jess LAND
       www.jessland.net		        Sponsored by:       
One eSecurity
www.one-esecurity.com
JISK Knowledgebase >>    About    News    Essentials    Architecture    FWs    IDS/IPS    Honeypots    Malware    Forensics   
  +  JSS Home    Projects    JSS Community    Events    News    Docs    About    Contact .

JISK > IDS IPS > Tools (Es) IDS_IPS Section Map

Herramientas de Detección y Prevención de Intrusos

Content Leader: Jess Garcia - Last Updated: February 23, 2007

Análisis de Tráfico

  • etherape - Monitor gráfico de red para sistemas Unix.
  • ethereal/tethereal - Potente sniffer y analizador de tráfico de red.
  • ipsumdump - Herramienta que resume volcados en fichero de tráfico TCP/IP en un formato ASCIL fácilmente entendible por lo humanos.
  • libpcap/winpcap - Librerías utilizadas y necesarias por muchas herramientas de análisis de tráfico y sniffers.
  • mergecap - Programa que combina y une múltiples ficheros de capturas en un solo fichero especificado de salida.
  • netdude - Visualizador de volcados de datos de tráfico de red y editor que permite de manera visual el análisis, inspección y manipulación de ficheros de trazas tipo tcpdump.
  • ngrep - Provee la mayoría de las características de la herramienta GNU grep, aplicándolas a la capa de red.
  • p0f - Versátil herramienta para identificación de sistemas operativos de manera pasiva (fingerprinting).
  • ssldump - Analizador de protocolos SSLv3/TLS, capaz de identificar conexiones TCP en las interfaces de red especificadas.
  • tcpbridge - Herramienta para puentear el tráfico de red a través de dos interfaces, modificando opcionalmente los paquetes en tránsito. Forma parte de la suite de herramientas tcpreplay.
  • tcpdpriv - Programa que permite la eliminación de información confidencial de paquetes de tráfico de red obtenidos desde un fichero ó interfaz de red.
  • tcpdump/windump - Robusta herramienta para la captura y análisis de tráfico de red.
  • tcpflow - Utilidad que captura datos transmitidos como parte de conexiones TCP (flows), de manera conveniente para el análisis y de debugging de protocolos.
  • tcpreplay - Herramienta bajo licencia BSD para sistemas UNIX que posibilita la reproducción de tráfico de red capturado usando el formato ofrecido por las librerías libpcap.
  • tcprewrite - Herramienta para reescribir los paquetes de un fichero pcap. Forma parte de la suite de herramientas tcpreplay.
  • tcpspy - Es una herramienta de administración que loguea información de entrada y salida de conexiones TCP/IP.
  • tcpstat - Utilidad que reporta estadísticas procedentes de interfaces de red, como vmstat hace para las estadísticas del sistema.
  • tcptrace - Herramienta para el análisis de tráfico tomándolas desde ficheros generados con herramientas de capturas de paquetes (incluyendo tcpdump).
  • tomahawk - Herramienta para reproducir ficheros de captura tcpdump de forma bidireccional a velocidades arbitrarias.

NIDS

  • arpwatch - Monitoriza actividad procedente de arquitecturas ethernet ó fddi y mantiene una base de datos de las direcciones ethernet/IP.
  • ASDIC - ASDIC es un sistema para análisis de tráfico avanzado. Se puede ver ASDIC como un firewall "inverso" que toma como entrada información desestructurada y cuya salida es un juego de reglas.
  • BASE - Basic Analysis and Security Engine. Herramienta para anáslisis de red, basada en el código del projecto ACID (Analysis Console for Intrusion Databases).
  • snort - Herramienta bajo licencia open source para la detección y prevención de intrusos.
  • shadow - Utilidad de seguridad IDS, resultado del proyecto originalmente llamado CIDER (Cooperative Intrusion Detection Evaluation and Response).
  • Sguil - Rápido y potente front-end para snort.
  • Snortcenter2 - Intuitiva herramienta para administración y gestión de sensores snort mediante interfaz web.
  • Aanval/Openaanval - Consola de visualización y administración para detección de intrusos que permite tomar información de diversas fuentes (snort, syslog, etc).
  • IDS Policy Manager - Herramienta para la administración de sensores IDS snort para entornos d distribuidos en sistemas Windows.
  • SNORTSAM - Plugin para Snort que permite el bloqueo automatizado d direcciones ip en distintos cortafuegos.
  • Bro-IDS - Sistema de detección de intrusos de red basado en Unix (NIDS) que monitoriza de manera pasiva el tráfico de red y observa tráfico sospechoso.
  • PADS - Utilidad que combina sniffers de red con motores de detección basados en reglas de manera similar a un sistema IDS, que permite observar los hosts y servicios que están corriendo dentro de una red.

