Page 11 - Hướng Dẫn Cách Phòng Thủ Và Khắc Phục Sự Cố Máy Tính
P. 11
• Kiểm tra Hash, khả năng của Tripwire là rất lớn
trên Unix và Windows bởi vì các thuộc tính khác nhau của
các hệ thống íĩle. Tripvvire có thể được thay đổi để phù hỢp
vói các đặc điểm riêng biệt của mạng của bạn, và nhiều
Tripwire agents có thể tập trung một cách an toàn các dữ
liệu. Trong thực tế, bạn có thể sử dụng Tripwire để giám
sát bất kì một thay đổi nào trên hệ thống của bạn. Bởi vậy,
nó là một công cụ rất mạnh trong IDS
arsenal của bạn. Rất nhiều những công cụ khác (tất cả
đều là miến phí và là các phần mềm mã nguồn mở) được viết
để đáp ứng những công việc tương tự như thế. AIDE là một ví
dụ. AIDE (http://www.cs.tut.fí/~rammer/aide.html) là một
clone nổi tiếng của Tripwire.
Mấu chốt để sử dụng kiểm tra toàn vẹn hệ thổhg cho
một thiết bị phát hiện xâm nhập đó là xác định ranh giói
an toàn. Được thiết lập giống như một base line chỉ có thể
được thiết lập trước khi hệ thống được kết nốì với mạng.
Nếu không có trạng thái an toàn thì công cụ này sẽ bị giói
hạn rất nhiều, bởi vì những kẻ tấn công có thể đã giới
thiệu những thay đổi của họ vối hệ thống trước khi công cụ
kiểm tra trọn vẹn hoạt động lần đầu tiên. Trong khi hầu
như tất cả mọi công cụ đều yêu cầu một trạng thái
baseline trước khi bị tấn công thì một vài công cụ lại dựa
trên hiểu biết của chúng về các mối nguy hiểm. Một ví dụ
đó là công cụ chkrootkit (http://www.chkrootkit.org). Nó
tìm kiếm những dấu hiện xâm nhập phổ biến mà thuòng
hiển hiện trên các hệ thốhg bị tổn thương.
Kiểm tra toàn vẹn cung cấp một giá trị lớn nhất nếu
chúng có được một vài thông tin hưóng dẫn. Trước hết, nó
phải đưỢc phát triển trên một hệ thống hoàn toàn sạch sẽ
sao cho nó không phải ghi nhận các trạng thái dở dang
hoặc bị tổn thương như thông thường. Ví dụ, Tripwire nên
được cài đặt trên một hệ thống khi nó còn nguyên bản từ
19
