Difference between revisions of "Tripwire"

From OnnoWiki
Jump to navigation Jump to search
 
(21 intermediate revisions by the same user not shown)
Line 1: Line 1:
instalasi
+
Tripwire adalah termasuk kategori Host [[Intrusion Detection System]] ([[IDS]]). Yang mendeteksi perubahan file di mesin yang mungkin dilakukan oleh penyerang.
  
  apt-get install tripwire
+
Logika bekerja tripwire adalah dengan membuat baseline [[database]] dari file yang ada di system. Jika file tersebut berubah maka tripwire akan mencatat dan / atau memberitahukan administrator mesin.
 +
 
 +
==Instalasi tripwire==
 +
 
 +
Instalasi
 +
 
 +
sudo su
 +
apt update
 +
  apt -y install tripwire
 +
 
 +
masukan password
  
 
  Enter site key passphrase
 
  Enter site key passphrase
 
  Enter local key passphrase  
 
  Enter local key passphrase  
  
Konfigurasi
+
Pastikan konfigurasi tripwire aman dan hanya bisa di akses oleh root saja.
  
  /etc/tripwire
+
  cd /etc/tripwire
 +
chmod 0600 tw.cfg tw.pol
  
 +
==Edit Policy==
  
Update policy
+
edit policy
  
  tripwire -m p /etc/tripwire/twpol.txt
+
  vi /etc/tripwire/twpol.txt
  
 +
encrypt policy
 +
 +
cd /etc/tripwire
 +
twadmin --create-polfile --cfgfile ./tw.cfg --site-keyfile ./site.key ./twpol.txt
 +
 +
 +
==Edit Configurasi==
 +
 +
edit konfigurasi
 +
 +
vi /etc/tripwire/twcfg.txt
 +
 +
encrypt konfigurasi
 +
 +
cd /etc/tripwire
 +
twadmin --create-cfgfile --cfgfile ./tw.cfg --site-keyfile ./site.key ./twcfg.txt
 +
 +
 +
==Inisialisasi Database==
 +
 +
Inisialisasi baseline [[database]]
 +
 +
tripwire --init --cfgfile /etc/tripwire/tw.cfg \
 +
--polfile /etc/tripwire/tw.pol --site-keyfile /etc/tripwire/site.key \
 +
--local-keyfile /etc/tripwire/HOSTNAME-local.key
 +
 +
atau jika HOSTNAME anda adalah ubuntu maka
 +
 +
tripwire --init --cfgfile /etc/tripwire/tw.cfg \
 +
--polfile /etc/tripwire/tw.pol --site-keyfile /etc/tripwire/site.key \
 +
--local-keyfile /etc/tripwire/ubuntu-local.key
 +
 +
Ini akan membutuhkan waktu beberapa lama karena dia akan mencek seluruh harddisk.
 +
 +
==Check System==
 +
 +
Untuk mencek apakah terjadi perubahan file kita dapat melakukan
 +
 +
tripwire --check
 +
 +
Untuk server yang beroperasi 24/7 kita dapat menggunakan cron dan e-mail hasilnya ke administrator.
 +
 +
==Update policy==
 +
 +
Jika kita mengupdate policy, misalnya menambahkan / mengurangi folder yang akan di scan dll kita dapat melakukan
 +
edit policy
 +
 +
vi /etc/tripwire/twpol.txt
 +
 +
kemudian update policy
 +
 +
tripwire --update-policy --cfgfile ./tw.cfg --polfile ./tw.pol \
 +
--site-keyfile ./site.key --local-keyfile ./HOSTNAME-local.key ./twpol.txt
 +
 +
atau jika HOSTNAME yang digunakan ubuntu maka
 +
 +
tripwire --update-policy --cfgfile ./tw.cfg --polfile ./tw.pol \
 +
--site-keyfile ./site.key --local-keyfile ./ubuntu-local.key ./twpol.txt
 +
 +
==Update secara regular==
 +
 +
Kita perlu mengupdate secara periodik [[database]] tentang file system. Mohon di cek dulu sebelum melakukan update. Proses update dapat menggunakan perintah
 +
 +
tripwire --update -Z low
 +
 +
perintah di atas akan melakukan perbandingan antara [[database]] yang ada dengan file yang ada di system. Kemudian jalankan editor untuk memilih perubahan di database.
 +
 +
Jika kita menjalankan perintah ini dan memperoleh message error karena tidak ada file report, sebab utamanya kemungkinan karena check yang dilakukaan belakangan tidak dilakukan sesudah update. File report berada di folder
 +
 +
/var/lib/tripwire/report
 +
 +
dan menggunakan hostname sebagai nama, dilanjutkan dengan tanggal (yyyymmdd) dan waktu (tttttt).  Jika kita baru saja menjalankan check dan menginginkan update untuk dilakukan menggunakan report file terakhir, maka kita dapat mengunakan opsi -r dan menggunakan report file terakhir
 +
 +
tripwire --update -Z low --twrfile host-yyyymmdd-tttttt.twr
 +
 +
==Local Manual==
 +
 +
/usr/share/doc/tripwire/README.Debian
  
 
==Referensi==
 
==Referensi==
  
/usr/share/doc/tripwire/README.Debian
+
* http://remoteadmin.org.uk/tutorials/42-linux/56-tripwire-ubuntu
 +
* http://www.ubuntu-unleashed.com/2007/08/protecting-your-ubuntu-machine.html
 +
* http://www.ubuntugeek.com/list-of-security-tools-available-in-ubuntu.html
 +
* https://www.digitalocean.com/community/tutorials/how-to-use-tripwire-to-detect-server-intrusions-on-an-ubuntu-vps
  
 
==Pranala Menarik==
 
==Pranala Menarik==
  
 +
* [[Tripwire: Intro]]
 +
* [[Tripwire: Admin]]
 +
* [[Tripwire: Files]]
 
* [[Tripwire: Notifikasi e-mail]]
 
* [[Tripwire: Notifikasi e-mail]]
 +
* [[Tripwire: Policy Reference]]
 
* [[Keamanan Jaringan]]
 
* [[Keamanan Jaringan]]
 
* [[OS Security]]
 
* [[OS Security]]
 +
* [[OSSEC]]
  
 
[[Category: network security]]
 
[[Category: network security]]

Latest revision as of 19:05, 15 January 2021

Tripwire adalah termasuk kategori Host Intrusion Detection System (IDS). Yang mendeteksi perubahan file di mesin yang mungkin dilakukan oleh penyerang.

Logika bekerja tripwire adalah dengan membuat baseline database dari file yang ada di system. Jika file tersebut berubah maka tripwire akan mencatat dan / atau memberitahukan administrator mesin.

Instalasi tripwire

Instalasi

sudo su
apt update
apt -y install tripwire

masukan password

Enter site key passphrase
Enter local key passphrase 

Pastikan konfigurasi tripwire aman dan hanya bisa di akses oleh root saja.

cd /etc/tripwire
chmod 0600 tw.cfg tw.pol

Edit Policy

edit policy

vi /etc/tripwire/twpol.txt

encrypt policy

cd /etc/tripwire
twadmin --create-polfile --cfgfile ./tw.cfg --site-keyfile ./site.key ./twpol.txt


Edit Configurasi

edit konfigurasi

vi /etc/tripwire/twcfg.txt

encrypt konfigurasi

cd /etc/tripwire
twadmin --create-cfgfile --cfgfile ./tw.cfg --site-keyfile ./site.key ./twcfg.txt


Inisialisasi Database

Inisialisasi baseline database

tripwire --init --cfgfile /etc/tripwire/tw.cfg \ 
--polfile /etc/tripwire/tw.pol --site-keyfile /etc/tripwire/site.key \
--local-keyfile /etc/tripwire/HOSTNAME-local.key

atau jika HOSTNAME anda adalah ubuntu maka

tripwire --init --cfgfile /etc/tripwire/tw.cfg \
--polfile /etc/tripwire/tw.pol --site-keyfile /etc/tripwire/site.key \
--local-keyfile /etc/tripwire/ubuntu-local.key

Ini akan membutuhkan waktu beberapa lama karena dia akan mencek seluruh harddisk.

Check System

Untuk mencek apakah terjadi perubahan file kita dapat melakukan

tripwire --check

Untuk server yang beroperasi 24/7 kita dapat menggunakan cron dan e-mail hasilnya ke administrator.

Update policy

Jika kita mengupdate policy, misalnya menambahkan / mengurangi folder yang akan di scan dll kita dapat melakukan edit policy

vi /etc/tripwire/twpol.txt

kemudian update policy

tripwire --update-policy --cfgfile ./tw.cfg --polfile ./tw.pol \
--site-keyfile ./site.key --local-keyfile ./HOSTNAME-local.key ./twpol.txt

atau jika HOSTNAME yang digunakan ubuntu maka

tripwire --update-policy --cfgfile ./tw.cfg --polfile ./tw.pol \
--site-keyfile ./site.key --local-keyfile ./ubuntu-local.key ./twpol.txt

Update secara regular

Kita perlu mengupdate secara periodik database tentang file system. Mohon di cek dulu sebelum melakukan update. Proses update dapat menggunakan perintah

tripwire --update -Z low

perintah di atas akan melakukan perbandingan antara database yang ada dengan file yang ada di system. Kemudian jalankan editor untuk memilih perubahan di database.

Jika kita menjalankan perintah ini dan memperoleh message error karena tidak ada file report, sebab utamanya kemungkinan karena check yang dilakukaan belakangan tidak dilakukan sesudah update. File report berada di folder

/var/lib/tripwire/report

dan menggunakan hostname sebagai nama, dilanjutkan dengan tanggal (yyyymmdd) dan waktu (tttttt). Jika kita baru saja menjalankan check dan menginginkan update untuk dilakukan menggunakan report file terakhir, maka kita dapat mengunakan opsi -r dan menggunakan report file terakhir

tripwire --update -Z low --twrfile host-yyyymmdd-tttttt.twr

Local Manual

/usr/share/doc/tripwire/README.Debian

Referensi

Pranala Menarik