Documentação<Anterior | Conteúdo | Próxima>
No mínimo, a maneira UNIX de registrar todos os tipos de atividades em todos os tipos de arquivos confirma que "está fazendo alguma coisa". Obviamente, os arquivos de log devem ser verificados regularmente, manualmente ou automaticamente. Firewalls e outros meios de controle de acesso tendem a criar grandes quantidades de arquivos de log, então o truque é tentar registrar apenas atividades anormais.
10.5.5. Detecção de intruso
Os sistemas de detecção de intrusão são projetados para detectar o que pode ter passado pelo firewall. Eles podem ser projetados para detectar uma tentativa de invasão ativa em andamento ou para detectar uma invasão bem-sucedida após o fato. Neste último caso, é tarde demais para evitar qualquer dano, mas pelo menos temos consciência precoce de um problema. Existem dois tipos básicos de IDS: os que protegem as redes e os que protegem os hosts individuais.
Para IDS baseado em host, isso é feito com utilitários que monitoram o sistema de arquivos em busca de mudanças. Os arquivos do sistema que foram alterados de alguma forma, mas não deveriam ser alterados, são um sinal de que algo está errado. Qualquer pessoa que entrar e obter acesso root provavelmente fará alterações no sistema em algum lugar. Normalmente, essa é a primeira coisa a fazer, seja para que ele possa voltar por uma porta dos fundos ou para lançar um ataque contra outra pessoa; nesse caso, ele precisa alterar ou adicionar arquivos ao sistema. Alguns sistemas vêm com o tripwire sistema de monitoramento, documentado no site do Tripwire Open Source Project.