Mit Blick auf Intrusion Detection in Red Hat Enterprise Linux 4
nicht autorisierte Benutzer Nachdem Sie Ihre Systeme Eingabe ist definitiv etwas, das Sie nicht wollen, zu geschehen. Natürlich wollen Sie sie zu stoppen, bevor sie in zu bekommen. Aber bevor Sie etwas über das halten unerwünschte Besucher tun können, müssen Sie zunächst wissen, ob jemand Ihre Systeme eingegeben hat. Dies ist, was Intrusion Detection dreht sich alles um: herauszufinden, ob jemand in Ihrem System ist, die dort nicht hingehört.
aktiven Detektions
Die meisten von uns überprüfen, um sicherzustellen, dass unsere Türen verschlossen sind, bevor wir ins Bett gehen in der Nacht oder das Haus verlassen. Wir tun dies, jemanden zu halten, aus in unser Haus bekommen, während wir schlafen oder während wir weg sind. In der gleichen Weise können Sie aktiv die Sperren auf Ihrem System überprüfen "Türen" sicher sein, dass keine unberechtigten Benutzer in bekommen können. Sie haben die Sicherheit Ihrer Systeme überprüfen können, indem sie aktiv Ihre Systeme für die bekannten Angriffsmethoden durch den Einsatz spezieller Software überprüft für diesen Zweck ausgelegt.
Ein solches Programm, das häufig verwendet wird, Systeme für offene Ports und andere Arten von Verbindungsinformationen zu überprüfen, ist nmap. Mit nmap, die ein Netzwerk für Exploration Werkzeug und Sicherheitsscanner ist, die mit der Standard-Installation von Enterprise Linux enthalten ist, können Sie Ihre Systeme scannen, um zu bestimmen, welche sind und welche Dienstleistungen sie anbieten. Sie können dann die Informationen verwenden, die Sie aus dem Scan erhalten, um zu bestimmen, wie sicher Ihre Systeme sind und was können Sie tun, um sie sicherer zu machen, falls erforderlich.
Passive Erkennung
Wie der Name schon sagt, mit passiven Detektion wird keine direkte Wirkung genommen, das System nach offenen Ports oder andere Schwachstellen zu testen. Diese Methode der Intrusion-Detection-Dateien verwendet, Systemprotokoll alle Verbindungen zum System zu verfolgen. Die Protokolldateien werden kontinuierlich vom Systemadministrator für Details überprüft, dass das System kompromittiert wurde hinweisen.
Sie können die Dateiintegrität Software, wie Tripwire, um einen Schnappschuss des Systems verwenden, wenn es vollständig konfiguriert und in Betrieb ist, wie es wäre, wenn mit dem Netzwerk verbunden. Der Snapshot enthält Informationen über die Systemkonfigurationsdateien und Betriebsparameter und auf dem System gespeichert. Periodisch wird die Momentaufnahme mit den gleichen Parametern auf dem laufenden System verglichen wird, für alle Änderungen suchen. Wenn Änderungen entdeckt werden, informiert Sie Tripwire die Änderungen, und damit wissen Sie, dass Ihr System beeinträchtigt gewesen sein könnte.
Obwohl passive Erkennung kann Ihnen sagen, dass Ihr System kompromittiert wurde, sagt es Ihnen erst nach dem Einbruch in aufgetreten ist. Der Schaden, der Eindringling könnte verursacht haben, werden Ihnen zu beschäftigen. Aktive Erkennung, auf der anderen Seite, gibt Ihnen die Möglichkeit, Ihre Systeme für offene Schwachstellen zu testen und die offenen Löcher zu schließen.