¿Por qué usar Tripwire?
Para mejorar la seguridad de su sistema.
No existen los sistemas computacionales perfectos e invulnerables que desearíamos, y siempre estaremos expuestos a ataques. Más allá de todas las medidas preventivas que tomemos (firewalls, patches, políticas, etc.) siempre cabe la posibilidad de ser alcanzados por un hacker. Los ataques exitosos a través de la red típicamente involucran la modificación parcial del sistema mediante la alteración o reemplazo de ciertos archivos, lo cual suele ser empleado por el atacante para posteriormente tomar el control total del sistema.
Tripwire asume que todos los controles de seguridad han fallado, y que nuestro sistema ya ha sido alterado; al menos, parcialmente. Sin embargo, parte del arte de los atacantes consiste en no ser descubiertos, y para esto emplean diversas técnicas relativamente sofisticadas. Tripwire servirá para alertar al administrador de estos cambios (los cuales de otro modo podrían pasar desapercibidos por semanas o meses) a fin de tomar acciones con rapidez.
Para esto, Tripwire monitorea rutinariamente la integridad de una gran cantidad de archivos que tienden a ser blanco de los atacantes. Sin embargo, este proceso es pesado, y se suele ejecutar a intervalos; por ejemplo, diarios o interdiarios, aunque no hay ninguna restricción (salvo de recursos) para no lanzarlo cada media hora.
Este programa nos ayuda a determinar cuando la seguridad de nuestro equipo ha sido comprometida. Nos informará cuando todas las otras medidas de seguridad han fallado. En la Web es posible encontrar información acerca de su instalación en Red Hat y otras distribuciones, aqui una breve descripción de la Instalación y configuración del Tripwire en debian.
Tripwire
¿Qué hace?
Cuando alguien logra ingresar en nuestro sistema no deseará perder la oportunidad de seguir utilizandolo, por lo que probablemente instalará algo llamado rootkit. Estos rootkit, vistos de una manera muy sencilla, son un conjunto de archivos destinados a reemplazar programas del sistema, creando versiones modificadas para que el administrador no descubra la presencia de procesos extraños, o logs de acceso de usuarios desconocidos.
Por ejemplo, instalan un programa en lugar del pstree original, de modo que cuando se ejecute pstree, no se mostrarán todos los procesos que se están ejecutando. Como puede verse si el administrador no puede confiar en su propio sistema, será muy difícil determinar si este ha sido comprometido.
Instalación y configuración
El primer paso es encontrar y descargar el programa de Internet (si estas usando sarge puedes hacer un sencillo apt-get), seguidamente dpkg -i tripwire.2.3.1.2-0, para instalarlo.
Aquí comienza lo interesante, toda la documentación que puede encontrar me dice que utilice el script install.sh, el cual no encontré por ninguna parte en mi debian. Por lo que el primer paso que realice fue generar una llave, el comando utilizado fue:
twadmin -m G -L /etc/tripwire/site.key
(Importante: Cuidado con las mayúsculas y minúsculas en los parámetros)
Este pide una contraseña (Utilizar una contraseña de verdad, osea que tenga minúsculas, mayúsculas, números y letras)
Seguidamente es necesario crear un archivo de configuración. Este se creará basado en el archivo de texto /etc/tripwire/twcfg.txt el cual debemos editar para ajustar a nuestras necesidades. (Yo no tuve que cambiar nada aquí). El comando utilizado para crear el archivo de configuración es:
twadmin -m F -S /etc/tripwire/site.key -c /etc/tripwire/tw.cfg /etc/tripwire/twcfg.txt
Ahora es necesario crear un archivo llamado nombre_de_mi_host-local.key, este es idéntico al archivo site.key que creamos antes, por lo que cp site.key nombre_de_mi_host-local.key será suficiente.
El siguiente paso es crear un archivo de políticas, este se creará basado en el archivo /etc/tripwire/twpol.txt (tampoco tuve que modificar nada en este archivo de texto). El comando para generar el archivo de políticas es:
twadmin -m P /etc/tripwire/twpol.txt
Crear la base de datos
Para crear la base de datos (con la información que Tripwire debe monitorear) se utiliza el comando
tripwire -m i 2> /tmp/mensajes
Esta forma de ejecución la encontré aquí , es un completo tutorial, solamente que es para Red Hat. En él se explica que el comando anterior creará el archivo /tmp/mensajes, donde aparecerá una lista de los archivos que no se encontraron al intentar crear la base de datos.
La duración de este paso dependerá de la cantidad de archivos que desee monitorear, si utilizó las archivos tal y como se instalarón deberá tener paciencia ya que la ejecución tardará. Al finalizar este paso usted verá un nuevo archivo llamado /var/lib/tripwire/nombre_de_mi_host.twd
Verificar la integridad
Cuando deseemos verificar la integridad de nuestro sistema basta con ejecutar
tripwire -m c y al final veremos un lindo reporte que nos indica si alguno de nuestros archivos ha cambiado desde la creación de la base de datos.
Aca dejo el link -tutorial para otras distribuciones
Web Oficial; www.tripwire.org.