Detecção de Intrusos com AIDE
What you'll learn
- Aumentar o nível de segurança dos seus servidores Linux, BSD e outros
- Instalar e configurar o AIDE
- Enviar notificação de alertas por e-mail
- Conceitos básicos de expressões regulares (regex)
- Realizar verificações de integridade aplicando diversas regras no AIDE
Requirements
- É preciso ter um conhecimento básico em sistemas de arquivos Linux
- Você precisa do Oracle VirtualBox instalado em seu computador para simular
Description
O que é o AIDE?
AIDE (Advanced Intrusion Detection Environment) é um programa de detecção de intrusão. Mais especificamente, um verificador de integridade de arquivos.
O AIDE constrói uma base de dados dos arquivos especificados em aide.conf, o arquivo de configuração do AIDE. O banco de dados AIDE armazena vários atributos de arquivo, incluindo: tipo de arquivo, permissões, número de inode, usuário, grupo, tamanho do arquivo, mtime e ctime, atime, tamanho crescente, número de links e nome do link.
O AIDE também cria um checksum ou hash de cada arquivo usando um ou uma combinação dos seguintes algoritmos de resumo de mensagem: sha1, sha256, sha512, md5, rmd160, tigre, haval, crc32 (pode ser compilado no whirlpool se o suporte mhash for acessível).
Além disso, os atributos acl, xattr, selinux e e2fsattrs podem ser usados quando ativados explicitamente durante o tempo de compilação.
Como funciona?
Depois de uma invasão, um administrador pode começar examinando o sistema usando ferramentas de sistema como ls, ps, netstat e who — as ferramentas mais prováveis de serem trojanadas. Imagine essas ferramentas tenham sido alteradas para não mostrar qualquer arquivo chamado “sniffedpackets.log” e que ps e netstat foram reescrito para não mostrar qualquer informação para um processo chamado “sniffdaemond”. Até mesmo um administrador que já havia imprimido em papel as datas e tamanhos desses arquivos de sistema não podem comparar que eles não foram modificados de alguma forma. Datas do arquivo e tamanhos podem ser manipulados, alguns root-kits melhores tornam isso trivial.
Embora seja possível manipular datas e tamanhos de arquivos, é muito mais difícil manipular uma única soma de verificação criptográfica como md5, e exponencialmente mais difícil de manipular cada um de todas a matrizes checksum que o AIDE suporta. Executando novamente o AIDE após uma invasão, um administrador do sistema pode identificar rapidamente as alterações nos arquivos e tem um grau bastante elevado de confiança quanto à precisão.
O que é o curso de AIDE?
Este curso aborda na prática a instalação e configuração do AIDE de forma que seja possível implementar várias de suas regras em ambiente de produção e inclusive enviar notificações de alertas.
Ao final do curso você será capaz de implementar em ambiente de produção e aumentar o nível de segurança de seus servidores ou de clientes. Além disso, também poderá receber alertas por e-mail.
O Instrutor
Eduardo Fraga é Graduado em Redes de Computadores com MBA em Gerenciamento de Projetos e Governança de T.I., possui várias certificações como: LPIC3, LPIC-303, LPIC-304, IBM System Expert Blade Center e ITILv3 Foundation.
Mais de 17 anos de experiência na área de TI e diversos projetos implementados na área de infrastrutura de redes.
Atualmente trabalha como Analista Administrador de Redes. É instrutor da FAME Treinamentos onde é co-fundador. Também é fundador da EF-TECH onde presta serviços de consultoria.
Total de alunos 3.253
Cursos 8
Avaliações 1.045
Who this course is for:
- Analistas de redes, administradores de sistemas e seguranças.
- Estudandes de TI
- Interessados em aumentar a segurança de sistemas Linux e afins
Instructors
A nossa escola surgiu com a idéia de fornecer treinamentos online (modelo EAD com aulas gravadas) voltados para a área de Tecnologia da Informação e com um preço acessível. A premissa é que nossos cursos sejam o mais práticos possíveis e que ao final do mesmo, entregue algo de valor tangível ao aluno.
Diferente de outras escolas online que simplesmente mostram as funções de algum sistema, geralmente sem conexão direta entre os assuntos, nos cursos da FAME nós vamos construindo o objeto do curso, passo-a-passo com o aluno no decorrer das aulas, de forma que no final do curso, o aluno possua algo funcional e útil ao mercado.
Nossas aulas são planejadas bem antes do início da gravação, testamos cada passo para que você não tenha problemas durante a execução. Além disso, editamos o som e o vídeo de todas as aulas, pois não achamos legal que nossos alunos tenham que escutar ruídos que possam tirar a sua atenção. Para você ter idéia, uma vídeo-aula de 20 min pode levar até 2h para ser produzida!
Através dos nossos cursos, temos ajudado diversas empresas espalhadas por todo Brasil a melhorarem seus setores de TIC, além de ajudar também em outros setores destas, através do curso de OTRS por exemplo.
Arquiteto de soluções em nuvem, co-fundador e instrutor da FAME Treinamentos. Também é sócio proprietário da EF-TECH onde presta serviços de consultoria desde 2004.
MBA em Gerenciamento de Projetos, MBA em Governança de T.I., Graduado em Redes de Computadores, possui várias certificações como: Kubernetes Administrator, AWS Certified Solutions Architect, AWS Cloud Practitioner, LPIC3, LPIC-303, LPIC-304, IBM System Expert Blade Center e ITILv3 Foundation.
Mais de 20 anos de experiência na área de TI e diversos projetos implementados na área de infraestrutura de redes.