Tiger es una herramienta de seguridad
que se puede utilizar tanto como un sistema de detección de intrusos
como de auditoría de seguridad. Es compatible con múltiples plataformas
UNIX y esta bajo una licencia GPL. A diferencia de otras herramientas,
Tiger sólo necesita de herramientas POSIX y está escrito enteramente en
el lenguaje shell.
Tiger
tiene algunas características interesantes como: un diseño modular que
es fácil de ampliar y puede ser utilizado como una herramienta de
auditoría o una herramienta de sistema de detección de intrusiones en el
host. El software gratuito de detección de intrusiones actualmente se
encuentra de muchas maneras, desde IDS de red (como Snort), en el kernel
(LIDS o SNARE para Linux y Systrace para OpenBSD, por ejemplo), sin
mencionar sistemas auditores de integridad de archivos (como: aide,
integrit samhain, tripwire ...) y testadores de logs. Pero pocos de
ellos se centran en la detección de
intrusos en el lado del host.
Tiger complementa estas herramientas y también proporciona un marco en
el que todos ellos pueden trabajar juntos. Tiger no es un testador de
logs, ni se centra en el análisis de la integridad de archivos, Tiger
verifica la configuración del sistema y el estado del mismo. Un buen
ejemplo de lo que Tiger puede hacer es, por ejemplo, el módulo
"check_findeleted", que puede determinar que los servicios se ejecutan
en un
sistema están utilizando archivos borrados (porque las bibliotecas
fueron parcheadas durante una actualización, pero en los servicios del
servidor no fueron renovadas).
Si se desea ejecutarlo, sin tomar en cuenta las consideraciones de
tiempo a la hora de generar un informe, solo hay que ir al directorio y
ejecutarlo con la sentencia './tiger' como 'root'. El archivo de
configuración 'tigerrc' está configurado para un host genérico y permite
todos los controles. Se puede personalizar este archivo como sea
necesario, esto influirá en el tiempo de generación del informe de
resultados.
