Fazit

Für eine erste Analyse reichen die genannten Tools sicher aus. Zusätzlich zu den getroffenen Maßnahmen kann man ein IDS (Intrusion Detection System) installieren und das System permanent auf Anomalien untersuchen lassen. Dabei kann eingestellt werden, bei was für einer Anomalie ein IDS einen Alarm ausgeben soll. Zum empfehlen für Linux Maschinen ist das bekannt IDS snort.

Snort ist ein Intrusion Detection System, dass anhand von Regeln Anomalien im Datenaustausch mit Servern und Clients sowie dem Internet erkennt und Warnungen ausgibt. Snort ist damit ein hilfreiches Werkzeug für Administratoren, um Angriffe frühzeitig zu erkennen. Im Verzeichnis ./var/log/snort/Alert/ werden die Alarmmeldungen ausgegeben, diese wiederum von logwatch abgeholt werden können. Snort arbeitet nach dem Verfahren der Datenanalyse, Datenauswertung und der anschließenden Datendarstellung. Es ist immer empfehlenswert, eine aktuelle Version von snort installiert zu haben. Aber auch die Regeln in der Datenbank sollten auf dem neuesten Stand sein. Wie Sie mit snort arbeiten und es konfigurieren können, erfahren Sie in diesem Workshop auf TecChannel. (TecChannel/ph)