next up previous
Next: SNORT Up: Sistemas de detección de Previous: Logcheck

AIDE

El programa AIDE, surge como una iniciativa de clonar un sistema de detección de intrusos muy famoso denominado Tripwire, el cual no es software libre. Este sistema se basa en considerar la integridad de los archivos como una de las alarmas de que ha existido una intrusión. De todo el mundo es sabido que una de las acciones más comunes de un intruso en un sistema es garantizar el acceso a este sistema aunque el fallo por el que ha accedido a el sea corregido, para ello, los infractores introducen programas que suplantan a los actuales y que habitualmente tienen un fin añadido ( generalmente la obtención de datos del sistema, passwords, implantan puertas traseras, etcétera. )

La aproximación que tanto AIDE como Tripwire adoptan es la de salvaguardar ciertos datos de los sistemas de ficheros de modo que comparando la situación actual de los mismo con la obtenida posteriormente, se pueda saber que ficheros han cambiados. Ambos programas marcan ciertos directorios como /usr/bin como aquellos cuyos ficheros no deben ser cambiados. Tras hacer esto, se extraen sumas MD54 o de otro tipo y se guardan fuera del sistema ( un disquete, una cinta, etcétera ).

Figura 3: Esquema de funcionamiento de AIDE
\includegraphics[width=10cm ]{aide.eps}

Si el administrador del sistema, por algún motivo cree que ha podido ser objetivo de una intrusión, recupera las sumas originales, el programa realiza las sumas actuales y las compara, si en algún fichero las sumas no coinciden se da una alarma ya que puede significar que alguien alteró el fichero con intenciones aviesas. Con este tipo de sistemas no solo podemos obtener la alarma de que alguno de nuestros ficheros ha cambiado sino que también aislaremos el fichero en cuestión.

Es importante la puntualización de guardar las sumas en un soporte físico fuera de la máquina ya que si las dejamos en la misma y alguien realiza una intrusión, podría modificarlas para que encajasen con su programa con código malicioso.

Este sistemas de detección de intrusos no es en tiempo real ( se pasa cuando se tiene una sospecha de que algo va mal o cada cierto tiempo ) y puede encajar en los sistemas basados en el objetivo ( detectando anomalías ).


next up previous
Next: SNORT Up: Sistemas de detección de Previous: Logcheck
David Fernandez 2002-05-11