de ataque y monitarizacion

Iniciado por KiddArabic, Febrero 03, 2018, 12:41:34 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Saludos miembros de underc0de , me tome le tiempo de buscar y hacer una lista de los detectores firewalls,  waf y detectores comenzemos.

Snort

Snort es un sistema de detección de intrusos en red, libre y gratuito. Ofrece la capacidad de almacenamiento de bitácoras en archivos de texto y en bases de datos abiertas, como MySQL. Implementa un motor de detección de ataques y escaneo de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida.


Suricata

Suricata es un motor de detección de amenazas de red gratuito, maduro, sólido y de código abierto.

El motor Suricata es capaz de detección de intrusión en tiempo real (IDS), prevención de intrusiones en línea (IPS), monitoreo de seguridad de red (NSM) y procesamiento de pcap sin conexión.

Suricata inspecciona el tráfico de la red utilizando reglas potentes y extensas y lenguaje de firma, y ​​tiene un poderoso soporte de secuencias de comandos Lua para la detección de amenazas complejas.

Con formatos de entrada y salida estándar como las integraciones YAML y JSON con herramientas como los SIEM existentes, Splunk, Logstash / Elasticsearch, Kibana y otras bases de datos se vuelven fáciles.

El desarrollo impulsado por la comunidad de ritmo rápido de Suricata se centra en la seguridad, la usabilidad y la eficiencia.

El proyecto y el código de Suricata es propiedad y está respaldado por Open Information Security Foundation ( OISF ), una fundación sin fines de lucro comprometida con asegurar el desarrollo de Suricata y el éxito sostenido como un proyecto de código abierto.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

PfSense
pfSense es una distribución personalizada de FreeBSD adaptado para su uso como Firewall y Router. Se caracteriza por ser de código abierto, puede ser instalado en una gran variedad de ordenadores, y además cuenta con una interfaz web sencilla para su configuración.
www.pfsense.org


Tcpdump
Tcpdump es una herramienta para línea de comandos cuya utilidad principal es analizar el tráfico que circula por la red.

Permite al usuario capturar y mostrar en tiempo real los paquetes transmitidos y recibidos por la red a la cual el ordenador está conectado.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

OSSEC
OSSEC es una plataforma de monitorización y control de sistemas. Se trata de un sistema HIDS (Host Intrusion Detection System), es decir, un sistema de detección de intrusos. También se considera SIM (Security Incident Managament) A pesar de eso tiene más funciones, ya que tiene un servicio de log centralizado, un sistema de alertas y avisos, entre otras muchas funciones.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Nagios
Nagios es un sistema de monitorización de redes ampliamente utilizado, de código abierto, que vigila los equipos (hardware) y servicios (software) que se especifiquen, alertando cuando el comportamiento de los mismos no sea el deseado. Entre sus características principales figuran la monitorización de servicios de red (SMTP, POP3, HTTP, SNMP...), la monitorización de los recursos de sistemas hardware (carga del procesador, uso de los discos, memoria, estado de los puertos...), independencia de sistemas operativos, posibilidad de monitorización remota mediante túneles SSL cifrados o SSH, y la posibilidad de programar plugins específicos para nuevos sistemas.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Netflow
NetFlow es un protocolo de red desarrollado por Cisco Systems para recolectar información sobre tráfico IP. Netflow se ha convertido en un estándar de la industria para monitorización de tráfico de red, y actualmente está soportado para varias plataformas además de Cisco IOS y NXOS, como por ejemplo en dispositivos de fabricantes como Juniper, Enterasys Switches, y en sistemas operativos como Linux, FreeBSD, NetBSD y OpenBSD.



Ntop

es una herramienta que permite monitorizar en tiempo real una red. Es útil para controlar los usuarios y aplicaciones que están consumiendo recursos de red en un instante concreto y para ayudarnos a detectar malas configuraciones de algún equipo, (facilitando la tarea ya que, justo al nombre del equipo, aparece sale un banderín amarillo o rojo, dependiendo si es un error leve o grave), o a nivel de servicio.
www.ntop.org




tambien encontre a una persona que se dedica a hacer estas tools o programa aqui su repositorio de github: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

si se me paso alguno importante disculpen :)

fuentes:es.wikipedia.org,/geekytheory.com

¡Excelente! También quisiera agregar GlassWire, que monitorea en tiempo real las peticiones a internet de aplicaciones y servicios! Actúa también como Firewall


Saludos y al bookmark!

