Linux Herramientas de detección de intrusiones

A pesar de los fallos de seguridad muy publicitados de los servidores de Google en China es un bien público, de alto perfil ejemplo de cálculo de intrusión en el sistema, los administradores de sistemas que monitorean los análisis de puertos y los intentos de intrusión a veces ver a decenas o cientos de exploraciones por día. Los análisis de puertos y los intentos de intrusión son mucho más comunes que muchas personas se dan cuenta. Aunque la mayoría de los puentes de Internet en casa neutralizan la mayor parte de estas exploraciones y los intentos, las empresas que necesitan puertos de Internet expuesta puede necesitar un más robusto sistema de detección de intrusos.

portsentry

La forma más básica de detección de intrusos en Linux es Portsentry. Cuando un usuario remoto se dirige a un sistema, un primer paso es común para escanear el sistema para puertos abiertos. Un puerto permite al hacker para conectarse a un sistema para tratar de romper la seguridad de dicho puerto. Portsentry detectará un escaneo de puertos y soltar todas las direcciones IP futuros de la dirección de Protocolo de Internet (IP) desde el que se originó la exploración. Portsentry es totalmente configurable y se puede enviar por correo electrónico los intentos de escaneo de puertos y las direcciones IP se originan a un administrador para una mayor investigación.

TAPAS

Sistema de detección de intrusiones Linux (tapas) es un módulo de nivel de núcleo que ayuda a las intrusiones de los sentidos y la funcionalidad del usuario límites de raíz, tales como puerto directo o acceso a la memoria y el disco sin procesar escribe. También protege a ciertos archivos de registro para detener a un intruso de cubrir sus pistas o cambiar las reglas del cortafuegos. TAPAS se instala como un módulo del núcleo para que el proceso imposible de matar a nadie, incluyendo a los usuarios root. La premisa básica de los párpados es hacer una llamada núcleo con cada operación de archivo para comprobar para ver si el archivo está protegido por las tapas y si el usuario está autorizado a acceder al archivo. Si no hay una coincidencia, se detecta una intrusión en base a un cómo está configurado el sistema.

Bufido

Snort es uno de los más con capacidad de los sistemas de detección de intrusos Linux. Combina un sistema altamente configurable de la firma, el protocolo y las inspecciones basadas en anomalías. Snort utiliza reglas lingüísticas flexibles para determinar qué datos deben ser bloqueados como una intrusión y qué datos deben ser permitidos pasar. Ofrece plug-ins para crear un sistema ampliable para la detección de tipos nuevos o emergentes de intrusiones. Puede ser configurado como un analizador de paquetes básico, un registrador de paquetes o un sistema de detección de intrusiones de red completa. Snort ofrece la comunidad descargable desarrollado reglas de detección de intrusos para ayudar a mantener la seguridad a través de 300.000 usuarios registrados de Snort.