TRIPWIRE File Integrity Checks. Politeknik Elektronika Negeri Surabaya

TRIPWIRE File Integrity Checks

Politeknik Elektronika Negeri Surabaya

1

Obj ti Objective     

Overview Tripwire Manfaat Tripwire Komponen Konfigurasi Variabel File Konfigurasi Membaca Laporan Tripwire

2

Di t ib i T Distribusi Tripwire i i       

Debian RedHat Caldera Turbolinux SuSE BSD FreeBSD

3

O Overview i T Tripwire i i  

Salah satu tool untuk pemeriksaan integritas sistem Digunakan untuk memonitor perubahan yang terjadi pada sebuah sistem p

4

M Mengapa T Tripwire i i penting ti ? Cracker mungkin menambah, mengubah file atau hak akses (permission) file, menginstall program, menghapus file atau program  Tripwire mampu mengecek file atau program dan membandingkannya dengan database sebelumnya 

5

B Bagaimana i T Tripwire i i B Bekerja k j ? Tripwire bekerja dengan membuat sebuah database informasi semua file sistem dan menyimpannya pada suatu file  Setiap kali tripwire dijalankan untuk melakukan pengecekan file sistem hasil pemeriksaan akan dibandingkan dengan database yang pernah dibuat 

6

Apa yang dikerjakan Tripwire ? File Integrity Checking  Tripwire mampu mendeteksi perubahan file  Tripwire membandingkan antara database file sebelum pengecekan dengan sesudah pengecekan 

7

Apa yang tidak dikerjakan Tripwire ? Tripwire tidak dapat menghalangi perubahan file/system p y  Triwire bukan antivirus  Tripwire dapat dimanipulasi 

8

S Source Tripwire Ti i   

www.tripwire.org http://sourceforge.net/projects/tripwire/ http://www.tripwire.com/

9

Di Dimana T Tripwire i i Di Dipasang? ? Terlindung  Media Read Only 

10

11

4 Komponen File Konfigurasi 



File Konfigurasi  Digunakan untuk melakukan konfigurasi tripwire  File /etc/tripwire/tw.cfg /etc/tripwire/tw cfg  File /etc/tripwire/twcfg.txt Fil P File Policy li  Admin dapat menentukan bagaimana tripwire melakukan l k k cek k thd sistem i t  File /etc/tripwire/tw.pol  File Fil //etc/tripwire/twpol.txt t /t i i /t lt t 12



File Database  Digunakan untuk menyimpan database informasi sistem  Diperoleh pe o e waktu a tu pe pertama ta a installasi sta as  File /var/lib/tripwire/.<domain>.twd

13



File Report Diperoleh dari hasil pengecekan Laporan file termasuk perubahan yang terjadi di sistem File / /lib/t i i / /var/lib/tripwire/report/.<domain> t/ d i --.twr 14

Sit Key Site K & Local L lK Key P Password d Site key password melindungi file konfigurasi g dan p policy y  Local key password melindungi file database dan report 

15

T bl h ti T Troubleshooting Tripwire i i    

Install dan customisasi file konfigurasi dan policy Inisialisasi database Melaksanakan cek integritas system Periksa hasil report dari hasil cek, bila pelanggaran terjadi, periksalah apakah pelanggaran tersebut terjadi karena administrator melakukan perubahan sistem 16

Bila pelanggaran di luar kuasa admin, lakukan pencegahan g yyang g diperlukan p tindakan p  Bila pelanggaran karena admin mengubah sistem, cek apakah error disebabkan oleh file policy.  Jika bukan disebabkan file policy, update database tripwire  Jika disebabkan file policy, update file policy 

17

Inisialisasi database   

/usr/sbin/tripwire --init Perintah ini akan membangun database ttg konfigurasi sistem Diperoleh waktu pertama installasi tripwire  File



/var/lib/tripwire/.<domain>.twd p p

Print file database  /usr/sbin/twprint



-m d --print-dbfile | less

Print file tertentu  /usr/sbin/twprint

-m d --print-dbfile /etc/hosts

18

Cek Integritas System /usr/sbin/tripwire --check  Dengan menggunakan cron cron, admin mengatur pengecekan sistem secara berkala  Hasil pengecekan bisa diemailkan secara otomatis  Print P i t hasil h il cek k: 



twprint -m r --twrfile /var/lib/tripwire/report/ nama-file-report.twr 19



Generate file tw.pol dengan  /usr/sbin/twadmin

--create-polfile create polfile -S S site.key /etc/tripwire/twpol.txt



Mengupdate file tw.pol :  tripwire

--update-policy /etc/tripwire/twpol.txt

20

U d t database Update d t b 

Hapus file database yang lama  rm



/var/lib/tripwire/nama-file.twd /var/lib/tripwire/nama file.twd

Buat file database baru  /usr/sbin/tripwire



--init init

Update file database :  /usr/sbin/tripwire / / bi /t i i

--update d t --twrfile t fil /var/lib/tripwire/report/nama-file.twr 21

Ti i d Tripwire dan emailil 



Edit policy file : ( rulename = "Networking Networking Programs" Programs , severity = $(SIG_HI), emailto = [email protected]; zenhadi@eepis its edu; ) Emailkan : /usr/sbin/tripwire --test --email [email protected]; 22

Ti i d Tripwire dan cron Masukkan skrip runtw.sh di /usr/local/bin  #!/bin/sh /usr/sbin/tripwire -m c | mail -s "Tripwire Report from HOST" root@localhost  Edit tabel crontab dg crontab -e  Jadwalkan skrip runtw.sh agar berjalan pukul 1 01 pagii d 1:01 dg perintah i t h: 1 1 * * * /usr/local/bin/runtw.sh 

23

Ti i R Tripwire Reportt

24

25

26

27

28

Aplikasi File Integrity Checkers     

AIDE NABOU Integrit g Samhain ViperDB  http://www.resentment.org/projects/viperdb/



FCHECK  http://sites.netscape.net/fcheck/fcheck.html h // i /f h k/f h k h l



Sentinel  http://zurk.netpedia.net/zfile.html htt // k t di t/ fil ht l 29

30

31

Selamat Belajar !!!

32

33