<Trước | Nội dung | Tiếp theo>

Nếu có bất cứ điều gì, cách UNIX ghi tất cả các loại hoạt động vào tất cả các loại tệp xác nhận rằng "nó đang làm một cái gì đó." Tất nhiên, các tệp nhật ký nên được kiểm tra thường xuyên, thủ công hoặc tự động. Tường lửa và các phương tiện kiểm soát truy cập khác có xu hướng tạo ra một lượng lớn tệp nhật ký, vì vậy mẹo là hãy thử và chỉ ghi lại các hoạt động bất thường.

10.5.5. Phát hiện xâm nhập

Hệ thống phát hiện xâm nhập được thiết kế để bắt những gì có thể đã vượt qua tường lửa. Chúng có thể được thiết kế để bắt một nỗ lực đột nhập đang diễn ra hoặc để phát hiện một vụ đột nhập thành công sau thực tế. Trong trường hợp thứ hai, đã quá muộn để ngăn chặn bất kỳ thiệt hại nào, nhưng ít nhất chúng ta có nhận thức sớm về một vấn đề. Có hai loại IDS cơ bản: loại bảo vệ mạng và loại bảo vệ các máy chủ riêng lẻ.

Đối với IDS dựa trên máy chủ, điều này được thực hiện với các tiện ích giám sát các thay đổi của hệ thống tệp. Các tệp hệ thống đã thay đổi theo một cách nào đó, nhưng không nên thay đổi, sẽ là một món quà chết khi có gì đó không ổn. Bất kỳ ai xâm nhập và có quyền truy cập root có lẽ sẽ thực hiện các thay đổi đối với hệ thống ở đâu đó. Đây thường là việc đầu tiên được thực hiện, để anh ta có thể quay lại thông qua một cửa hậu hoặc để khởi động một cuộc tấn công chống lại người khác, trong trường hợp đó, anh ta phải thay đổi hoặc thêm tệp vào hệ thống. Một số hệ thống đi kèm với bẫy ưu đãi hệ thống giám sát, được ghi lại trên trang web của Dự án Nguồn mở Tripwire.

<Trước | Nội dung | Tiếp theo>