[Muokattu: 8.10.2014]

Miten tunkeutumisen voi havaita (3-B) [ < Tunkeutumisen h... < Tietoverkkoturv... ]

Tunkeutumisen havaitsemiseksi on periaatteessa kahdenlaisia menetelmiä: Likimain samoille asioille on muitakin nimityksiä: Tässä IDS = Intrusion Detection System.

Lokitiedostot ovat kaikissa menetelmissä keskeinen tietolähde, mutta on muitakin paikkoja mihin kannattaa katsoa. CERT:n (Computer Emergency Response Team) vuonna 1997 laatima UNIX-ylläpitäjän tarkistuslista hyökkäysten havaitsemiseksi näyttää tällaiselta: Tarkasta/etsi

  1. lokitiedostot: epätavalliset paikat, joista on otettu yhteyttä tai epätavalliset toimet.
  2. suid- ja sgid-tiedostot (esim. find-ohjelmalla)
  3. varusohjelmistot (system binaries)
  4. paketinnuuskijat (packet sniffers)
  5. tiedostot, joita ajetaan ajastettuina cron- tai at-ohjelmilla.
  6. ettei tarjolla ole valtuuttamattomia verkkoon päin tarjottavia palveluita (siis sellaisia, jotka inetd-demonin verkosta saama pyyntö käynnistäisi /etc/inetd.conf-tiedostossa olevien määritysten perusteella).
  7. /etc/passwd-tiedosto
  8. järjestelmän ja paikallisen verkon konfiguraatio (siis tiedostot joissa kerrotaan millä koneilla on erioikeuksia yhteyksiä muodostettaessa: /etc/hosts.equiv, /etc/hosts.lpd ja systeemitunnusten .rhosts-tiedostot).
  9. kaikkialta epätavalliset tai piilotetut tiedostot
  10. kaikki koneet paikallisessa verkossa
ja ryhdy turvapolitiikan määräämiin toimiin.

Yllä oleva "historiallinen" luettelo antaa edelleen oikean yleiskuvan. Jaotteluja tai painotuksia voi eri listoissa olla erilaisia ja tuoreemmissa tarkistuslistoissa voidaan viitata uudempiin työkaluihin. Näin on esimerkiksi tällä sivulla (2014) , jossa mainitaan rootkit-etsintä.