Linux Intrusion Detection Tools

Indlæg af Hanne Mølgaard Plasc

  Selvom de velkendte sikkerhedsbrud på Googles servere i Kina er et offentligt, højt profileret eksempel på systemintråbning, kan systemadministratorer, der overvåger portscanninger og indtrængningsforsøg, til tider se tiere eller hundredvis af scanninger pr. Dag. Portscanninger og indbrud forsøg er langt mere almindelige end mange mennesker indser. Selv om de fleste hjemme-internetbroer neutraliserer de fleste af disse scanninger og forsøg, kan virksomheder, der har brug for eksponerede internetporte, have brug for et mere robust indbrudsdetekteringssystem.

Portsentry

Den mest grundlæggende formular af indbrudsdetektering på Linux er Portsentry. Når en hacker er rettet mod et system, er et fælles første skridt at scanne systemet til åbne porte. En port gør det muligt for hacker at oprette forbindelse til et system for at forsøge at krænke den pågældende ports sikkerhed. Portsentry vil registrere en portscanning og slette alle fremtidige IP-adresser fra den IP-adresse, som scanningen stammer fra. Portsentry er fuldt konfigurerbar og kan sende e-mail port scanningsforsøg og de oprindelige IP'er til en administrator for yderligere undersøgelse.

LIDS

Linux Intrusion Detection System (LIDS) er et kernel-niveau modul, der hjælper med at mærke indtrængen og begrænser rodbrugeren funktionalitet, såsom direkte port eller hukommelse adgang og rå disk skriver. Det beskytter også visse logfiler for at stoppe en indtrenger fra at dække hans eller hendes spor eller ændre firewallregler. LIDS er installeret som et kernelmodul for at gøre processen utilgængelig for alle, herunder root-brugere. Den grundlæggende forudsætning for LIDS er at foretage et kernelopkald med hver filhandling for at kontrollere, om filen er beskyttet af LIDS, og hvis brugeren er autoriseret til at få adgang til filen. Hvis der ikke er en kamp, ​​registreres et indbrud baseret på en hvordan systemet er konfigureret.

Snort

Snort er en af ​​de mest kapable til Linux-indtrængningssystemer. Det kombinerer et stærkt konfigurerbart system af signatur-, protokol- og anomaliebaserede inspektioner. Snort bruger fleksible sprogregler til at bestemme, hvilke data der skal blokeres som en indtrængen, og hvilke data skal have lov til at bestå. Det tilbyder plug-ins til at oprette et ekspanderbart system til opdagelse af nye eller fremkommelige typer af indtrængen. Det kan konfigureres som en grundlæggende pakke sniffer, en pakke logger eller et fuldt netværk indbruddetekteringssystem. Snort tilbyder downloadbare community-udviklede regler for registrering af indtrængen for at hjælpe med at opretholde sikkerheden på tværs af Snorts 300.000 registrerede brugere.