Linuxプラットフォーム上の4つのIDS侵入検知ツールを理解する

コンピュータが1台しかない場合は、システムの弱点と問題点を慎重に検討することに多くの時間を費やすことは十分に可能です。たぶんあなたは本当にこれを望んでいませんが、それは可能です。しかし、現実の世界では、システムを監視し、問題が発生する可能性がある場所について警告するための優れたツールが必要です。したがって、いつでもリラックスできます。侵入検知は、私たちが心配している問題の1つです。しかし、常に2つのことがありますが、幸いなことにLinux管理者には選択可能な強力なツールがあります。最善の戦略は、Snortやiptablesなどの古くからあるプログラムをpsad、AppArmor、SELinuxuなどの新しい機能と組み合わせることである、階層化されたアプローチを採用することです。技術の最前線に立っています。

現代では、悪意のあるユーザーのアカウントが悪用される可能性があります。著者は、他のユーザーアカウントが重要ではないのと同様に、根本的な保護に重点を置いていると考えており、これはLinuxおよびUnixのセキュリティにおける長年にわたる慢性的な弱点です。単純なリロードで破損したシステムファイルを置き換えることができますが、データファイルについてはどうですか？どんな侵入でも多くの損傷を引き起こす可能性があります。実際、スパムの拡散、機密ファイルのコピー、偽の音楽ファイルや映画ファイルの提供、他のシステムへの攻撃を仕掛けるために、rootにアクセスする必要はまったくありません。

IDS New Pamper：PSAD

Psadは、ポートスキャン攻撃検出プログラムの略で、iptablesやSnortと密接に連携して、悪意のあるネットワークへの侵入を試みる新しいツールです。試みてください。これは私のお気に入りのLinux侵入検知システムです。 fwsnortおよびiptablesのログと組み合わせて使用​​できるsnortツールを多数使用しています。つまり、アプリケーション層にドリルダウンしてコンテンツ分析を実行することもできます。 Nmapのようなパケットヘッダ解析を実行し、ユーザに警告し、疑わしいIPアドレスを自動的にブロックするように設定することさえ可能です。

実際、あらゆる侵入検知システムの重要な側面は、大量のデータの取得と分析です。これをしなければ、それは盲目的にしかめちゃくちゃにできず、実際にIDSを効果的に調整することはできません。 PSADデータをAfterGlowとGnuplotにエクスポートして、誰がファイアウォールを攻撃しているのかを知り、わかりやすいインターフェースで表示することができます。

老いて強い：Snort

信頼できる老人として、Snortは年齢とともに成熟してきました。これは、スタンドアローンまたはpsadとiptablesで動作する軽量で使いやすいツールです。これは、Linuxディストリビューションのライブラリーから見つけてインストールすることができます。これは、過去のソースコードのインストールを大幅に改善したものです。ルールの更新を維持することに関しては、Snortのルールアップデータおよびハイパーバイザと同様に、oinkmasterもLinuxディストリビューションに含まれているので、同じことが簡単です。

Snortは管理が簡単ですが、設定要件がいくつかあります。はじめに、デフォルト設定には不要なルールがすべて含まれているため、ほとんどのネットワークシステムには適用できません。したがって、最初にしなければならないことは、不要なルールをすべてクリアすることです。そうしないと、パフォーマンスが低下し、誤った警告が生成されます。

もう1つの重要な戦略は、Snortをシークレットモードで実行することです。これは、IPアドレスなしでネットワークインターフェースを監視することを意味します。 IPアドレスが割り当てられていないインタフェース（ifconfig eth0 upなど）では、snort - i eth0のように-iオプションを付けてSnortを実行します。ネットワーク管理プログラムがシステム上で実行されている場合は、まだ設定されていないポートを表示するのに役立つので、ネットワーク管理プログラムを消去することをお勧めします。

Snortは大量のデータを収集する可能性があるため、古いACID（侵入データベース分析コンソール）を使用したわかりやすい視覚分析ツールを入手するには、BASE（基本分析およびセキュリティエンジン）を追加する必要があります。財団

簡潔で便利：chkrootkitとrootkit

ルートキット検出プログラムchkrootkitとrootkit Hunterも、ベテランのルートキット検出プログラムと見なされています。明らかに、CDや書き込み禁止のUSBドライブから実行する場合のように、書き込み不可の外部デバイスから実行する場合、これらはより信頼できるツールです。私はSDカードが書き込み禁止スイッチのために好きです。これら2つのプログラムは、既知のルートキット、バックドア、およびローカルの悪用を検索し、限定的な疑わしい活動を見つけることができます。これらのツールを実行する必要があるのは、ファイルシステム上の/proc、ps、その他の重要なアクティビティを確認できるからです。彼らはネットワークのためではありませんが、彼らはすぐにパソコンをスキャンすることができます。

オールラウンダー：Tripwire

Tripwireは、ユーザーが最適な設定を表す基本的なサーバー状態を構築できる侵入検知およびデータ整合性製品です。損傷を防ぐことはできませんが、現在の状態と理想的な状態を比較して、予期しない変更や意図的な変更が行われたかどうかを判断できます。何らかの変化が検出された場合は、操作上の障害が最も少ない状態に変更されます。

LinuxまたはUNIXサーバーへの変更を管理する必要がある場合は、3つの選択肢があります。オープンソースのTripwire、サーバーバージョンのTripwire、およびEnterprise EditionのTripwireです。これら3つの製品には共通点がありますが、それらにはさまざまな側面があり、この製品はさまざまなIT環境の要件を満たしています。

たとえば、オープンソースのTripwireは、集中管理やレポート作成を必要としないため、少数のサーバーの監視に適しています; Tripwireのサーバーバージョンは、Linux /UNIX /Windowsプラットフォームでのみサーバー監視を必要とします。詳細なレポート作成と最適化された集中型サーバー管理を提供するIT組織は理想的なソリューションであり、Enterprise Edition TripwireはLinux /UNIX /Windowsサーバー、データベース、ネットワークデバイス、デスクトップ、ディレクトリサーバー間の構成を安全に監査するITを提供します。組織が最良の選択です。