Bien que les failles de sécurité très médiatisées des serveurs de Google en Chine est un bien public , par exemple haut-profil de l'informatique intrusion du système , les administrateurs système qui surveillent les scans de ports et de tentatives d'intrusion parfois voir des dizaines ou des centaines de pages par jour . Les analyses de ports et les tentatives d'intrusion sont beaucoup plus fréquent que beaucoup de gens réalisent . Bien que la plupart des ponts d'Internet à domicile neutraliser la plupart de ces analyses et les tentatives , les entreprises qui ont besoin de ports Internet exposée peut avoir besoin d'un système de détection d'intrusion plus robuste. Portsentry La forme la plus élémentaire de détection d'intrusion sur Linux est Portsentry . Quand un pirate vise un système , une première étape commune consiste à analyser le système pour les ports ouverts . Un port permet au pirate de se connecter à un système de tenter de violer la sécurité de ce port. Portsentry détectera un scan de port et déposez toutes les adresses IP futures de l'adresse de protocole Internet (IP) à partir de laquelle le balayage est originaire. Portsentry est entièrement configurable et peut envoyer un courriel portuaires tentatives de balayage et les adresses IP provenant d' un administrateur pour complément d'enquête . SDIODE système de détection des intrusions Linux ( LIDS ) est un noyau module de niveau qui permet intrusions des sens et des limites des fonctionnalités de l'utilisateur root , comme le port direct ou accès à la mémoire et disque brut écrit . Elle protège également certains fichiers journaux d'arrêter un intrus de couvrir ses pistes ou la modification des règles de pare-feu . SDIODE est installé comme un module du noyau pour rendre le processus unkillable à n'importe qui, y compris les utilisateurs des racines. La prémisse de base de couvercles est de faire appel au noyau à chaque opération de fichier pour vérifier si le fichier est protégé par un couvercle et si l'utilisateur est autorisé à accéder au fichier. S'il n'y a pas un match, une intrusion est détectée sur la base d'une manière dont le système est configuré. Snort Snort est l'un des plus capable des systèmes de détection d'intrusion Linux. Il combine un système hautement configurable de la signature , le protocole et l'inspection basée sur les anomalies . Snort utilise des règles linguistiques flexibles pour déterminer quelles données doivent être bloqués comme une intrusion et quelles données devraient être autorisés à passer. Il propose des plug-ins pour créer un système extensible pour détecter de nouvelles ou émergentes types d'intrusions . Il peut être configuré comme un renifleur de paquets de base, un enregistreur de paquets ou un système de détection d'intrusion réseau complet. Snort propose des règles de détection d'intrusion communautaires développé téléchargeables pour aider à maintenir la sécurité à travers 300.000 utilisateurs enregistrés de Snort .
|