Olhando para Detecção de Intrusão no Red Hat Enterprise Linux 4
Tendo usuários não autorizados que entram seus sistemas é definitivamente algo que você não quer que aconteça. Claro que você quer para detê-los antes que eles cheguem. Mas antes que você pode fazer algo sobre manter a entrada de visitantes indesejados, você primeiro precisa saber se alguém entrou seus sistemas. Isto é o que de detecção de intrusão é tudo sobre: descobrir se alguém está em seu sistema que não pertence lá.
detecção ativa
A maioria de nós certifique-se de que as nossas portas estão trancadas antes de ir para a cama à noite ou sair de casa. Fazemos isso para manter alguém de entrar em nossa casa enquanto estamos dormindo ou enquanto estamos longe. Em grande parte da mesma forma, você pode verificar ativamente os bloqueios em seu sistema "portas" para ter certeza de que nenhum usuário não autorizadas podem entrar. Você pode verificar a segurança de seus sistemas verificando ativamente os seus sistemas para métodos de ataque conhecidos usando um software especial concebido para este propósito.
Um tal programa que é comumente usado para verificar os sistemas de portas abertas e outros tipos de informações de conectividade é nmap. Com nmap, que é uma ferramenta de exploração de rede e scanner de segurança que está incluído com a instalação padrão do Enterprise Linux, você pode digitalizar seus sistemas para determinar quais são e quais os serviços que estão oferecendo. Você pode então usar as informações que você obter da varredura para determinar como proteger seus sistemas é eo que você pode fazer para torná-los mais seguros, se necessário.
detecção passiva
Como o próprio nome indica, com detecção passiva, nenhuma ação direta é levado para testar o sistema de portas abertas ou outras vulnerabilidades. Este método de detecção de intrusão utiliza arquivos de log do sistema para rastrear todas as ligações ao sistema. Os arquivos de log são continuamente revisados pelo administrador do sistema para obter detalhes que indicariam que o sistema tenha sido comprometida.
Você pode usar software de integridade de arquivos, tais como Tripwire, para tirar um instantâneo do sistema quando ele está totalmente configurado e funcionando como seria quando conectado à rede. O instantâneo contém informações sobre arquivos de configuração do sistema e parâmetros de funcionamento e é armazenado no sistema. Periodicamente, o instantâneo é comparado com os mesmos parâmetros sobre o sistema funcionando, olhando para quaisquer alterações. Se as alterações forem descobertos, Tripwire informa sobre as mudanças e, assim, você sabe que seu sistema pode ter sido comprometida.
Embora a detecção passiva pode dizer-lhe que o seu sistema tenha sido comprometida, diz-lhe só depois ocorreu o arrombamento. Qualquer dano que o intruso pode ter causado será seu para lidar com eles. detecção ativa, por outro lado, dá-lhe a oportunidade de testar os seus sistemas em busca de vulnerabilidades abrir e fechar os buracos abertos.