Strumenti Linux Intrusion Detection

December 11

Strumenti Linux Intrusion Detection


Anche se le violazioni della sicurezza ben pubblicizzati su server di Google in Cina è un pubblico, di alto profilo esempio di calcolo delle intrusioni di sistema, amministratori di sistema che controllano la scansione delle porte e tentativi di intrusione a volte vedere decine o centinaia di scansioni al giorno. scansioni delle porte e tentativi di intrusione sono molto più comuni di quanto si pensi. Sebbene la maggior parte dei ponti a casa Internet neutralizzare la maggior parte di queste scansioni e tentativi, le aziende che hanno bisogno di porte Internet esposti possono avere bisogno di un sistema di rilevamento delle intrusioni più robusto.

portsentry

La forma più elementare di rilevamento delle intrusioni su Linux è Portsentry. Quando un hacker si rivolge a un sistema, un primo passo comune è quello di eseguire la scansione del sistema per le porte aperte. Una porta consente all'hacker di connettersi a un sistema per tentare di violare la sicurezza di quel porto. Portsentry rileverà una scansione delle porte e rilasciare tutti gli indirizzi IP future dall'indirizzo IP (Internet Protocol) da cui ha avuto origine la scansione. Portsentry è completamente configurabile e può e-mail i tentativi di scansione delle porte e gli IP provenienti da un amministratore per ulteriori indagini.

COPERCHI

Linux Intrusion Detection System (coperchi) è un modulo a livello di kernel che aiuta le intrusioni di senso e funzionalità utente limiti della radice, come porta di accesso diretto o memoria e disco grezzo scrive. Protegge anche alcuni file di log per fermare un intruso di coprire le sue tracce o cambiare le regole del firewall. COPERCHI è installato come un modulo del kernel per rendere il processo unkillable a chiunque, inclusi gli utenti root. La premessa di base dei coperchi è quello di effettuare una chiamata kernel con ogni operazione di file per verificare se il file è protetto da coperchi e se l'utente è autorizzato ad accedere al file. Se non c'è una corrispondenza, un'intrusione viene rilevata sulla base di un modo in cui il sistema è configurato.

sbuffo

Snort è uno dei più compatibile dei sistemi antintrusione Linux. Esso combina un sistema altamente configurabile della firma, il protocollo e le ispezioni anomalie-based. Snort usa regole linguistiche flessibili per determinare quali dati devono essere bloccati come un'intrusione e quali dati dovrebbero essere autorizzati a passare. Offre i plug-in per creare un sistema espandibile per la rilevazione di nuovi o emergenti tipi di intrusioni. Esso può essere configurato come una ventosa di pacchetto base, un logger pacchetto o un sistema di rilevamento delle intrusioni di rete completa. Snort offre comunità scaricabile sviluppato regole di rilevamento delle intrusioni per aiutare a mantenere la sicurezza in tutto 300.000 utenti registrati di Snort.


Articoli Correlati