TRIPWIRE File Integrity Checks Fitri Setyorini Teknologi Informasi Politeknik Elektronika Negeri Surabaya

Objective Overview Tripwire Manfaat Tripwire Komponen Konfigurasi Variabel File Konfigurasi Membaca Laporan Tripwire

Distribusi Tripwire Debian RedHat Caldera Turbolinux SuSE BSD FreeBSD

Overview Tripwire Salah satu tool untuk pemeriksaan integritas sistem Digunakan untuk memonitor perubahan yang terjadi pada sebuah sistem

Mengapa Tripwire penting ? Cracker mungkin menambah, mengubah file atau hak akses (permission) file, menginstall program, menghapus file atau program Tripwire mampu mengecek file atau program dan membandingkannya dengan database sebelumnya

Bagaimana Tripwire Bekerja ? Tripwire bekerja dengan membuat sebuah database informasi semua file sistem dan menyimpannya pada suatu file Setiap kali tripwire dijalankan untuk melakukan pengecekan file sistem hasil pemeriksaan akan dibandingkan dengan database yang pernah dibuat

Apa yang dikerjakan Tripwire ? File Integrity Checking Tripwire mamppu mendeteksi perubahan file Tripwire membandingkan antara database file sebelum pengecekan dengan sesudah pengecekan

Apa yang tidak dikerjakan Tripwire ? Tripwire tidak dapat menghalangi perubahan file/system False positif karena salah setting pada file policy, file konfigurasi, atau tidak update database Triwire bukan antivirus Tripwire dapat dimanipulasi Tripwire uses a checksum of these files and attributes. In the case of any changes, it can send alerts to the system administrator. The default configuration file provides a good starting point, but the user also must customize it to reduce the chance of false positives. Pay special attention to the log files. It doesn't make sense to include the log files into the set of files that you select to be checked, since you know that they will grow as soon as any event happens, such as a login.

Source Tripwire www.tripwire.org http://sourceforge.net/projects/tripwire/ http://www.tripwire.com/

Dimana Tripwire Dipasang? Terlindung Media Read Only

4 Komponen File Konfigurasi Digunakan untuk melakukan konfigurasi tripwire File /etc/tripwire/tw.cfg File /etc/tripwire/twcfg.txt File Policy Admin dapat menentukan bagaimana tripwire melakukan cek thd sistem File /etc/tripwire/tw.pol File /etc/tripwire/twpol.txt File /etc/tripwire/tw.cfg (terinkripsi-tdk bisa dibaca) membangkitkan File /etc/tripwire/twcfg.txt (bisa dibaca dan diedit) File /etc/tripwire/tw.pol terinkripsi-tdk bisa dibaca) membangkitkan File /etc/tripwire/twpol.txt (bisa dibaca dan diedit) For security purposes, you should either delete or store in a secure location any copies of the plain text /etc/tripwire/twpol.txt and /etc/tripwire/twcfg.txt after running the installation script or regenerating a signed configuration. Alternatively, you can change the permissions so that it is not world readable.

File Database Digunakan untuk menyimpan database informasi sistem Diperoleh waktu pertama installasi File /var/lib/tripwire/<comp>.<domain>.twd

File Report Diperoleh dari hasil pengecekan Laporan file termasuk perubahan yang terjadi di sistem File /var/lib/tripwire/report/<comp>.<domain> -<yymmdd>-<time>.twr

Site Key & Local Key Password Site key password melindungi file configurasi dan policy Local key password melindungi file database dan report Bila anda lupa site key dan local key password : There is no way to decrypt a signed files if you forget your password. If you forget the passwords, the files are unusable and you will have to run the configuration script again.

Troubleshooting Tripwire Install dan customisasi file konfigurasi dan policy Inisialisasi database Melaksanakan cek integritas system Periksa hasil report dari hasil cek, bila pelanggaran terjadi, periksalah apakah pelanggaran tersebut terjadi karena administrator melakukan perubahan sistem

Bila pelanggaran di luar kuasa admin, lakukan tindakan pencegahan yang diperlukan Bila pelanggaran karena admin mengubah sistem, cek apakah error disebabkan oleh file policy. Jika bukan disebabkan file policy, update databe tripwire Jika disebabkan file policy, update file policy

Inisialisasi database /usr/sbin/tripwire --init Perintah ini akan membangun database ttg konfigurasi sistem Diperoleh waktu pertama installasi tripwire File /var/lib/tripwire/<comp>.<domain>.twd Print file database /usr/sbin/twprint -m d --print-dbfile | less Print file tertentu /usr/sbin/twprint -m d --print-dbfile /etc/hosts

Cek Integritas System /usr/sbin/tripwire --check Dengan menggunakan cron, admin mengatur pengecekan sistem secara berkala Hasil pengecekan bisa diemailkan secara otomatis Print hasil cek : twprint -m r --twrfile /var/lib/tripwire/report/ nama-file-report.twr Melakukan report file : /usr/sbin/tripwire --check Akan membangkitkan file report yg terinkripsi yang disimpan di /var/lib/tripwire/report/ User lain bisa melihat /usr/sbin/, tp tidak bisa melakukan twprint --m r –twrfile/var/lib/tripwire/report/<namafile>.twr Error : file could not be opened Filename : /etc/tripwire/tw.cfg Permission denied Exiting…

Melakukan update policy Edit file /etc/tripwire/twpol.txt Beri comment baris-baris dengan # # /etc/smb.conf -> $(SEC_CONFIG) ; HOSTNAME=<comp_name>.<domain> Bila file twpol.txt tidak ada, generate dengan twadmin --print-polfile > /etc/tripwire/twpol.txt

Generate file tw.pol dengan /usr/sbin/twadmin --create-polfile -S site.key /etc/tripwire/twpol.txt Mengupdate file tw.pol : tripwire --update-policy /etc/tripwire/twpol.txt tripwire --update-policy /etc/tripwire/twpol.txt akan melakukan update policy dg memasukkan local dan site passphrase Mengumpulkan info ttg policy baru Update database Menghilangkan unneded object dari database

Update database Hapus file database yang lama Buat file database baru rm /var/lib/tripwire/nama-file.twd Buat file database baru /usr/sbin/tripwire --init Update file database : /usr/sbin/tripwire --update --twrfile /var/lib/tripwire/report/nama-file.twr

Tripwire Interaktif Mengupdate database interaktif : /usr/sbin/tripwire --interactive Cek dan membandingkan dg database tripwire --check --interactive Interaktif artinya setelah selesai check integrity, hasil report dibuka shg database update berlangsung otomatis Tripwire can also be run in Interactive Check Mode. In this mode you can automatically update your changes via the terminal. To run in interactive check mode, use the command: tripwire --check --interactive

Tripwire dan email Edit policy file : ( rulename = "Networking Programs", severity = $(SIG_HI), emailto = fitri@eepis-its.edu; ) Emailkan : /usr/sbin/tripwire --test --email fitri@eepis-its.edu;

Tripwire dan cron Masukkan skrip runtw.sh di /usr/local/bin #!/bin/sh /usr/sbin/tripwire -m c | mail -s "Tripwire Report from HOST" root@localhost Edit tabel crontab dg crontab -e Jadwalkan skrip runtw.sh agar berjalan pukul 1:01 pagi dg perintah : 1 1 * * * /usr/local/bin/runtw.sh

Tripwire Report

Aplikasi File Integrity Checkers AIDE NABOU Integrit Samhain ViperDB http://www.resentment.org/projects/viperdb/ FCHECK http://sites.netscape.net/fcheck/fcheck.html Sentinel http://zurk.netpedia.net/zfile.html

Selamat Belajar !!!