Snort
Snort是一款卓越的入侵检测系统(IDS)工具。它需要一些硬件支持,并且需要花费时间进行安装、配置和维护。Snort可以在各种操作系统上使用,包括Windows和Linux。
Snort一直是入侵检测系统(IDS)和入侵防御系统(IPS)领域的佼佼者。随着开源社区的持续发展,Snort的母公司Sourcefire得到了持续的支持。多年来,Sourcefire提供了功能完善的商业版本Snort,同时仍然免费提供功能较为有限的免费版本Snort。因此,Snort有望继续保持其领先地位。
尽管Snort在该领域占据主导地位,但也有其他公司提供类似的免费工具。许多入侵检测系统(IDS)供应商(尽管不是大部分)会结合Snort或其他开源软件引擎,提供强大的免费入侵检测服务。
Security Onion
Security Onion是基于Ubuntu的Linux发行版,用于网络监控和入侵检测。用户可以在网络中部署该镜像作为传感器,监控多个VLAN和子网,特别适用于VMware和虚拟环境。目前配置只能当作入侵检测系统(IDS),并非入侵防御系统(IPS)。用户可选择将其用于网络和主机入侵检测,利用Squil、Bro IDS和OSSEC等服务实现该功能。Security Onion提供丰富的wiki和文档信息,记录并审查漏洞和错误。尽管功能强大,但仍需持续发展,这需要时间。
OSSEC
OSSEC是一种自由开源的主机入侵检测系统(HIDS),其功能远不止于入侵检测。与许多其他开源IDS产品一样,它同样有各种附加模块可与IDS的核心功能相结合。除了网络入侵检测功能外,OSSEC客户端还可进行文件完整性监测和rootkit检测,并提供实时警报,这些功能都可进行集中管理,并根据企业需求创建不同的策略。OSSEC客户端可在大多数操作系统上本地运行,包括各种Linux版本、Mac OSX和Windows。此外,它还提供商业支持,由趋势科技的全球支持团队提供,是一款极为成熟的产品。
OpenWIPS-NG
OpenWIPS-NG是一款免费的无线入侵检测/入侵防御系统,需要服务器、传感器和接口的支持。它能够在普通硬件上运行,由Aircrack-NG的开发者开发,利用Aircrack-NG的许多内置功能和服务进行无线网络扫描、检测和防御。OpenWIPS-NG具有模块化特点,允许管理员下载插件以扩展功能。虽然其文档不像其他系统那样详尽,但它允许公司在预算有限的情况下进行WIPS实施。
Suricata
在目前所有可用的IDS/IPS系统中,Suricata表现最佳,能够与Snort抗衡。它具有与Snort相似的架构,依赖于诸如Snort等的签名,甚至支持使用VRT Snort规则和与Snort相同的Emerging Threat规则集。Suricata更新频率高于Snort,有望超越后者。如果Snort不符合您企业的需求,Suricata这个免费工具是您企业网络的最佳选择。
Bro IDS
Bro IDS与Security Onion类似,利用较多的IDS规则来追溯攻击源。Bro IDS采用各种工具组合,以前会将基于Snort的签名转换为Bro签名,但已不再如此,用户现在可以编写自定义的Bro IDS签名。该系统拥有大量详尽文档,并已存在15年以上的历史。
在大多数IDS/IPS市场(包括免费软件和开源IDS/IPS),Snort毫无疑问是影响力最大的工具。本文提及的这些系统执行IDS/IPS之间可能有所不同,但都是实用的免费工具,帮助企业节省开支并更好地保护网络。
