AIDE
-
Upload
manuel-fdz -
Category
Technology
-
view
44 -
download
3
Transcript of AIDE
![Page 1: AIDE](https://reader035.fdocuments.us/reader035/viewer/2022081816/55a4bdec1a28aba1788b47c3/html5/thumbnails/1.jpg)
![Page 2: AIDE](https://reader035.fdocuments.us/reader035/viewer/2022081816/55a4bdec1a28aba1788b47c3/html5/thumbnails/2.jpg)
¿Para qué sirve?
Su función es crear una base de datosque permita comparar los checksum dedistintos momentos de un sistema,para encontrar alteraciones en el
código de fuente.
![Page 3: AIDE](https://reader035.fdocuments.us/reader035/viewer/2022081816/55a4bdec1a28aba1788b47c3/html5/thumbnails/3.jpg)
¿Cómo funciona?
Construye una base de datos dearchivos especificados en AIDE.conf
La base de datos de AIDE almacenavarios atributos dearchivo, incluyendo:
Permisos, usuario, grupo, tamaño, mtime, ctime, atime, aumento detamaño, número de enlaces y nombredel enlace.
![Page 4: AIDE](https://reader035.fdocuments.us/reader035/viewer/2022081816/55a4bdec1a28aba1788b47c3/html5/thumbnails/4.jpg)
Crea un checksum criptográfico o hashpara cada archivo usando uno o unacombinación de varios de lossiguientes algoritmos:
• sha1
• sha256
• sha512
• md5
• rmd160
• tiger
![Page 5: AIDE](https://reader035.fdocuments.us/reader035/viewer/2022081816/55a4bdec1a28aba1788b47c3/html5/thumbnails/5.jpg)
¿En qué momento se utiliza?
Normalmente, el administrador debecrear una base de datos de AIDEcuando su sistema es nuevo, antesde ser colgado en internet.
AIDE funciona como una capturafotográfica del estado normal(incorrupto) del sistema.
![Page 6: AIDE](https://reader035.fdocuments.us/reader035/viewer/2022081816/55a4bdec1a28aba1788b47c3/html5/thumbnails/6.jpg)
Después de una sospecha, un administradorutiliza herramientas del sistema comols, ps, netstat y who; son lasherramientas más frecuentementemodificadas por los intrusos.
Es posible que no detecten una intrusiónpor una modificación en su código fuente.
Esto es muy fácil de hacer para losexpertos en la intrusión.
![Page 7: AIDE](https://reader035.fdocuments.us/reader035/viewer/2022081816/55a4bdec1a28aba1788b47c3/html5/thumbnails/7.jpg)
Sin embargo, es sencillo encontraruna modificación a las herramientasdel sistema al contrastar diferenteshash.
![Page 8: AIDE](https://reader035.fdocuments.us/reader035/viewer/2022081816/55a4bdec1a28aba1788b47c3/html5/thumbnails/8.jpg)
Para saber más, consulte las siguientes fuentes:
Manual de AIDE [inglés]
http://aide.sourceforge.net/stable/manual.html
AIDE en Debian 6.0 Squeeze [español]
http://www.redes-seguridad.com.ar/2011/05/aide-ids-en-debian-60-squeeze.html
Linux: Detección de Intrusos con AIDE [inglés]
http://www.youtube.com/watch?v=iy0AsbtTv2k