JackInTheBox

Hallo! Ich kann dir hierfür nur wärmstens "Snort" ans Herz legen. Ist OpenSource, kostet die Firma für ein Abo der Siganturen (würde ich auf jeden Fall immer nehmen, zumal für den Preis...) 399 US$ im Jahr, wird regelmäßig upgedatet und ist durch verschiedene anbindbare Frontends (Snort selber kommt ohne GUI oder Frontend, dass muss man zwingend dazu installieren... das man in der Bash die ganzen reports und incidents nicht vernünftig auslesen kann sollte sich von selbst erklären :D) und mann auch eigene Rules konfigurieren. Die Dokumentation zu Snort ist phänomenal gut und es gibt überall Anleitungen zur Installation, Konfiguration und Administration. Zudem ist es, je nach EInsatzszenario als HIDS, NIDS oder sogar als IPS verwendbar. Ganz nette Frontends sind Snorby, ACID, BASE (habe ich allerdings keine Erfahrungen mir) oder Sguil. Snorby ist was die web-based frontends angeht mein Favorit, wobei das echt tricky sein kann bei der Installation... das läuft mit ruby on rails und wenn da bei den gems dependencies fehlen muss man zeilen in der bash wälzen. Ist aber machbar und die Mühe wert, meiner Meinung nach. Zumal alle oben genannten frontends umsonst sind. Es gibt natürlich auch eine ganze Reihe von proprietären Tools die alles andere als günstig sein können, aber manchmal auch nicht mehr können als die kostenlosen Lösungen. Dann gibts da noch Suricata, das ist auch gut und brauchbar. Am besten in der Distro SELKS, da ist dann gleich so ziemlich alles bei was sich das Adminherz wünscht. SELKS: https://github.com/StamusNetworks/SELKS Suricata standalone: https://suricata-ids.org/ Snort: https://www.snort.org/ Snorby: https://github.com/Snorby/snorby BASE: https://sourceforge.net/projects/secureideas/ ACID: http://acidlab.sourceforge.net/ Sguil: https://bammv.github.io/sguil/index.html Hoffe ich konnte etwas helfen MfG