Lokales IDS Tripwire


Um zu erkennen ob und welche Dateien durch „Fremdeinflüsse“ verändert werden bietet sich die Möglichkeit ein Intrusion Detection System zu installieren.

Tripwire erstellt Fingerabdrücke (Prüfsummen) aller (je nach Konfiguration) zu schützenden
Verzeichnisse und Dateien .

Im folgenden gehe ich auf die Einrichtung von Tripwire ein.

Tripwire benutz die beiden Dateien tw.cfg (config) und tw.pol (policy).

Über die Dateien wird gesteuert, wo die entsprechenden Daten liegen und welche
Verzeichnisse und Dateien überwacht werden sollen. Diese beiden Dateien
werden später für den laufenden Betrieb verschlüsselt, so dass sie vor
unauthorisiertem Zugriff geschützt sind. Dazu benötigt man  zwei
Schlüssel, den site key und dem local key, die folgendermaßen erstellt werden:

[code lang=“bash“]

twadmin –generate-keys –L /etc/tripwire/${HOSTNAME}-local.key

twadmin –generate-keys –S /etc/tripwire/site.key
[/code]

Es wird jeweils eine Passphrase abgefragt, die die Schlüssel  schützt.

Die Datei tw.cfg enthält verschlüsselte  Informationen,
wo welche Daten abgelegt werden. Die dazu korrespondierende Klartextversion
muss mindestens die folgenden Informationen enthalten:

  • Ort des  Policy-File

[code lang=“bash“]POLFILE = /etc/tripwire/tw.pol[/code]

  • Ort der Datenbank mit den Prüfsummen/Fingerabdrücken

[code lang=“bash“]DBFILE = /var/lib/tripwire/$(HOSTNAME).twd[/code]

  • Ort für das Logfile (Report)

[code lang=“bash“]REPORTFILE = /var/lib/tripwire/$(HOSTNAME)-$(DATE).twr[/code]

  • Wo liegt der site- bzw. local key?

[code lang=“bash“]SITEKEYFILE = /etc/tripwire/site.key[/code]
[code lang=“bash“]LOCALKEYFILE = /etc/tripwire/$(HOSTNAME)-local.key[/code]

Um  tw.cfg zu erzeugen gibt man folgendes ein :
[code lang=“bash“]twadmin –create-cfgfile –S ./site.key ./twcfg.txt[/code]

In der Datein  tw.pol wird definiert mit welcher Genauigkeit (wie detailiert) welche Verzeichnisse überprüft werden.

Zuerst wir eine Datei twpol.txt im Klartext angelegt  in alle Verzeichnisse entsprechend definiert werden.

Anschließend wird die Datei verschlüsselt und Tripwire zur Verfügung gestellt:
[code lang=“bash“]twadmin –-create-polfile ./twpol.txt[/code]
Nun kann das System initialisiert werden:
[code lang=“bash“]tripwire –-init[/code]
Tripwire ist Betriebsbereit. Die Integrität
der (vorher in der Konfiguration angegebenen) Daten lässt sich so prüfen:
[code lang=“bash“]tripwire -–check[/code]

Hilfen zur Erstellung der Policy-Datei findet man (Debian) unter:

[code lang=“bash“]/usr/share/doc/tripwire/examples/policyguide.txt.gz[/code]

Bei  Neuerungen kann man mittels

[code lang=“bash“] tripwire  –update -r /var/lib/tripwire/report/letzter-report.twr   [/code]

die Datenbank mit einem aktuellen Filesystemabbild updaten.

Hier noch Links zum Thema

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.