Advanced Intrusion Detection Environment

Posté par  . Modéré par Amaury.
Étiquettes :
0
5
juin
2002
Linux
Voici venue la dernière version de A.I.D.E., un logiciel permettant d'ajouter un point de sécurité dans son système. La version 0-9 est disponible depuis peu.

Ce logiciel permet de créer une base de donnée en fonction de règles que l'on définit dans le fichier aide.conf, selon que l'on regarde tel ou tel répertoire, selon que l'on vérifie s'il n'y a pas de nouveaux fichiers, de changements de propriétaires... et cette base est ensuite comparée, à un instant donnée, à un scan du disque dur.

Il en sort un rapport qui signale tout ce qui est suspect (par rapport aux règles définies). Il est très paramétrable et est très utile si on veut vérifier par exemple toutes les 5 min que le répertoire hébergeant son site Web ne contient de fichiers indésirables ;-)
Ce logiciel est à utiliser en complément d'un autre système de protection plus performant (Netfilter...).

Aller plus loin

  • # Un autre IDS

    Posté par  (site web personnel) . Évalué à 2.

    Voici un autre IDS qui promet:

    http://www.prelude-ids.org/(...)

    Il a la particularite d'etre reparti:
    c'est modulaire, les alertes sont remontees,
    vers une base centrale.

    Prelude is a new innovative hybrid Intrusion Detection system designed to be very modular, distributed, rock solid and fast.

    (C'est encore de la pub deguise pour TuxFamily.org, alors -1)
    • [^] # Re: Un autre IDS

      Posté par  . Évalué à 1.

      Et un autre encore: Tripwire
      http://www.tripwire.com/products/linux/(...)
      et : http://www.tripwire.org/(...)
      Tripwire is a tool that checks to see what has changed on your system. The program monitors key attributes of files that should not change, including binary signature, size, expected change of size, etc. The hard part is doing it the right way, balancing security, maintanence, and functionality.

      La version OpenSource est livree en standard dans la distribution RedHat (que beaucoup commencent a denigrer, je sais)

      -1 parceque c'est presque un Troll de distrib
    • [^] # Re: Un autre IDS

      Posté par  . Évalué à 10.

      Tu ne peux pas trop comparer AIDE (IDS), qui regarde les fichiers présents sur la machine à Prelude (*N*IDS), qui analyse le traffic réseau...

      Les 2 softs font des choses biens différentes, et complémentaires.

      Si tu veux un équivalent de AIDE, va plutôt chercher du coté de Tripwire (quoi que je ne soit pas certain du type de licence)...
      • [^] # Re: Un autre IDS

        Posté par  . Évalué à 10.

        Comme d'habitude, il fallait se renseigner avant. Prelude jusqu'au LSM'01 était effectivement un NIDS (très performant, mais juste un NIDS).
        Cependant, depuis 1 an le développement s'est orienté vers un IDS complet et extrêmement modulaire.
        Prelude possède donc un module nommé prelude-lml qui permet de faire très facilement de la remontée de log (pour PaX par exemple), ainsi qu'une extension à LibSafe permettant de logguer les alertes libsafe dans la db d'un Manager Prelude, en idmef.
        Prelude est donc aussi un HIDS, et il ne devrait pas être difficile d'écrire un plugin à prelude-lml pour AIDE, ou directement lui faire envoyer les alertes à un Manager.

        http://www.prelude-ids.org/index.php?langue=&page=19(...)

        Prelude et son équipe se trouveront au LSM'02 (plusieurs membres de l'équipe sont de l'ENSEIRB, dont le co-organisateur du topic sécurité)
        • [^] # Re: Un autre IDS

          Posté par  . Évalué à 2.

          > Comme d'habitude, il fallait se renseigner avant.

          Mouahaha. je t'ai vexé ?

          > Prelude est donc aussi un HIDS, et il ne devrait
          > pas être difficile d'écrire un plugin à
          > prelude-lml pour AIDE, ou directement lui faire
          > envoyer les alertes à un Manager.

          Donc on parle bien de la même chose. Aujourd'hui, Prelude ne fait pas de détection d'intrusion "à la Tripwire" en faisant du contôle d'intégrité de fichiers.

          Faut pas mal le prendre, hein, celà ne veut pas dire que Prelude n'est pas un bon soft que de dire qu'il ne fait pas telle ou telle chose.
          • [^] # Re: Un autre IDS

            Posté par  . Évalué à -3.

            bah non ça me vexe pas, je corrige juste une erreur :

            "(*N*IDS)"

            C'est pas juste ça, c'est un IDS total ./
  • # Netfilter / A.I.D.E

    Posté par  (site web personnel) . Évalué à 10.

    Je pense que le parallèle qui est fait dans l'article au niveau de "Ce logiciel est à utiliser en complément d'un autre système de protection plus performant (Netfilter...)." n'est pas l'exemple le meilleur.

    Je prends l'exemple du site web :
    - Un défaut de programmation du site web pourra permettre de placer un fichier (exécutable (genre PHP, CGI ou autre) ?) dans l'arborescence du site à un endroit non prévu à cet effet. Là, A.I.D.E sera très utile alors que Netfilter n'aura rien à faire dans l'histoire.
    - <exempleAbsurde dangeurosité="maximale">Un accès FTP anonyme (dont l'accès en écriture est autorisé) prévu pour ne fonctionner que dans le cadre d'un réseau local (de confiance) sera stoppé par NetFilter. Compter sur A.I.D.E pour nous prévenir revient à préférer "guérir" à "prévenir".</exempleAbsurde>

    note : Je sais que mes exemples (surtout le second) ne sont pas les meilleurs, mais ce sont les premiers qui me viennent à l'esprit.

    Netfilter et A.I.D.E n'agissant pas sur les mêmes symptomes, dire que l'un est plus performant que l'autre me semble déplacé. Cependant, des outils comme A.I.D.E semblent permettre de faire des diagnotics précis et performants. Je place la mise en place de ce dernier sur la liste des tests à effectuer...

    <précision>Site de Netfilter [ http://netfilter.samba.org/(...) ]</précision>
  • # dites moi si je me trompe, mais ...

    Posté par  . Évalué à 5.

    Ce logiciel est à utiliser en complément d'un autre système de protection plus performant (Netfilter...).

    NetFilter est bien la couche de filtrage ip du noyau non ? en quoi seraitce plus efficace ou moins efficace qu'AIDE qui est un IDS ?

    Ces systèmes de protections (IDS, firewall --oui je sais, NetFilter c'est plus qu'un firewall--) sont à utiliser en coopération? il n'est pas question de performances, il ne font pas le même travail.
    • [^] # Re: dites moi si je me trompe, mais ...

      Posté par  (site web personnel) . Évalué à -4.

      C'est bizarre de démarrer un nouveau thread à ce sujet alors qu'il en existe déjà un !

      Cependant ta réflexion est mieux construite que celle de l'autre thread (à mon avis... et comme l'autre est de moi... mdr), alors tu as le droit à un petit [+]...

      --
      -1... parce que !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.