HIDS

Genéricos

  • AIDE - (Advanced Intrusion Detection Environment). Es un sustituto libre de Tripwire.
  • Debcheck - Herramienta de chequeo de integridad integrada en sistemas Debian GNU/Linux.
  • Gherkin - Utilidad basada en web para la administración centralizada de escaners, permitiendo la incorporación e integración de escaneos de vulnerabilidad con Nessus, escaneos nmap, dns y nslookup, y resolución de hosts.
  • Host-sentry - Software que protege contra escaneos de puertos, automatiza la auditoria de ficheros de logs y detecta actividades sospechosas de logueo.
  • openSIMS - OpenSIMS es una herramienta que une NMap, Snort, y otras herramientas open source para constituir un sistema de gestión de la infraestructura de seguridad.
  • OpenHIDS - Potente herramienta libre para sistemas windows, para la detección de intrusos.
  • Os-hids - Software Open Source que analiza ficheros de logs (en tiempo real, como demonio) y realiza algunas acciones si encuentra actividad maliciosa.
  • OSSEC - Sistema detección de intrusos basado en host bajo licencia Open source. Realiza análisis de logs, chequeos de integridad, detección de rootkits, que alerta y realiza respuestas activas.
  • Prelude - Entorno IDS híbrido, posibilita la integración de distintas aplicaciones de seguridad en un mismo entorno.
  • Samhain - Sistema multiplataformas bajo licencia, que centraliza el chequeo de integridad de ficheros y la detección de intrusos basada en host.
  • snare - Entorno multiplataformas para la generación de informes y análisis.
  • tiger - Scripts programado en C, usado para la generación de auditorias de seguridad en sistemas Unix.
  • tripwire - Herramienta de seguridad y chequeo de integridad de datos usado para la monitorización y alertas en específícos cambios en ficheros.
  • Wkr - Realiza verificación activa de alertas, esta técnica permite reducir falsos positivos en IDS probando activamente una vulnerabilidad asociada con ataques detectados.

Logging Avanzado / Centralizado / Remoto

  • syslog-ng - flexíble y escalable herramienta de auditoria. Permite el almacenado seguro de logs centralizados en maquinas remotas (sustituto de syslog).
  • msyslog - MSyslog es un subsistema para sistemas operativos Unix, el cual reemplaza el tradicional demonio syslogd, aportando nuevas capacidades como la centralización de logs, preservación de la integridad de los archivos e incluso almacenamiento en bases de datos.
  • sdscsyslog - SDSC Syslog es un sustituto moderno y fiable de syslogd. Soporta los nuevos protocolos de syslog (RFC 3195) proporcionando soporte para entrega fiable. Es compatible hacia atrás con las antiguas versiones del protocolo sobre UDP.
  • Lasso - Recolector centralizado de eventos de Windows: fiable gracias al uso de TCP, compatible con syslog-ng, multi-threaded y con soporte para logs de aplicaciones de terceros.
  • Winlogd - Cliente syslog para Windows que permite al Log de Eventos hablar con syslog.

Análisis de logs y Correlación

  • logwatch - Sistema configurable para el análisis de logs.
  • logsurfer - Sistema diseñado para la monitorización de algunos ficheros de logs basados en texto en tiempo real en sistemas Unix.
  • logcheck - Simple utilidad diseñada para permitir a los administradores de sistemas, visualizar archivos de logs producidos en hosts bajo su control.
  • LoGS - Potente visualizador de eventos basado en logs.
  • Logias - Consola para la detección de intrusiones en tiempo real para sistemas Windows NT/2K/XP.
  • LogMonitor - Herramienta basada en LogIDS que presenta la información de una manera más amigable que el anterior agrupando los logs por aplicación.
  • Logrep- Entorno de seguridad multiplataforma para la recolección, extracción y presentación de información de distintos ficheros de logs.
  • newlogcheck - Herramienta script Unix para el chequeo y manipulación de logs.
  • __openSIMS - OpenSIMS ties together NMap, Snort, and other open source tools into a Security Infrastructure Management System.
  • OSSIM - Herramienta Open source que permite integrar y administrar en un mismo entorno distintas herramientas Open source. SIM CD.
  • Php-syslog-ng - Fron-end escrito php, que permite a usuarios ver los mensajes loguéos en mysql de syslog-ng en tiempo real.
  • SEC - (Simple Event Correlador). Herramienta Open source, independiente de la plataforma que permite la correlación de eventos.
  • Splunk - Splunk indexa y enlaza todos los datos que están siendo constantemente registrados por cualquier servicio, aplicación o dispositivo en el Data Center, independientemente de su fuente o formato.
  • swatch - Herramienta para monitorización active de logs en sistemas Unix.

Firewall logs

  • fwlogwatch - Analizador de filtros de paquetes (logs de cortafuegos y analizador de logs de IDS)
  • fwanalog - Script de shell que resume ficheros de logs de cortafuegos.
  • iptablelog - Analizador de log para IPTables en un bonito entorno HTML.
  • hatchet - Herramienta para la presentación y visualización de logs (para logs de OpenBSD PF).
  • fwlogview - Visualizador gráfico de logs para cortafuegos (Linux netfilter/iptables, CISCO PIX y *BSD ipfilter).

Detectores de Rootkits

  • chkrootkit - Herramienta para sistemas Unix/Linux para el chequeo y búsqueda de rootkits.
  • klister - Conjunto de herramientas paras sistemas Windows 2000, que muestra información acerca del estado del sistema (incluyendo procesos ocultos típicos de los rootkits).
  • Rootkit Revealer - Avanzado y fácil sistema de detección de rootkits para sistemas basados en Windows NT 4 ó superior.
  • Rootkit Profiler LX - Toolkit para detección de rootkits a nivel del Kernel

Copyright © 2000-2008 Jessland - Jess Garcia's Website - All rights reserved.