Buen aporte, me gustaría agregar a la lista Sophos UTM
En la oficina probé con Snort y PfSense, pero opte por Sophos UTM, sobretodo por la configurabilidad de las cuentas de Office 365, VPN´s, firewall, tenes buen control de lo que sucede tanto dentro como fuera del perímetro.
Es para tener en cuenta, no recuerdo bien, pero creo que hasta 10 equipos es gratuito.
Saludos.

 Sophos UTM tienes el link? y todo eso para probarlo y colocarlo en este post?

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Sophos UTM tienes el link? y todo eso para probarlo y colocarlo en este post?

Perdón por la demora, no vi el mensaje...
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Esa es la web de la compania, estuve buscando en donde estaba lo que comentaba de que hasta 10 IP´s era gratuito pero no lo encontré, pero estoy casi seguro que era asi, yo arranque con la version trial y mientras descubrí eso que te comento, para luego comprar el producto ya que lo necesito para más de 100 IP´s.
Saludos.

Buen post, buenas herramientas, me he descargado ntopng y es una maravilla, en windows ocupo glasswire pero para tener una pc vieja como firewall es excelente, asi es mas facil detectar mineros, bots, troyanos, stealer, keylogger buen aporte men.
saludos y gracias por compartir.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Buen post, buenas herramientas, me he descargado ntopng y es una maravilla, en windows ocupo glasswire pero para tener una pc vieja como firewall es excelente, asi es mas facil detectar mineros, bots, troyanos, stealer, keylogger buen aporte men.
saludos y gracias por compartir.

Gracias lo tengo que actualizar o crear uno nuevo ya a pasado bastante tiempo desde que hice este post.

Hola xD

también existe el Zabbix que es similar a Nagios pero mas "bonito" y los reportes son algo mas completos, pero para mi el regalón es Nagios y su versión XI

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola xD

también existe el Zabbix que es similar a Nagios pero mas "bonito" y los reportes son algo mas completos, pero para mi el regalón es Nagios y su versión XI

puedes colocar el enlace y alguna imagen y asi todos los otros los usuarios lo pueden checkear

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola xD

también existe el Zabbix que es similar a Nagios pero mas "bonito" y los reportes son algo mas completos, pero para mi el regalón es Nagios y su versión XI

puedes colocar el enlace y alguna imagen y asi todos los otros los usuarios lo pueden checkear


hola Estimado

el link de la aplicación es No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
aca en mi trabajo no se instalo finalmente por que tenian la licencia del Nagios XI y migraron finalmente a este, antes usaban la version free, pero con la licencia se paso a la XI

Zabbix se intento instalar pero daba algunos problemas y era algo tedioso instalar el agente en cada maquina
les dejo un video en youtube ya que un video vale mas que mil palabras



No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola xD

también existe el Zabbix que es similar a Nagios pero mas "bonito" y los reportes son algo mas completos, pero para mi el regalón es Nagios y su versión XI

puedes colocar el enlace y alguna imagen y asi todos los otros los usuarios lo pueden checkear


hola Estimado

el link de la aplicación es No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
aca en mi trabajo no se instalo finalmente por que tenian la licencia del Nagios XI y migraron finalmente a este, antes usaban la version free, pero con la licencia se paso a la XI

Zabbix se intento instalar pero daba algunos problemas y era algo tedioso instalar el agente en cada maquina
les dejo un video en youtube ya que un video vale mas que mil palabras




muchas gracias por compartir zabbix :) lo colocare en el post

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Para monitorizar y ver todo esto con ese protocolo es posible pero por ejemplo la estructura de la empresa consta de 12 portatiles y 1 de ellos es el fijo, en todos ellos hay que instalar el agente smtp, en el equipo fijo se puede instalar la base de algunos de estos programas, seria posible estar fuera de la empresa y vigilar la monitorizacion  en mi equipo ?

Primero necesitas tener claro qué quieres monitorizar y tener definido qué vas a hacer cuando detectes algo. Te interesa monitorizar seguridad, rendimiento, quieres que la respuesta ante amenazas sea automática o necesitas reportes, en fin tu necesidad te va a dar la herramienta y la heramienta te dará la arquitectura para su implantación.
"El mayor enemigo del conocimiento no es la ignorancia, sino la ilusión de conocimiento"

Hola Underc0ders. Leí todo el post y es muy interesante la cantidad de cosas que aprendí con solo leerlos. Entiendo que hace unos años el instalar zabbix fue tedioso pero actualmente hay una lista de reproducción por YouTube que muestra como montar un laboratorio con 4 agentes, 1 windows server 1 ubuntu, y 2 iguales pero con sus discos cifrados. Espero que sea de ayuda para alguien, como yo, está iniciando en el mundo de la seguridad informática.

Aquí les dejo el link de la Playlist: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta