modul 7 tripwire.ppt

TRIPWIREFile Integrity Checks

Fitri SetyoriniTeknologi InformasiPoliteknik Elektronika Negeri Surabaya

Objective

Overview Tripwire Manfaat Tripwire Komponen Konfigurasi Variabel File Konfigurasi Membaca Laporan Tripwire

Distribusi Tripwire

Debian RedHat Caldera Turbolinux SuSE BSD FreeBSD

Overview Tripwire Salah satu tool untuk pemeriksaan integritas sistem Digunakan untuk memonitor perubahan yang terjadi

pada sebuah sistem

Mengapa Tripwire penting ?

Cracker mungkin menambah, mengubah file atau hak akses (permission) file, menginstall program, menghapus file atau program

Tripwire mampu mengecek file atau program dan membandingkannya dengan database sebelumnya

Bagaimana Tripwire Bekerja ?

Tripwire bekerja dengan membuat sebuah database informasi semua file sistem dan menyimpannya pada suatu file

Setiap kali tripwire dijalankan untuk melakukan pengecekan file sistem hasil pemeriksaan akan dibandingkan dengan database yang pernah dibuat

Apa yang dikerjakan Tripwire ?

File Integrity Checking Tripwire mamppu mendeteksi perubahan

file Tripwire membandingkan antara database

file sebelum pengecekan dengan sesudah pengecekan

Apa yang tidak dikerjakan Tripwire ? Tripwire tidak dapat menghalangi

perubahan file/system False positif karena salah setting pada file

policy, file konfigurasi, atau tidak update database

Triwire bukan antivirus Tripwire dapat dimanipulasi

Source Tripwire

www.tripwire.org http://sourceforge.net/projects/tripwire/ http://www.tripwire.com/

Dimana Tripwire Dipasang?

Terlindung Media Read Only

4 Komponen File Konfigurasi

File KonfigurasiDigunakan untuk melakukan konfigurasi tripwireFile /etc/tripwire/tw.cfgFile /etc/tripwire/twcfg.txt

File PolicyAdmin dapat menentukan bagaimana tripwire

melakukan cek thd sistemFile /etc/tripwire/tw.polFile /etc/tripwire/twpol.txt

File DatabaseDigunakan untuk menyimpan database

informasi sistemDiperoleh waktu pertama installasiFile /var/lib/tripwire/<comp>.<domain>.twd

File ReportDiperoleh dari hasil pengecekanLaporan file termasuk perubahan yang

terjadi di sistemFile

/var/lib/tripwire/report/<comp>.<domain> -<yymmdd>-<time>.twr

Site Key & Local Key Password

Site key password melindungi file configurasi dan policy

Local key password melindungi file database dan report

Troubleshooting Tripwire

Install dan customisasi file konfigurasi dan policy

Inisialisasi database Melaksanakan cek integritas system Periksa hasil report dari hasil cek, bila

pelanggaran terjadi, periksalah apakah pelanggaran tersebut terjadi karena administrator melakukan perubahan sistem

Bila pelanggaran di luar kuasa admin, lakukan tindakan pencegahan yang diperlukan Bila pelanggaran karena admin mengubah sistem,

cek apakah error disebabkan oleh file policy. Jika bukan disebabkan file policy, update databe

tripwire Jika disebabkan file policy, update file policy

Inisialisasi database

/usr/sbin/tripwire --init Perintah ini akan membangun database ttg

konfigurasi sistem Diperoleh waktu pertama installasi tripwire

File /var/lib/tripwire/<comp>.<domain>.twd Print file database

/usr/sbin/twprint -m d --print-dbfile | less Print file tertentu

/usr/sbin/twprint -m d --print-dbfile /etc/hosts

Cek Integritas System

/usr/sbin/tripwire --check Dengan menggunakan cron, admin mengatur

pengecekan sistem secara berkala Hasil pengecekan bisa diemailkan secara

otomatis Print hasil cek :

twprint -m r --twrfile /var/lib/tripwire/report/ nama-file-report.twr

Melakukan update policy

Edit file /etc/tripwire/twpol.txt Beri comment baris-baris dengan ## /etc/smb.conf -> $(SEC_CONFIG) ;HOSTNAME=<comp_name>.<domain>

Bila file twpol.txt tidak ada, generate dengan twadmin --print-polfile > /etc/tripwire/twpol.txt

Generate file tw.pol dengan /usr/sbin/twadmin --create-polfile -S site.key

/etc/tripwire/twpol.txt Mengupdate file tw.pol :

tripwire --update-policy /etc/tripwire/twpol.txt

Update database

Hapus file database yang lamarm /var/lib/tripwire/nama-file.twd

Buat file database baru /usr/sbin/tripwire --init

Update file database : /usr/sbin/tripwire --update --twrfile

/var/lib/tripwire/report/nama-file.twr

Tripwire Interaktif

Mengupdate database interaktif : /usr/sbin/tripwire --interactive

Cek dan membandingkan dg databasetripwire --check --interactive

Tripwire dan email Edit policy file :

(rulename = "Networking Programs",severity = $(SIG_HI),

emailto = fitri@eepis-its.edu; ) Emailkan :

/usr/sbin/tripwire --test --email fitri@eepis-its.edu;

Tripwire dan cron

Masukkan skrip runtw.sh di /usr/local/bin #!/bin/sh /usr/sbin/tripwire -m c | mail -s

"Tripwire Report from HOST" root@localhost Edit tabel crontab dg crontab -e Jadwalkan skrip runtw.sh agar berjalan pukul

1:01 pagi dg perintah :1 1 * * * /usr/local/bin/runtw.sh

Tripwire Report

Aplikasi File Integrity Checkers AIDE NABOU Integrit Samhain ViperDB

http://www.resentment.org/projects/viperdb/ FCHECK

http://sites.netscape.net/fcheck/fcheck.html Sentinel

http://zurk.netpedia.net/zfile.html

Selamat Belajar !!!