TRIPWIRE File Integrity Checks

TRIPWIRE File Integrity Checks

Objective „ „ „ „ „

Overview Tripwire Manfaat Tripwire Komponen Konfigurasi Variabel File Konfigurasi Membaca Laporan Tripwire

Distribusi Tripwire „ „ „ „ „ „ „

Debian RedHat Caldera Turbolinux SuSE BSD FreeBSD

Overview Tripwire „ „

Salah satu tool untuk pemeriksaan integritas sistem Digunakan untuk memonitor perubahan yang terjadi pada sebuah sistem

Mengapa Tripwire penting ? Cracker mungkin menambah, mengubah file atau hak akses (permission) file, menginstall program, menghapus file atau program „ Tripwire mampu mengecek file atau program dan membandingkannya dengan database sebelumnya „

Bagaimana Tripwire Bekerja ? Tripwire bekerja dengan membuat sebuah database informasi semua file sistem dan menyimpannya pada suatu file „ Setiap kali tripwire dijalankan untuk melakukan pengecekan file sistem hasil pemeriksaan akan dibandingkan dengan database yang pernah dibuat „

Apa yang dikerjakan Tripwire ? File Integrity Checking „ Tripwire mamppu mendeteksi perubahan file „ Tripwire membandingkan antara database file sebelum pengecekan dengan sesudah pengecekan „

Apa yang tidak dikerjakan Tripwire ? Tripwire tidak dapat menghalangi perubahan file/system „ False positif karena salah setting pada file policy, file konfigurasi, atau tidak update database „ Triwire bukan antivirus „ Tripwire dapat dimanipulasi „

Source Tripwire „ „ „

www.tripwire.org http://sourceforge.net/projects/tripwire/ http://www.tripwire.com/

Dimana Tripwire Dipasang? Terlindung „ Media Read Only „

4 Komponen File Konfigurasi „

„

File Konfigurasi … Digunakan untuk melakukan konfigurasi tripwire … File /etc/tripwire/tw.cfg … File /etc/tripwire/twcfg.txt File Policy … Admin dapat menentukan bagaimana tripwire melakukan cek thd sistem … File /etc/tripwire/tw.pol … File /etc/tripwire/twpol.txt

„

File Database … Digunakan untuk menyimpan database informasi sistem … Diperoleh waktu pertama installasi … File /var/lib/tripwire/.<domain>.twd

„

File Report …Diperoleh dari hasil pengecekan …Laporan file termasuk perubahan yang terjadi di sistem …File /var/lib/tripwire/report/.<domain> --.twr

Site Key & Local Key Password Site key password melindungi file configurasi dan policy „ Local key password melindungi file database dan report „

Troubleshooting Tripwire „ „ „ „

Install dan customisasi file konfigurasi dan policy Inisialisasi database Melaksanakan cek integritas system Periksa hasil report dari hasil cek, bila pelanggaran terjadi, periksalah apakah pelanggaran tersebut terjadi karena administrator melakukan perubahan sistem

Bila pelanggaran di luar kuasa admin, lakukan tindakan pencegahan yang diperlukan „ Bila pelanggaran karena admin mengubah sistem, cek apakah error disebabkan oleh file policy. „ Jika bukan disebabkan file policy, update databe tripwire „ Jika disebabkan file policy, update file policy „

Inisialisasi database „ „ „

/usr/sbin/tripwire --init Perintah ini akan membangun database ttg konfigurasi sistem Diperoleh waktu pertama installasi tripwire … File

„

/var/lib/tripwire/.<domain>.twd

Print file database … /usr/sbin/twprint

„

-m d --print-dbfile | less

Print file tertentu … /usr/sbin/twprint

-m d --print-dbfile /etc/hosts

Cek Integritas System /usr/sbin/tripwire --check „ Dengan menggunakan cron, admin mengatur pengecekan sistem secara berkala „ Hasil pengecekan bisa diemailkan secara otomatis „ Print hasil cek : „

…

twprint -m r --twrfile /var/lib/tripwire/report/ nama-file-report.twr

Melakukan update policy „

Edit file /etc/tripwire/twpol.txt … Beri

comment baris-baris dengan # # /etc/smb.conf -> $(SEC_CONFIG) ; … HOSTNAME=.<domain> „

Bila file twpol.txt tidak ada, generate dengan … twadmin

--print-polfile > /etc/tripwire/twpol.txt

„

Generate file tw.pol dengan … /usr/sbin/twadmin

--create-polfile -S site.key /etc/tripwire/twpol.txt

„

Mengupdate file tw.pol : … tripwire

--update-policy /etc/tripwire/twpol.txt

Update database „

Hapus file database yang lama … rm

„

/var/lib/tripwire/nama-file.twd

Buat file database baru … /usr/sbin/tripwire

„

--init

Update file database : … /usr/sbin/tripwire

--update --twrfile /var/lib/tripwire/report/nama-file.twr

Tripwire Interaktif „

Mengupdate database interaktif : … /usr/sbin/tripwire

„

--interactive

Cek dan membandingkan dg database … tripwire

--check --interactive

Tripwire dan email „

„

Edit policy file : ( rulename = "Networking Programs", severity = $(SIG_HI), emailto = [email protected]; ) Emailkan : /usr/sbin/tripwire --test --email [email protected];

Tripwire dan cron Masukkan skrip runtw.sh di /usr/local/bin … #!/bin/sh /usr/sbin/tripwire -m c | mail -s "Tripwire Report from HOST" root@localhost „ Edit tabel crontab dg crontab -e „ Jadwalkan skrip runtw.sh agar berjalan pukul 1:01 pagi dg perintah : …1 1 * * * /usr/local/bin/runtw.sh „

Tripwire Report

Aplikasi File Integrity Checkers „ „ „ „ „

AIDE NABOU Integrit Samhain ViperDB … http://www.resentment.org/projects/viperdb/

„

FCHECK … http://sites.netscape.net/fcheck/fcheck.html

„

Sentinel … http://zurk.netpedia.net/zfile.html

Selamat Belajar !!!