Sistemas de detección de intrusos

Los sistemas de detección de intrusos (IDS) nos permitirán examinar distintos aspectos de nuestro sistema para realizar determinadas alertas que nos puedan servir para saber si alguien ha intentado penetrar en nuestro sistema operativo, o si lo ha hecho. Existen numerosas herramientas para Linux que de un modo u otro se aproximan al perfil de herramientas para detección de intrusos veamos algunas de ellas:

• Tripwire. Tripwire es una utilidad clásica en UNIX para realizar comprobaciones sobre el estado de nuestros ficheros. Tripwire realiza digest con nuestros ficheros y los almacena para posteriormente comprobar si estos han cambiado o no. Se realizan sobre ficheros del sistema que no deberían cambiar a no ser que alguien con intenciones aviesas los haya modificado para sus propositos.

• Logcheck. Logcheck es una utilidad que bucea periódicamente en nuestros ficheros de log buscando situaciones sospechosas en los mismos ( escaneos de puertos, fallos en algun demonio, etcétera ) de las cuales alerta mediante mails. Es un programa escrito en perl al que es muy facil cambiarle las alertas para generar las nuestras propias.

• LIDS. LIDS es la abreviatura de Linux Intrussion Detection system, un proyecto que ha desarrollado parches para el núcleo de Linux y alguna utilidad de administracion de modo que soporte por ejemplo ACLs ( Listas de control de accesos ) o determinados métodos de deteccion de intrusos, como un chequeo de escaneo de puertos.

• Otros programas interesantes: SHADOW, COAST IDS o AIDE.