Detecção de Intrusos com AIDE
- 1.5 hours on-demand video
- 11 articles
- 1 downloadable resource
- Full lifetime access
- Access on mobile and TV
- Certificate of Completion
Get your team access to 4,000+ top Udemy courses anytime, anywhere.
Try Udemy for Business- Aumentar o nível de segurança dos seus servidores Linux, BSD e outros
- Instalar e configurar o AIDE
- Enviar notificação de alertas por e-mail
- Conceitos básicos de expressões regulares (regex)
- Realizar verificações de integridade aplicando diversas regras no AIDE
- É preciso ter um conhecimento básico em sistemas de arquivos Linux
- Você precisa do Oracle VirtualBox instalado em seu computador para simular
O que é o AIDE?
AIDE (Advanced Intrusion Detection Environment) é um programa de detecção de intrusão. Mais especificamente, um verificador de integridade de arquivos.
O AIDE constrói uma base de dados dos arquivos especificados em aide.conf, o arquivo de configuração do AIDE. O banco de dados AIDE armazena vários atributos de arquivo, incluindo: tipo de arquivo, permissões, número de inode, usuário, grupo, tamanho do arquivo, mtime e ctime, atime, tamanho crescente, número de links e nome do link.
O AIDE também cria um checksum ou hash de cada arquivo usando um ou uma combinação dos seguintes algoritmos de resumo de mensagem: sha1, sha256, sha512, md5, rmd160, tigre, haval, crc32 (pode ser compilado no whirlpool se o suporte mhash for acessível).
Além disso, os atributos acl, xattr, selinux e e2fsattrs podem ser usados quando ativados explicitamente durante o tempo de compilação.
Como funciona?
Depois de uma invasão, um administrador pode começar examinando o sistema usando ferramentas de sistema como ls, ps, netstat e who — as ferramentas mais prováveis de serem trojanadas. Imagine essas ferramentas tenham sido alteradas para não mostrar qualquer arquivo chamado “sniffedpackets.log” e que ps e netstat foram reescrito para não mostrar qualquer informação para um processo chamado “sniffdaemond”. Até mesmo um administrador que já havia imprimido em papel as datas e tamanhos desses arquivos de sistema não podem comparar que eles não foram modificados de alguma forma. Datas do arquivo e tamanhos podem ser manipulados, alguns root-kits melhores tornam isso trivial.
Embora seja possível manipular datas e tamanhos de arquivos, é muito mais difícil manipular uma única soma de verificação criptográfica como md5, e exponencialmente mais difícil de manipular cada um de todas a matrizes checksum que o AIDE suporta. Executando novamente o AIDE após uma invasão, um administrador do sistema pode identificar rapidamente as alterações nos arquivos e tem um grau bastante elevado de confiança quanto à precisão.
O que é o curso de AIDE?
Este curso aborda na prática a instalação e configuração do AIDE de forma que seja possível implementar várias de suas regras em ambiente de produção e inclusive enviar notificações de alertas.
Ao final do curso você será capaz de implementar em ambiente de produção e aumentar o nível de segurança de seus servidores ou de clientes. Além disso, também poderá receber alertas por e-mail.
O Instrutor
Eduardo Fraga é Graduado em Redes de Computadores com MBA em Gerenciamento de Projetos e Governança de T.I., possui várias certificações como: LPIC3, LPIC-303, LPIC-304, IBM System Expert Blade Center e ITILv3 Foundation.
Mais de 17 anos de experiência na área de TI e diversos projetos implementados na área de infrastrutura de redes.
Atualmente trabalha como Analista Administrador de Redes. É instrutor da FAME Treinamentos onde é co-fundador. Também é fundador da EF-TECH onde presta serviços de consultoria.
Total de alunos 3.253
Cursos 8
Avaliações 1.045
- Analistas de redes, administradores de sistemas e seguranças.
- Estudandes de TI
- Interessados em aumentar a segurança de sistemas Linux e afins