TRIPWIRE

File Integrity Checks

Politeknik Elektronika Negeri Surabaya

Obj ti
Objective

Overview Tripwire
Manfaat Tripwire
Komponen Konfigurasi
Variabel File Konfigurasi
Membaca Laporan Tripwire

Di t ib i T
Distribusi
Tripwire
i i

Debian
RedHat
Caldera
Turbolinux
SuSE
BSD
FreeBSD

O
Overview
i
T
Tripwire
i i

Salah satu tool untuk pemeriksaan integritas sistem

Digunakan untuk memonitor perubahan yang terjadi
pada sebuah sistem
p

M
Mengapa
T
Tripwire
i i penting
ti ?
Cracker mungkin menambah, mengubah
file atau hak akses (permission) file,
menginstall program, menghapus file atau
program
Tripwire mampu mengecek file atau
program dan membandingkannya dengan
database sebelumnya

B
Bagaimana
i
T
Tripwire
i i B
Bekerja
k j ?
Tripwire bekerja dengan membuat sebuah
database informasi semua file sistem dan
menyimpannya pada suatu file
Setiap kali tripwire dijalankan untuk
melakukan pengecekan file sistem hasil
pemeriksaan akan dibandingkan dengan
database yang pernah dibuat

Apa yang dikerjakan Tripwire ?

File Integrity Checking
Tripwire mampu mendeteksi perubahan
file
Tripwire membandingkan antara database
file sebelum pengecekan dengan sesudah
pengecekan

Apa yang tidak dikerjakan

Tripwire ?
Tripwire tidak dapat menghalangi
perubahan file/system
p
y
Triwire bukan antivirus
Tripwire dapat dimanipulasi

S
Source
Tripwire
Ti i

www.tripwire.org
http://sourceforge.net/projects/tripwire/
http://www.tripwire.com/

Di
Dimana
T
Tripwire
i i Di
Dipasang?
?
Terlindung
Media Read Only

10

11

4 Komponen File Konfigurasi

File Konfigurasi
Digunakan untuk melakukan konfigurasi tripwire
File /etc/tripwire/tw.cfg
/etc/tripwire/tw cfg
File /etc/tripwire/twcfg.txt
Fil P
File
Policy
li
Admin dapat menentukan bagaimana tripwire
melakukan
l k k cek
k thd sistem
i t
File /etc/tripwire/tw.pol
File
Fil //etc/tripwire/twpol.txt
t /t i i /t
lt t
12

File D
Fil
Database
b
Digunakan untuk menyimpan database
i f
informasi
i sistem
i t
Diperoleh waktu pertama installasi
File /var/lib/tripwire/<comp>.<domain>.twd
/ / /
/
File Report
Diperoleh dari hasil pengecekan
Laporan file termasuk perubahan yang terjadi
di sistem
File /var/lib/tripwire/report/<comp>.<domain>
-<yymmdd>-<time>.twr
dd
ti
t
13

Sit Key
Site
K & Local
L
lK
Key P
Password
d
Site key password melindungi file
konfigurasi
g
dan p
policy
y
Local key password melindungi file
database dan report

14

T bl h ti T
Troubleshooting
Tripwire
i i

Install dan customisasi file konfigurasi dan

policy
Inisialisasi database
Melaksanakan cek integritas system
Periksa hasil report dari hasil cek, bila
pelanggaran terjadi, periksalah apakah
pelanggaran tersebut terjadi karena
administrator melakukan perubahan sistem
15

Bila pelanggaran di luar kuasa admin, lakukan

pencegahan
g
yyang
g diperlukan
p
tindakan p
Bila pelanggaran karena admin mengubah sistem,
cek apakah error disebabkan oleh file policy.
Jika bukan disebabkan file policy, update database
tripwire
Jika disebabkan file policy, update file policy

16

C ti a T
Creating
Tripwire
i i snapshot
h t
Creating Snapshot

tw pol policy
tw.pol

tripwire --init

Tripwire Database

Filesystem

PENS-ITS

T i i IIntegrity
Tripwire
t it Checking
Ch ki
Integrity Checking

tw.pol policy

tripwire --check
check
Tripwire Report
Tripwire Database

Filesystem

PENS-ITS

T k ik Server
Teknik
S
Hardening
H d i

File Integrity Checker

Membuat snapshot file: hash signature (message

digest) untuk masing-masing file

Setelah adanya serangan, bandingkan post-hack

post hack
signature dengan snapshot

Sehingga
gg sistem administrator dapat
p menentukan
file mana yang telah dirubah

Tripwire
p
adalah file integrity
g y checker for UNIX
PENS-ITS

Tripwire File Integrity Checker

Reference Base
1.
Earlier
Time

File 1
File 2

Oth Fil
Other
Files iin
Policy List

Tripwire

File 1 Signature
File 2 Signature

3 C
3.
Comparison
i
tto Fi
Find
d Ch
Changed
d Fil
Files
Post-Attack Signatures
2.
After
Attack

File 1
File 2

Other Files in
Policy List

Tripwire

File 1 Signature
File 2 Signature

PENS-ITS

Inisialisasi database

/usr/sbin/tripwire --init
Perintah ini akan membangun database ttg
konfigurasi sistem
Diperoleh waktu pertama installasi tripwire
File

/var/lib/tripwire/<comp>.<domain>.twd
p
p

Print file database

/usr/sbin/twprint

-m d --print-dbfile | less

Print file tertentu

/usr/sbin/twprint

-m d --print-dbfile /etc/hosts

21

Cek Integritas System

/usr/sbin/tripwire --check
Dengan menggunakan cron
cron, admin mengatur
pengecekan sistem secara berkala
Hasil pengecekan bisa diemailkan secara
otomatis
Print
P i t hasil
h il cek
k:

twprint -m r --twrfile /var/lib/tripwire/report/

nama-file-report.twr
22

Generate file tw.pol dengan

/usr/sbin/twadmin

--create-polfile
create polfile -S
S site.key
/etc/tripwire/twpol.txt

Mengupdate file tw.pol :

tripwire

--update-policy /etc/tripwire/twpol.txt

23

U d t database
Update
d t b

Hapus file database yang lama

rm

/var/lib/tripwire/nama-file.twd
/var/lib/tripwire/nama file.twd

Buat file database baru

/usr/sbin/tripwire

--init
init

Update file database :

/usr/sbin/tripwire
/ / bi /t i i

--update
d t --twrfile
t fil
/var/lib/tripwire/report/nama-file.twr
24

Tripwire dan email

Edit policy file :

(
rulename = Security Control",
severity = $(SIG_MED),
$(SIG MED),
emailto = zenhadi@eepis-its.edu;
)
{
/etc/passwd -> $(SEC_CONFIG);
/etc/shadow -> $(SEC_CONFIG);
}
Emailkan :
/usr/sbin/tripwire --test --email zenhadi@eepis-its.edu;

25

Ti i d
Tripwire
dan cron

Masukkan skrip runtw.sh di /usr/local/bin

#!/bin/sh
/usr/sbin/tripwire -m
m c | mail -ss "Tripwire
Tripwire Report from HOST
HOST"
root@localhost
Edit tabel crontab dg crontab -e
Jadwalkan skrip runtw.sh
runtw sh agar berjalan pukul 1:01 pagi dg
perintah :
1 1 * * * /usr/local/bin/runtw.sh

26

Tripwire Report

27

28

29

30

Aplikasi File Integrity Checkers

AIDE
NABOU
Integrit
g
Samhain
ViperDB
http://www.resentment.org/projects/viperdb/

FCHECK
http://sites.netscape.net/fcheck/fcheck.html
h // i
/f h k/f h k h l

Sentinel
http://zurk.netpedia.net/zfile.html
htt // k t di
t/ fil ht l
31

32

33

Selamat Belajar !!!

34

35