AIDE( Advanced Instrusion Detection Environment )

<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

0.         주제 : AIDE( Advanced Instrusion Detection Environment ) AIDE란 무엇이며 어떻게 사용하는가 ?

1.         소개및정의

-.         파일 및 디렉토리의 무결성을 검사하는 프로그램으로 변경된 사항을 추적할 수 있으며 GPL(General Public License) 로 배포된 제한이 없는 host기반의 침입탐지 시스템 유틸리티이다.

-.         파일디렉토리의 크기와 날짜 , inode, 해쉬코드 등의 정보를 기록한다 .

=>Data Base 에 기록 text 로 되어있고 만약에 시스템상에 이상징후가 있으면 기존에 DB와현 DB를비교하고화면에 출력을 해준다 .. 이는 rpm stamp 와 Time stamp 와 비슷하다고 할수있다.

-.         해킹이나 시스템의 이상징후가 있을경우 서버를 검색하여 이전의 검색과 비교대조를 한

후 변경내용을 출력 -. Solaris 계열, Linux 계열, FreeBSD 등의 UNIX 환경의 플랫폼에서 동작한다 . -. 데이터의 변경을 감지하기 위해 무결성 알고리즘들을 이용하여 파일 또는 디렉토리 속성

들에 대한 무결성을 유지해 준다. -. AIDE가 기본적으로 지원하는 무결성 알고리즘에는 MD5, SHA1, RMD160, TIGER, HAVAL 등이 있고 , 더 많은 알고리즘들이 추가될 수 있다 . -. AIDE 는 환경설정 파일인 aide.conf 에 정의된 정규 표현 방식에 따라 무결성 데이터베 이스를 생성한다.

2.         데이터 무결성 (Integrity) 과 보안

네트워크 환경에 있는 시스템인 경우 외부의 크래커나 내부의 악의적인 사용자의 공격에 노 출되어 있다 . 이들은 시스템에 침투하여 중요한 파일을 변경 또는, 삭제하거나 백도어 (Backdoor) 와 같은 프로그램을 설치하여 시스템에 해를 끼칠 수 있다 . 예를 들면 , 리눅스 서버의 호스트를 보호하기 위해 많이 사용되고 있는 TCPWrapper 는 /etc/hosts.allow 및 /etc/hosts.deny 에 접근권한을 설정하고 있는데 , 이 파일에 누군가 조작을 가하면 모든 사 용자들의 접속을허용하도록할수있다 . 관리자는파일을 열어보지 않고서는 파일이변조 되었음을 알 수가 없다 . 이와 같은 문제로부터 시스템을 보호하기 위한 방법은 파일에 대한 불법 변조여부를 검사해 주는 것이다.

데이터 무결성은 시스템 내의 중요한 데이터가 허가되지 않은 사용자에 의해 삭제 , 수정 , 추가 등의 행위에 대해 감시 또는 방지하는 기능이다 . 이러한 기능을 제공하기 위해서는 무 결성 대상 데이터를 정의하고 , 데이터의 변경을 감지하기 위해 원본 데이터로부터 유일하게 구분되는 값인 무결성 데이터를 생성해야 한다 . 무결성 대상 데이터는 시스템 내의 중요한 디렉토리나 파일이 해당된다 . 무결성 데이터는 단 방향 함수라고 불리는 해쉬 (Hash) 함수로 생성되며 , 대표적인 해쉬 함수는 MD5, SHA1 등이 있다 . 해쉬 함수는 입력 값에는 무관하 게 일정한 길이의 출력 값을 생성하며 , MD5 인 경우 128 비트, SHA1은 160 비트의 출력 값 을 생성하고 , 생성된 값으로부터 본래의 입력 값을 알아내기는 어렵다 .

3. 프로그램 Download 및 설치

-. wget으로 Download 받는다 ..

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

-. 압축및아카이브풀기

-. 컴파일 #. ./configure --환경설정

➊

#➋. make --complie

#➌. make install --이동 & permission 설정

#위 ~ 과정을한번에 .

➊➌. && 연산자를 이용하여 실행할 수도 있다

4.         컴파일 오류검사

-.아래와같이 0으로확인되면 컴파일과 permission 이정상이며 1인 경우 실패다 .

5.         환경설정파일 복사 및 수정하기

→         22행 /aide~제거

→         46행 @@~삭제 후 절대경로인 /root/hids/aide.db 입력 51행 aide.db.new 에서 .new 제거 이름을 같게 만들어주기 위해 )

→         (

→         129행에 /etc R(/etc 아래의 모든 파일을 R옵션으로 DB를 만듦 )

→             저장

6.         검사방법

-.         AIDE로 데이터베이스 만들기 먼저