Linux Intrusion Detection Verktøy

Linux Intrusion Detection Verktøy


Selv om de godt omtalte sikkerhetsbrudd av Googles servere i Kina er en offentlig, høyprofilerte eksempel på datasystemet inntrenging, systemadministratorer som overvåker port skanner og inntrengingsforsøk noen ganger se titalls eller hundrevis av skanninger per dag. Port skanner og inntrengingsforsøk er langt mer vanlig enn mange er klar over. Selv om de fleste hjem Internett broer nøytralisere de fleste av disse skanner og forsøk, kan bedrifter som trenger synlige Internett-porter trenger en mer robust intrusion detection system.

Portsentry

Den mest grunnleggende form av innbrudd oppdagelse på Linux er Portsentry. Når en hacker er rettet mot et system, er en vanlig første skritt til å skanne systemet for åpne porter. En port lar hackeren å koble til et system for å forsøke å bryte den porten sikkerhet. Portsentry vil oppdage en port scan og slippe alle fremtidige IP-adresser fra (IP) Internet Protocol-adresse som søket oppsto. Portsentry er fullt konfigurerbart og kan sende port scan forsøk og opprinnelses IP-adresser til en administrator for videre etterforskning.

LOKK

Linux Intrusion Detection System (lokk) er en kernel-nivå modul som hjelper fornuft inntrenging og rammer root brukerfunksjonalitet, for eksempel direkte port eller minnetilgang og rå disk skriver. Det beskytter også visse loggfiler for å stoppe en inntrenger fra å dekke sine spor eller endre brannmurregler. LOKK er installert som en kjernemodul for å gjøre prosessen unkillable for alle, inkludert root brukere. Den grunnleggende forutsetningen av lokk er å lage en kjerne samtale med hver fil operasjon for å sjekke om filen er beskyttet av lokk og hvis brukeren er autorisert til å få tilgang til filen. Hvis det ikke er en kamp, ​​er en inntrenging oppdages basert på et hvordan systemet er konfigurert.

Snort

Snort er en av de mest stand til Linux Intrusion Detection systemer. Den kombinerer en svært konfigurerbar system for undertegning, protokoll og anomali-baserte inspeksjoner. Snort bruker fleksible språkregler for å bestemme hvilke data som skal blokkeres som en forstyrrelse og hvilke data bør få lov til å passere. Det tilbyr plug-ins for å skape et utvidbart system for å oppdage nye eller emergent typer inntrenging. Den kan konfigureres som en grunnleggende pakke sniffer, en pakke logger eller en full nettverk intrusion detection system. Snort tilbyr nedlastbare samfunnet utviklet Intrusion Detection regler for å opprettholde sikkerheten på tvers Snort 300.000 registrerte brukere.