Upload presentasi
Presentasi sedang didownload. Silahkan tunggu
1
TRIPWIRE File Integrity Checks
Fitri Setyorini Teknologi Informasi Politeknik Elektronika Negeri Surabaya
2
Objective Overview Tripwire Manfaat Tripwire Komponen Konfigurasi
Variabel File Konfigurasi Membaca Laporan Tripwire
3
Distribusi Tripwire Debian RedHat Caldera Turbolinux SuSE BSD FreeBSD
4
Overview Tripwire Salah satu tool untuk pemeriksaan integritas sistem
Digunakan untuk memonitor perubahan yang terjadi pada sebuah sistem
5
Mengapa Tripwire penting ?
Cracker mungkin menambah, mengubah file atau hak akses (permission) file, menginstall program, menghapus file atau program Tripwire mampu mengecek file atau program dan membandingkannya dengan database sebelumnya
6
Bagaimana Tripwire Bekerja ?
Tripwire bekerja dengan membuat sebuah database informasi semua file sistem dan menyimpannya pada suatu file Setiap kali tripwire dijalankan untuk melakukan pengecekan file sistem hasil pemeriksaan akan dibandingkan dengan database yang pernah dibuat
7
Apa yang dikerjakan Tripwire ?
File Integrity Checking Tripwire mamppu mendeteksi perubahan file Tripwire membandingkan antara database file sebelum pengecekan dengan sesudah pengecekan
8
Apa yang tidak dikerjakan Tripwire ?
Tripwire tidak dapat menghalangi perubahan file/system False positif karena salah setting pada file policy, file konfigurasi, atau tidak update database Triwire bukan antivirus Tripwire dapat dimanipulasi Tripwire uses a checksum of these files and attributes. In the case of any changes, it can send alerts to the system administrator. The default configuration file provides a good starting point, but the user also must customize it to reduce the chance of false positives. Pay special attention to the log files. It doesn't make sense to include the log files into the set of files that you select to be checked, since you know that they will grow as soon as any event happens, such as a login.
9
Source Tripwire www.tripwire.org
10
Dimana Tripwire Dipasang?
Terlindung Media Read Only
12
4 Komponen File Konfigurasi
Digunakan untuk melakukan konfigurasi tripwire File /etc/tripwire/tw.cfg File /etc/tripwire/twcfg.txt File Policy Admin dapat menentukan bagaimana tripwire melakukan cek thd sistem File /etc/tripwire/tw.pol File /etc/tripwire/twpol.txt File /etc/tripwire/tw.cfg (terinkripsi-tdk bisa dibaca) membangkitkan File /etc/tripwire/twcfg.txt (bisa dibaca dan diedit) File /etc/tripwire/tw.pol terinkripsi-tdk bisa dibaca) membangkitkan File /etc/tripwire/twpol.txt (bisa dibaca dan diedit) For security purposes, you should either delete or store in a secure location any copies of the plain text /etc/tripwire/twpol.txt and /etc/tripwire/twcfg.txt after running the installation script or regenerating a signed configuration. Alternatively, you can change the permissions so that it is not world readable.
13
File Database Digunakan untuk menyimpan database informasi sistem
Diperoleh waktu pertama installasi File /var/lib/tripwire/<comp>.<domain>.twd
14
File Report Diperoleh dari hasil pengecekan Laporan file termasuk perubahan yang terjadi di sistem File /var/lib/tripwire/report/<comp>.<domain> -<yymmdd>-<time>.twr
15
Site Key & Local Key Password
Site key password melindungi file configurasi dan policy Local key password melindungi file database dan report Bila anda lupa site key dan local key password : There is no way to decrypt a signed files if you forget your password. If you forget the passwords, the files are unusable and you will have to run the configuration script again.
