TRIPWIRE File Integrity Checks Teknik Informatika Politeknik Elektronika

  • Slides: 35
Download presentation
TRIPWIRE File Integrity Checks Teknik Informatika Politeknik Elektronika Negeri Surabaya

TRIPWIRE File Integrity Checks Teknik Informatika Politeknik Elektronika Negeri Surabaya

Objective n n n Overview Tripwire Manfaat Tripwire Komponen Konfigurasi Variabel File Konfigurasi Membaca

Objective n n n Overview Tripwire Manfaat Tripwire Komponen Konfigurasi Variabel File Konfigurasi Membaca Laporan Tripwire

Distribusi Tripwire n n n n Debian Red. Hat Caldera Turbolinux Su. SE BSD

Distribusi Tripwire n n n n Debian Red. Hat Caldera Turbolinux Su. SE BSD Free. BSD

Overview Tripwire n n Salah satu tool untuk pemeriksaan integritas sistem Digunakan untuk memonitor

Overview Tripwire n n Salah satu tool untuk pemeriksaan integritas sistem Digunakan untuk memonitor perubahan yang terjadi pada sebuah sistem

Mengapa Tripwire penting ? Cracker mungkin menambah, mengubah file atau hak akses (permission) file,

Mengapa Tripwire penting ? Cracker mungkin menambah, mengubah file atau hak akses (permission) file, menginstall program, menghapus file atau program n Tripwire mampu mengecek file atau program dan membandingkannya dengan database sebelumnya n

Bagaimana Tripwire Bekerja ? Tripwire bekerja dengan membuat sebuah database informasi semua file sistem

Bagaimana Tripwire Bekerja ? Tripwire bekerja dengan membuat sebuah database informasi semua file sistem dan menyimpannya pada suatu file n Setiap kali tripwire dijalankan untuk melakukan pengecekan file sistem hasil pemeriksaan akan dibandingkan dengan database yang pernah dibuat n

Apa yang dikerjakan Tripwire ? File Integrity Checking n Tripwire mamppu mendeteksi perubahan file

Apa yang dikerjakan Tripwire ? File Integrity Checking n Tripwire mamppu mendeteksi perubahan file n Tripwire membandingkan antara database file sebelum pengecekan dengan sesudah pengecekan n

Apa yang tidak dikerjakan Tripwire ? Tripwire tidak dapat menghalangi perubahan file/system n False

Apa yang tidak dikerjakan Tripwire ? Tripwire tidak dapat menghalangi perubahan file/system n False positif karena salah setting pada file policy, file konfigurasi, atau tidak update database n Triwire bukan antivirus n Tripwire dapat dimanipulasi n

Source Tripwire n n n www. tripwire. org http: //sourceforge. net/projects/tripwire/ http: //www. tripwire.

Source Tripwire n n n www. tripwire. org http: //sourceforge. net/projects/tripwire/ http: //www. tripwire. com/

Dimana Tripwire Dipasang? Terlindung n Media Read Only n

Dimana Tripwire Dipasang? Terlindung n Media Read Only n

4 Komponen File Konfigurasi n n File Konfigurasi ¨ Digunakan untuk melakukan konfigurasi tripwire

4 Komponen File Konfigurasi n n File Konfigurasi ¨ Digunakan untuk melakukan konfigurasi tripwire ¨ File /etc/tripwire/tw. cfg ¨ File /etc/tripwire/twcfg. txt File Policy ¨ Admin dapat menentukan bagaimana tripwire melakukan cek thd sistem ¨ File /etc/tripwire/tw. pol ¨ File /etc/tripwire/twpol. txt

n File Database ¨ Digunakan untuk menyimpan database informasi sistem ¨ Diperoleh waktu pertama

n File Database ¨ Digunakan untuk menyimpan database informasi sistem ¨ Diperoleh waktu pertama installasi ¨ File /var/lib/tripwire/<comp>. <domain>. twd

n File Report ¨Diperoleh dari hasil pengecekan ¨Laporan file termasuk perubahan yang terjadi di

n File Report ¨Diperoleh dari hasil pengecekan ¨Laporan file termasuk perubahan yang terjadi di sistem ¨File /var/lib/tripwire/report/<comp>. <domain> -<yymmdd>-<time>. twr

Site Key & Local Key Password Site key password melindungi file configurasi dan policy

Site Key & Local Key Password Site key password melindungi file configurasi dan policy n Local key password melindungi file database dan report n

Troubleshooting Tripwire n n Install dan customisasi file konfigurasi dan policy Inisialisasi database Melaksanakan

Troubleshooting Tripwire n n Install dan customisasi file konfigurasi dan policy Inisialisasi database Melaksanakan cek integritas system Periksa hasil report dari hasil cek, bila pelanggaran terjadi, periksalah apakah pelanggaran tersebut terjadi karena administrator melakukan perubahan sistem

Bila pelanggaran di luar kuasa admin, lakukan tindakan pencegahan yang diperlukan n Bila pelanggaran

Bila pelanggaran di luar kuasa admin, lakukan tindakan pencegahan yang diperlukan n Bila pelanggaran karena admin mengubah sistem, cek apakah error disebabkan oleh file policy. n Jika bukan disebabkan file policy, update databe tripwire n Jika disebabkan file policy, update file policy n

Inisialisasi database n n n /usr/sbin/tripwire --init Perintah ini akan membangun database ttg konfigurasi

Inisialisasi database n n n /usr/sbin/tripwire --init Perintah ini akan membangun database ttg konfigurasi sistem Diperoleh waktu pertama installasi tripwire ¨ File n /var/lib/tripwire/<comp>. <domain>. twd Print file database ¨ /usr/sbin/twprint n -m d --print-dbfile | less Print file tertentu ¨ /usr/sbin/twprint -m d --print-dbfile /etc/hosts

Cek Integritas System /usr/sbin/tripwire --check n Dengan menggunakan cron, admin mengatur pengecekan sistem secara

Cek Integritas System /usr/sbin/tripwire --check n Dengan menggunakan cron, admin mengatur pengecekan sistem secara berkala n Hasil pengecekan bisa diemailkan secara otomatis n Print hasil cek : n ¨ twprint -m r --twrfile /var/lib/tripwire/report/ nama-file-report. twr

Melakukan update policy n Edit file /etc/tripwire/twpol. txt ¨ Beri comment baris-baris dengan #

Melakukan update policy n Edit file /etc/tripwire/twpol. txt ¨ Beri comment baris-baris dengan # # /etc/smb. conf -> $(SEC_CONFIG) ; ¨ HOSTNAME=<comp_name>. <domain> n Bila file twpol. txt tidak ada, generate dengan ¨ twadmin --print-polfile > /etc/tripwire/twpol. txt

n Generate file tw. pol dengan ¨ /usr/sbin/twadmin --create-polfile -S site. key /etc/tripwire/twpol. txt

n Generate file tw. pol dengan ¨ /usr/sbin/twadmin --create-polfile -S site. key /etc/tripwire/twpol. txt n Mengupdate file tw. pol : ¨ tripwire --update-policy /etc/tripwire/twpol. txt

Update database n Hapus file database yang lama ¨ rm n /var/lib/tripwire/nama-file. twd Buat

Update database n Hapus file database yang lama ¨ rm n /var/lib/tripwire/nama-file. twd Buat file database baru ¨ /usr/sbin/tripwire n --init Update file database : ¨ /usr/sbin/tripwire --update --twrfile /var/lib/tripwire/report/nama-file. twr

Tripwire Interaktif n Mengupdate database interaktif : ¨ /usr/sbin/tripwire n --interactive Cek dan membandingkan

Tripwire Interaktif n Mengupdate database interaktif : ¨ /usr/sbin/tripwire n --interactive Cek dan membandingkan dg database ¨ tripwire --check --interactive

Tripwire dan email n n Edit policy file : ( rulename = "Networking Programs",

Tripwire dan email n n Edit policy file : ( rulename = "Networking Programs", severity = $(SIG_HI), emailto = idris@eepis-its. edu; ) Emailkan : /usr/sbin/tripwire --test --email idris@eepis-its. edu;

Tripwire dan cron Masukkan skrip runtw. sh di /usr/local/bin ¨ #!/bin/sh /usr/sbin/tripwire -m c

Tripwire dan cron Masukkan skrip runtw. sh di /usr/local/bin ¨ #!/bin/sh /usr/sbin/tripwire -m c | mail -s "Tripwire Report from HOST" root@localhost n Edit tabel crontab dg crontab -e n Jadwalkan skrip runtw. sh agar berjalan pukul 1: 01 pagi dg perintah : ¨ 1 1 * * * /usr/local/bin/runtw. sh n

Tripwire Report

Tripwire Report

Aplikasi File Integrity Checkers n n n AIDE NABOU Integrit Samhain Viper. DB ¨

Aplikasi File Integrity Checkers n n n AIDE NABOU Integrit Samhain Viper. DB ¨ http: //www. resentment. org/projects/viperdb/ n FCHECK ¨ http: //sites. netscape. net/fcheck. html n Sentinel ¨ http: //zurk. netpedia. net/zfile. html

Selamat Belajar !!!

Selamat Belajar !!!