IPtables for Fun -- Implementare un firewall in linux: Hardening the system : Rilevare le intrusioni

5.3 Rilevare le intrusioni

Beh, di tool per rilevare le intrusioni ce ne sono a decine disponibili sulla rete. Alcuni che vi posso consigliare sono:

logcheck, per rilevare le differenze nei file di log in maniera più o meno intelligente, in modo da non aver mega e mega di log da leggere ogni giorno.
tripwire o equivalenti (in debian sono disponibili debsums e debsig-verify, sicuramente molto utili e funzionali), per rilevare modifiche non volute ai file.
msyslogd o syslog-ng, per essere sicuri che i log non vengano alterati (possono usare entrambi dei sistemi di checksumming crittografici per memorizzare i log). Inoltre, sono in grado di trasmettere in maniera abbastanza sicura i log da una macchina all'altra. Questo potrebbe darvi garanzie ancora maggiori sull'autenticità di questi log.
snort, per rilevare scansioni o attacchi conosciuti dalla rete (viene considerato un IDS, ovvero, Intrusion Detection System).
netacctd, per tenere traccia delle connessioni effettuate.
arpwatch, per monitorare le workstation sulle varie reti ed eventualmente rilevare tentativi di arp spoofing.
tcpdump, nel caso in cui il peggio accada, per loggare tutto il traffico e tentare di risalire al colpevole (creando, magari, uno script che lo carichi come demone con delle opzioni tipo -nei eth0 -s 2048 -w /var/log/traffic.dump).

E molti altri... (suggerimenti sono benvenuti).

Process accounting

Abilitando nel kernel l'opzione ``General Setup/BSD Process Accounting'' è possibile utilizzare il ``process accounting''. Il ``process accounting'' consente di mantenere delle statistiche su ogni comando eseguito sul sistema, statistiche come l'utente che l'ha eseguito, la cpu che ha utilizzato, il tempo che e` stato eseguito e simili.

Per utilizzare il process accounting è possibile installare utility come ``acct'', ``lastcomm'' ed ``sa'', in Debian contenute tutte nel pacchetto ``acct''. Questo stesso pacchetto si occupa durante il processo di boot di chiamare ``accton nomefile.log'', che altro non fa che abilitare il process accounting dicendo al kernel di salvare le informazioni acquisite nel file di log indicato, generalmente ``/var/account/pacct''.

Una volta abilitato, sarà possibile utilizzare utility come ``sa'', per avere delle statistiche sugli ultimi comandi eseguiti e ``lastcomm'' per vedere i comandi eseguiti da ogni utente, divisi per tempo di esecuzione, terminale da cui sono stati lanciati e da alcuni flag indicanti come il comando sia stato eseguito.

Avanti Indietro Indice