16
Troubleshooting Tripwire
Install dan customisasi file konfigurasi dan policy Inisialisasi database Melaksanakan cek integritas system Periksa hasil report dari hasil cek, bila pelanggaran terjadi, periksalah apakah pelanggaran tersebut terjadi karena administrator melakukan perubahan sistem
17
Bila pelanggaran di luar kuasa admin, lakukan
tindakan pencegahan yang diperlukan Bila pelanggaran karena admin mengubah sistem, cek apakah error disebabkan oleh file policy. Jika bukan disebabkan file policy, update databe tripwire Jika disebabkan file policy, update file policy
18
Inisialisasi database
/usr/sbin/tripwire --init Perintah ini akan membangun database ttg konfigurasi sistem Diperoleh waktu pertama installasi tripwire File /var/lib/tripwire/<comp>.<domain>.twd Print file database /usr/sbin/twprint -m d --print-dbfile | less Print file tertentu /usr/sbin/twprint -m d --print-dbfile /etc/hosts
19
Cek Integritas System /usr/sbin/tripwire --check
Dengan menggunakan cron, admin mengatur pengecekan sistem secara berkala Hasil pengecekan bisa di kan secara otomatis Print hasil cek : twprint -m r --twrfile /var/lib/tripwire/report/ nama-file-report.twr Melakukan report file : /usr/sbin/tripwire --check Akan membangkitkan file report yg terinkripsi yang disimpan di /var/lib/tripwire/report/ User lain bisa melihat /usr/sbin/, tp tidak bisa melakukan twprint --m r –twrfile/var/lib/tripwire/report/<namafile>.twr Error : file could not be opened Filename : /etc/tripwire/tw.cfg Permission denied Exiting…
20
Melakukan update policy
Edit file /etc/tripwire/twpol.txt Beri comment baris-baris dengan # # /etc/smb.conf -> $(SEC_CONFIG) ; HOSTNAME=<comp_name>.<domain> Bila file twpol.txt tidak ada, generate dengan twadmin --print-polfile > /etc/tripwire/twpol.txt
21
Generate file tw.pol dengan
/usr/sbin/twadmin --create-polfile -S site.key /etc/tripwire/twpol.txt Mengupdate file tw.pol : tripwire --update-policy /etc/tripwire/twpol.txt tripwire --update-policy /etc/tripwire/twpol.txt akan melakukan update policy dg memasukkan local dan site passphrase Mengumpulkan info ttg policy baru Update database Menghilangkan unneded object dari database
22
Update database Hapus file database yang lama Buat file database baru
rm /var/lib/tripwire/nama-file.twd Buat file database baru /usr/sbin/tripwire --init Update file database : /usr/sbin/tripwire --update --twrfile /var/lib/tripwire/report/nama-file.twr
23
Tripwire Interaktif Mengupdate database interaktif :
/usr/sbin/tripwire --interactive Cek dan membandingkan dg database tripwire --check --interactive Interaktif artinya setelah selesai check integrity, hasil report dibuka shg database update berlangsung otomatis Tripwire can also be run in Interactive Check Mode. In this mode you can automatically update your changes via the terminal. To run in interactive check mode, use the command: tripwire --check --interactive
24
Tripwire dan email Edit policy file : (
rulename = "Networking Programs", severity = $(SIG_HI), to = ) kan : /usr/sbin/tripwire --test --
25
Tripwire dan cron Masukkan skrip runtw.sh di /usr/local/bin
#!/bin/sh /usr/sbin/tripwire -m c | mail -s "Tripwire Report from HOST" Edit tabel crontab dg crontab -e Jadwalkan skrip runtw.sh agar berjalan pukul 1:01 pagi dg perintah : 1 1 * * * /usr/local/bin/runtw.sh
26
Tripwire Report
31
Aplikasi File Integrity Checkers
AIDE NABOU Integrit Samhain ViperDB FCHECK Sentinel
34
Selamat Belajar !!!
Presentasi serupa
© 2024 SlidePlayer.info Inc.
All rights reserved.