Документация<Предыдущая | Содержание: | Следующая>
Во всяком случае, способ регистрации всех видов деятельности в файлах всех типов в UNIX подтверждает, что «он что-то делает». Конечно, файлы журналов следует проверять регулярно, вручную или автоматически. Брандмауэры и другие средства контроля доступа, как правило, создают огромное количество файлов журналов, поэтому хитрость состоит в том, чтобы попытаться зарегистрировать только ненормальные действия.
10.5.5. Обнаружения вторжений
Системы обнаружения вторжений предназначены для обнаружения того, что могло пройти через брандмауэр. Они могут быть предназначены либо для обнаружения активной попытки взлома, либо для обнаружения успешного взлома постфактум. В последнем случае уже слишком поздно предотвращать какие-либо повреждения, но, по крайней мере, у нас есть раннее осознание проблемы. Существует два основных типа IDS: защищающие сети и защищающие отдельные хосты.
Для IDS на основе хоста это делается с помощью утилит, отслеживающих изменения файловой системы. Системные файлы, которые каким-то образом изменились, но не должны меняться, являются мертвым признаком того, что что-то не так. Любой, кто войдет и получит root-доступ, по-видимому, где-то внесет изменения в систему. Обычно это делается в первую очередь: либо он может вернуться через бэкдор, либо начать атаку против кого-то еще, и в этом случае он должен изменить или добавить файлы в систему. Некоторые системы поставляются с натяжные система мониторинга, которая задокументирована на веб-сайте Tripwire Open Source Project.