Mar 212002
 

Galas klausė: Kaip susekti įsilaužimą į, sakykim, kokią *bsd sistemą ?

Guru atsako:

Trumpai atsakyti galima būtų taip. Susekti įsilaužimą į BSD sistemą padeda Snort ir integrity-checker’iai.
Integrity-checker – tai tokia sistema, kuri tikrina, ar sistemos failai nebuvo pakeisti, remiantis prieš tai padaryta fingerprint’ų duombaze, laikoma NE tame serveryje, kurį tikrina.
Snort – lightweight NIDS (Network Intrussion Detection System) http://www.snort.org/.
NIDS / IDS Intrussion Detection System – tai įsibrovimų aptikimo sistema. NIDS (toks kaip snort) gali būti ir programa, ir programų sistema. Tinkle siūloma įkurti IDS kompą, kuris tik ir sektų, ar niekas nesilaužia. Galima laikyti IDS ir tame pačiame kompe, kurį norite apsaugoti.
Integrity checker’is – tai ne IDS. Tai programa, sudaranti sisteminių failų fingerprint’ų duombazę ir paskui pagal ją galima pasakyti, ar failas buvo pakeistas. Tarkime, įsibrovėlis pakeičia originalią ‘login’ arba ‘sshd’ programą savo paties parašyta su pakeitimais, kad jo neprašytų slaptažodžio. Paskui jis specialiomis utilitomis sutvarko programos dydį, tapatų originalui. Kitomis utilitomis sutvarko creation/access datas. Bet jis negali padirbti MD5 (toks algoritmas) fingerprint’o – tai neįmanoma esamomis techninėmis sąlygomis. Nors ir trojanas atrodys 100% kaip originali programa, integrity-checker’is pastebės, kad tai neoriginalus failas.
Gerą dokumentaciją ir nuorodas apie integrity-checker’ius rasite adresu: http://rr.sans.org/start/verify.php
Tripwire šiaip laikomas populiariausiu integrity-checkeriu, Snort – geriausiu nekomerciniu NIDS.

Susiję straipsniai:

  • Susijusių straipsnių nėra
 Posted by at 12:00 am

Sorry, the comment form is closed at this time.

Bad Behavior has blocked 315 access attempts in the last 7 days.