Verificação de integridade de arquivos - Ferramenta OSSEC

Neste tutorial abordaremos uma das funcionalidades da ferramenta de detecção de intruso OSSEC (Open Source Host-based Intrusion Detection System), o Syscheck. O Syscheck é responsável pela verificação da integridade e autenticidade de arquivos. O artigo está divido em três partes, introdução, instalação e configuração.

[ Hits: 33.874 ]

Por: Rafael Rocha em 29/06/2010


Introdução



O que é o Ossec

OSSEC (Open Source Host-based Intrusion Detection System) é uma ferramenta considerada o canivete suíço de sistemas de detecção de intruso. Com essa única ferramenta é possível fazer análise de logs, checar integridade de arquivos, monitorar administradores, detectar rootkits e obter alertas em tempo real. Dentre de todas essas funcionalidades, iremos aprender aqui como utilizar do processo Syscheck do OSSEC para a verificação de integridade de arquivos.

Porque verificar a integridade de arquivos

A resposta para a pergunta acima é simples, segurança. Quando se deseja um sistema seguro, é necessário construir barreiras em volta dele, tanto barreiras físicas quanto virtuais. Barreiras físicas são construídas no mundo real, por exemplo, os servidores devem estar localizados em uma sala na qual somente os administradores tenham acesso, o acesso a intranet de uma empresa deve ser restrita a seus funcionários etc. Já as barreiras virtuais são aquelas construídas no sistema através da utilização de softwares/hardware como proxys, firewalls etc.

Quanto o maior número de barreiras nesse sistema, mais difícil será o trabalho do invasor para obter sucesso. Porém a possibilidade de sucesso sempre existe. Na maioria das vezes que um invasor alcança seu objetivo, ele deixa rastros no sistema e a modificação de arquivos é um deles. A integridade de arquivo entra nessa guerra para identificar os rastros deixados em arquivos e notificar os administradores de um possível ataque.

Como funciona

Integridade de arquivo, como diz o nome, é o processo que verifica a integridade e autenticidade de um arquivo, ou seja, o objetivo é identificar arquivos modificados sem o consentimento do administrador do sistema. Esse processo é feito através de comparações de chaves hash que representa os arquivos.

O hash é uma sequência de bits gerado por um algoritmo de dispersão, o qual transforma uma grande quantidade de arquivo em uma pequena quantidade. Dessa forma quando um arquivo é o modificado, a chave gerada para esse novo arquivo é totalmente diferente da chave gerada anteriormente. O que possibilita a comparação de uma pequena quantidade de dados que representam os arquivos. Um ponto notável para a segurança é o fato de ser impossível reconstruir o arquivo a partir de sua chave.

    Próxima página

Páginas do artigo
   1. Introdução
   2. Instalando o Ossec
   3. Configuração do Syscheck
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Quebrando chave WEP (Wired Equivalent Privacy) - parte 1

Snort + BarnYard2 + Snorby no Slackware 14.1

Suporte TCP Wrapper - Serviços stand-alone no Debian 6

IDS com Debian 4, Snort 2.8.3.1 e BASE 1.4.1

Gateway autenticado com Apache, Iptables e CGI em shell

  
Comentários
[1] Comentário enviado por jeferson_roseira em 29/06/2010 - 13:26h

Prabéns pelo artigo.

Muito bom o conteúdo, gostei também dos exemplos.

att.

Jeferson Roseira

[2] Comentário enviado por Dombom em 01/07/2010 - 04:14h

Parabéns, muito bom artigo

[3] Comentário enviado por Roberto Ramos em 31/05/2012 - 16:16h

Rafael,

instalei o ossec para ver como ele funcionava mais gostaria de removelo, vc saberia me informar como procedo, ja pesquisei bastante no google e até o momento nada, vou continuar procurando, de antemão deixo aqui meu agradecimento.

[4] Comentário enviado por jtdest em 05/03/2015 - 19:41h


Ola blz,tenho uma duvida , pretendo implanta ossec na minha rede , mais a distribuição dos IPS das maquinas clientes e feita através do DHCP server , como adciona as maquinas cliente no servidor ossec, sendo que os IPS Sao dinamicamente distribuídos , pra melhor como funciona ossec sobre DHCP, por favor se pode me ajudar agradeço.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts