SHARE
Tripwire Sebagai File Integrity Checker
sumber: http://www.tripwire.com

Intrusion Detection System (IDS) merupakan perangkat yang digunakan untuk memonitoring atau mendeteksi adanya aktivitas mencurigakan pada jaringan. IDS ini mengumpulkan informasi dari berbagai sistem dan sumber dari jaringan yang kemudian akan di analisa sebelum, selama, dan sesudah kejadian. Dari informasi tersebut akan dicocokan dengan aturan yang sudah ditetapkan sebelumnya pada IDS. IDS ini dibagi menjadi dua tipe, yaitu Host Based dan Network Based. Pada kesempatan kali ini saya akan membahas salah satu contoh dari Host Intrusion Detection System (HIDS), yaitu Tripwire sebagai File Integrity Checker.

Integrity checker merupakan alat yang digunakan oleh seorang administrator untuk melakukan pengecekan dan keseimbangan pada sistem mereka dan direpresentasikan dengan snapshot dari perubahan yang terjadi.

Tripwire merupakan salah satu IDS yang termasuk kedalam jenis host-based. Seorang administrator akan mengalami kesulitan ketika harus memonitoring semua sistem yang ada di server, karena terlalu banyak file yang dikelola dan tidak mungkin dilakukan pengecekan satu per satu. Maka dari itu diperlukan Tripwire untuk melakukan audit file yang ada di server.

Cara kerja Tripwire

Prinsip kerja yang dilakukan oleh program Tripwire adalah dengan membuat suatu baseline database yang ada pada sistem. Ketika ada file yang berubah maka Tripwire akan mencatat dan memberikan notifikasi kepada admin.

Selain menjaga integritas file sistem dan direktori, Tripwire mampu mengirimkan notifikasi melalui e-mail apabia ditemukan adanya perubahan file yang tidak semestinya. Dan juga Tripwire dapat melakukan perbandingan antara database file sebelumnya dengan database file setelah pengecekan.

Namun ada beberapa hal yang tidak bisa dilakukan oleh Tripwire, yaitu Tripwire tidak dapat menghalangi perubahan file atau sistem, Tripwire bukan merupakan antivirus, program Tripwire ini dapat dimanipulasi, dan adanya notifikasi yang bersifat false positif dikarenakan kesalahan konfigurasi pada file policy, file konfigurasi, dan tidak update nya database.

Cara Install Tripwire pada Linux

Berikut ini cara menginstall Tripwire pada sistem operasi linux berbasis debian, seperti ubuntu.

1. Untuk langkah pertama dapat mengetikkan pada terminal

#apt-get install tripwire

2. Selanjutnya adalah melakukan konfigurasi pada tripwire. Secara default file konfigurasi berada pada direktori /etc/tripwire/tw.cfg dan /etc/tripwire/twcfg.txt, dimana file ini yang nantinya akan diubah sesuai dengan kebutuhan.

Berikut ini contoh file konfigurasi dari tripwire:

ROOT =/usr/sbin
POLFILE =/etc/tripwire/tw.pol
DBFILE =/var/lib/tripwire/$(HOSTNAME).twd
REPORTFILE =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
SITEKEYFILE =/etc/tripwire/site.key
LOCALKEYFILE =/etc/tripwire/$(HOSTNAME)-local.key
EDITOR =/bin/vi
LATEPROMPTING =false
LOOSEDIRECTORYCHECKING =false
MAILNOVIOLATIONS =true
EMAILREPORTLEVEL =3
REPORTLEVEL =3
MAILMETHOD =SENDMAIL
SYSLOGREPORTING =false
MAILPROGRAM =/usr/sbin/sendmail -oi -t

……

MAILMETHOD =SMTP
SYSLOGREPORTING =false
SMTPHOST =<smtp mail>
SMTPPORT =25

Dari contoh file konfigurasi diatas, ada beberapa yang dapat kita ubah sesuai dengan kebutuhan. Sebagai contoh DBFILE yang mana file ini berisi database pembanding, sebagai tolak ukur pengecekan integritas sistem. Kemudian ada MAILNOVIOLATION, jika di atur nilainya “true” maka setiap ada perubahan tripwire akan mengirimkan notifikasi melalui email dan “false” sebaliknya.

Setiap kali kita melakukan perubahan pada file konfigurasi tripwire maka harus menjalankan perintah dibawah ini agar file konfigurasi tersebut update

#twadmin –create-cfgfile –site-keyfile ./site.key twcfg.txt

3. Kemudian langkah selanjutnya adalah dengan membuat site key dan local key yang nantinya digunakan untuk masuk ke database, konfigurasi file, dan policy file.

#twadmin –generate-keys –site-keyfile ./site.key
#twadmin –generate-keys –local-keyfile ./local.key

4. Selanjutnya adalah membuat atau merubah policy. Tripwire memiliki default file policy, dan kita dapat mengubahnya sesuai kebutuhan. Kita dapat menentukan file-file mana saja yang harus dimonitoring. Namun apabila policy yang dibuat terlalu kompleks maka dapat menimbulkan false positive alarm.

Berikut contoh file policy yang ada pada tripwire pada direktori /etc/tripwire/twpol.txt

………..

(
rulename = “Root config files”,
severity = 100
)
{
/root -> $(SEC_CRIT) ; # Catch all additions to /root
#/root/mail -> $(SEC_CONFIG) ;
#/root/Mail -> $(SEC_CONFIG) ;
#/root/.xsession-errors -> $(SEC_CONFIG) ;
#/root/.xauth -> $(SEC_CONFIG) ;
#/root/.tcshrc -> $(SEC_CONFIG) ;
#/root/.sawfish -> $(SEC_CONFIG) ;
#/root/.pinerc -> $(SEC_CONFIG) ;
#/root/.mc -> $(SEC_CONFIG) ;
#/root/.gnome_private -> $(SEC_CONFIG) ;
#/root/.gnome-desktop -> $(SEC_CONFIG) ;
#/root/.gnome -> $(SEC_CONFIG) ;
#/root/.esd_auth -> $(SEC_CONFIG) ;
#/root/.elm -> $(SEC_CONFIG) ;
#/root/.cshrc -> $(SEC_CONFIG) ;
/root/.bashrc -> $(SEC_CONFIG) ;
#/root/.bash_profile -> $(SEC_CONFIG) ;
#/root/.bash_logout -> $(SEC_CONFIG) ;
/root/.bash_history -> $(SEC_CONFIG) ;
#/root/.amandahosts -> $(SEC_CONFIG) ;
#/root/.addressbook.lu -> $(SEC_CONFIG) ;
#/root/.addressbook -> $(SEC_CONFIG) ;
#/root/.Xresources -> $(SEC_CONFIG) ;
#/root/.Xauthority -> $(SEC_CONFIG) -i ; # Changes Inode number on login
#/root/.ICEauthority -> $(SEC_CONFIG) ;
}

…….

Dari contoh diatas, karena banyak sekali file dari direktori /root/ maka kita dapat memilih yang dibutuhkan saja. Caranya sangat mudah, yaitu dengan menghilangkan tag “#” apabila file tersebut ingin dimonitoring.

Setelah selesai dengan melakukan konfigurasi pada file policy, maka harus menjalankan perintah dibawah ini agar policy terupdate dan melakukan pengecekan bahwa semua berjalan dengan baik.

#twadmin -m P /etc/tripwire/twpol.txt

#tripwire –init

#tripwire –check

5. Langkah terakhir adalah mengatur agar tripwire ini berjalan dan mengirimkan notifikasi melalui email setiap hari, yaitu dengan mengatur pada file contrab (optional). Sebagai contoh setiap hari pada jam 03:30 pagi tripwire akan mengirimkan report jika ada perubahan. Konfigurasi ini disesuaikan dengan kebutuhan agar tidak mengganggu jalannya sistem.

#sudo crontab -e
30 3 * * * /usr/sbin/tripwire –check | mail -s “Tripwire report for `uname -n ” your_email@domain.com

Perintah umum menggunakan Tripwire

Berikut ini 3 perintah dasar menggunakan Tripwire:

Membuat database Tripwire
#tripwire -m i -v

Melakukan pengecekan sistem pada database Tripwire
#tripwire -m c -v

Membaca report dari Tripwire
#twprint -m r –twrfile <nama file>

Sekian dan terima kasih.

Referensi:

Tripwire | Cara kerja tripwire

Tinggalkan komentar

Berikan komentar