Comprenda las cuatro herramientas principales de detección de intrusiones IDS para la plataforma Linux

Si solo tienes una computadora, es posible que pases mucho tiempo examinando las debilidades y los problemas del sistema. Tal vez realmente no quieres esto, pero es posible. Sin embargo, en el mundo real, necesitamos algunas buenas herramientas para ayudarnos a monitorear el sistema y advertirnos sobre dónde pueden surgir los problemas, para que siempre podamos relajarnos. La detección de intrusiones puede ser uno de los problemas que nos preocupan. Sin embargo, siempre hay dos cosas, pero afortunadamente los administradores de Linux tienen poderosas herramientas para elegir. La mejor estrategia es adoptar un enfoque en capas, que es combinar los programas anticuados como Snort e iptables con algunas fuerzas nuevas como psad, AppArmor y SELinuxu. Con herramientas de análisis poderosas, siempre podemos De pie a la vanguardia de la tecnología.

En los tiempos modernos, cualquier cuenta de usuario en la máquina puede usarse para hacer el mal. El autor cree que todo el enfoque está en proteger la raíz, al igual que otras cuentas de usuario no son importantes. Esta es una debilidad crónica y de larga data en la seguridad de Linux y Unix. Una recarga simple puede reemplazar un archivo del sistema dañado, pero ¿qué pasa con los archivos de datos? Cualquier intrusión tiene el potencial de causar mucho daño. De hecho, para difundir el spam, copiar archivos confidenciales, proporcionar archivos de música o películas falsos y lanzar ataques a otros sistemas, no es necesario tener acceso a la raíz.

IDS New Pamper: PSAD

Psad es la abreviatura de Port Scanning Attack Detection Program. Es una nueva herramienta que trabaja en estrecha colaboración con iptables y Snort para mostrarnos todos los intentos maliciosos de ingresar a la red. Intento Este es mi sistema de detección de intrusiones de Linux preferido. Utiliza una serie de herramientas de snort que se pueden usar junto con los registros de fwsnort e iptables, lo que significa que incluso puede profundizar en la capa de la aplicación y realizar un análisis de contenido. Puede realizar análisis de encabezados de paquetes como Nmap, alertar a los usuarios e incluso configurarlo para bloquear automáticamente las direcciones IP sospechosas.

De hecho, un aspecto clave de cualquier sistema de detección de intrusos es la captura y análisis de grandes cantidades de datos. Si no hace esto, solo se puede arruinar a ciegas y realmente no puede ajustar el IDS de manera efectiva. Podemos exportar los datos de PSAD a AfterGlow y Gnuplot para saber quién está atacando el firewall y mostrarlo en una interfaz amigable.

Viejo y fuerte: Snort

Igual que un anciano de confianza, Snort ha madurado con la edad. Es una herramienta liviana y fácil de usar que funciona de manera independiente o con psad e iptables. Podemos encontrarlo e instalarlo desde la distribución de Linux de la biblioteca, lo que debería ser una gran mejora con respecto a la instalación del código fuente anterior. En cuanto a mantener las reglas actualizadas, es igual de simple, ya que como actualizador e hipervisor de reglas de Snort, oinkmaster también se encuentra en la distribución de Linux.

Snort es fácil de administrar, aunque tiene algunos requisitos de configuración. Para comenzar, la configuración predeterminada no es aplicable a la mayoría de los sistemas de red porque incluye todas las reglas que no son necesarias. Entonces, lo primero que debemos hacer es borrar todas las reglas innecesarias, de lo contrario, afectará el rendimiento y generará algunas advertencias falsas.

Otra estrategia importante es ejecutar Snort en modo secreto, lo que significa escuchar una interfaz de red sin una dirección IP. En una interfaz que no tenga una dirección IP asignada, como ifconfig eth0 up, ejecute Snort con la opción -i, como snort – i eth0. También es posible que si su programa de administración de red se está ejecutando en el sistema, le "ayude" a mostrar los puertos que aún no están configurados, por lo que se recomienda borrar el programa de administración de red.

Snort puede recopilar grandes cantidades de datos, por lo que debe agregar BASE (Basic Analysis and Security Engine) para obtener una herramienta de análisis visual amigable con una ACID más antigua (Intrusion Database Analysis Console). Fundacion

Conciso y conveniente: chkrootkit y rootkit

El programa de detección de rootkits chkrootkit y rootkit Hunter también se consideran programas de detección de rootkits veteranos. Obviamente, son una herramienta más confiable cuando se ejecuta desde un dispositivo externo no grabable, como cuando se ejecuta desde un CD o una unidad USB protegida contra escritura. Me gusta la tarjeta SD debido al interruptor protegido contra escritura. Estos dos programas pueden buscar rooktkits conocidos, puertas traseras y ataques locales, y pueden encontrar actividades sospechosas limitadas. La razón por la que necesitamos ejecutar estas herramientas es que pueden ver /proc, ps y otras actividades importantes en el sistema de archivos. Aunque no son para la red, pueden escanear rápidamente las computadoras personales.

All-rounder: Tripwire

Tripwire es un producto de detección de intrusos e integridad de datos que permite a los usuarios crear un estado de servidor básico que representa la configuración óptima. No evita que ocurran daños, pero puede comparar el estado actual con el estado ideal para determinar si se han producido cambios inesperados o intencionales. Si se detecta algún cambio, se reducen al estado con los obstáculos menos operativos.

Si necesita controlar los cambios en los servidores Linux o UNIX, tiene tres opciones: Tripwire de código abierto, la versión de servidor de Tripwire y Tripwire de Enterprise Edition. Aunque estos tres productos tienen algo en común, tienen una gran cantidad de aspectos diferentes, lo que hace que este producto cumpla con los requisitos de los diferentes entornos de TI.

Por ejemplo, el código abierto de Tripwire es adecuado para monitorear una pequeña cantidad de servidores, ya que esta situación no requiere control e informes centralizados, la versión del servidor de Tripwire requiere monitoreo del servidor solo en plataformas Linux /UNIX /Windows. Las organizaciones de TI que proporcionan informes detallados y la gestión optimizada del servidor centralizado son una solución ideal, y Enterprise Edition Tripwire proporciona TI para auditar de forma segura las configuraciones entre servidores Linux /UNIX /Windows, bases de datos, dispositivos de red, equipos de escritorio y servidores de directorios. La organización es la mejor opción.