Addons:Tripwire

Aus IPFireWiki

Inhaltsverzeichnis 1 Was ist Tripwire 2 Installation 2.1 Die ersten Schritte mit Tripwire 2.2 Tripwire auf dem IPFire Hostsystem 2.3 Damit Tripwire auf dem IPFire Host aktiv wird 2.4 Wie können Sie die Sicherheit erhöhen 2.5 Weitere Funktionen die Sie benötigen

Was ist Tripwire

Tripwire ist ein Programm, was einen Systemzustand zum Zeitpunkt x mit dem aktuellen Systemzustand vergleicht und Veränderungen im Dateisystem entsprechend reportet.

Installation

Tripwire setzt sich im Wesentlichen aus folgenden Komponenten zusammen:

• einer Policy - anhand dieser wird der Systemzustand ermittelt
• einer Config – hier stehen Bassisinformatioen, wie Pfade und Einstellungen
• eines Site-Keys – eine Schlüsseldatei um mit Passwort Änderungen an der Policy vorzunehmen
• eines Local-Keys – eine Schlüsseldatei um mit Passwort Änderungen in der Datenbank vorzunehmen
• einer Datenbank – Hier werden die Dateisysteminformationen abgelegt

Das Addon lässt sich wie alle Addons über die Konsole mittels

pakfire install -y tripwire

oder über das Webinterface des PakFire installieren.

Die ersten Schritte mit Tripwire

Erstellen einer für das System passenden klartext Policy, hier stehen Pfade zu Dateien aber auch Alarmlevel. Festlegen der Basisparameter in einer klartext Config Datei. Anschließend müssen beide Key Dateien erstellt werden (Site und Localkey). Mit den Keys werden anschließend die Policy und die Config Datei signiert. Ist dies geschehen kann der aktuelle Systemzustand auf Basis der erstellten Policy in eine Datenbank geschrieben werden. Zu einem späteren Zeitpunkt kann ein Report erstellt werden, welcher den Datenbankzustand mit dem aktuellen Systemzustand abgleicht und Veränderungen entsprechend melden.

Tripwire auf dem IPFire Hostsystem

Damit auch nicht so versierte Anwender Tripwire nutzen können ist bei der Pakfire Installation bereits eine klartext Config und klartext Policy vorhanden. Die Policy ist dabei sehr allgemein gehalten, dh hier sind meist nur Pfade rekursiv eingetragen, damit werden alle in einem Verzeichnis vorhandenen Dateien überwacht. Eine andere Möglichkeit wäre gewesen die Dateien einzeln in die Policy einzutragen. Dies können Sie je nach Geschmack auch noch machen, falls Ihnen zu viele unwichtige Alarme auftreten. Tripwire bietet Ihnen auch die Möglichkeit Sie über aufgetretene Alarme per Email zu informieren, da der IPFire im Auslieferungszustand keinen eigenen Mailserver mitbringt, haben wir die Funktion erstmal nicht verwendet. Wir setzen statt dessen auf die Reportdateien, welche Sie im Webinterface in Klartext anschauen können.

Damit Tripwire auf dem IPFire Host aktiv wird

Über Generate Keys, wird dieser Mechanismus in Gang gesetzt, dh die beiden Klartextdateien werden verschlüsselt und die beiden Keys, werden mit den von Ihnen eingegebenen Passwort erzeugt, anschließend wird die Datenbank mit dem aktuellen Systemzustand angelegt. Dieser Vorgang ist in der Regel nur einmal beim initialen Anlegen notwendig. Ist dies geschehen, so können Sie sämtliche Klartextdateien löschen.

Drücken Sie auf Keys zurücksetzen wird dieser Vorgang genauso durchgeführt, jedoch wird hier jeweils das Passwort auf IPFire gesetzt, dieser Vorgang sollte eigentlich nie notwendig sein.

Wie können Sie die Sicherheit erhöhen

Am sichersten ist es, wenn Sie die Klartextpolicy und die Keydateien auf einen externen Datenträger speichern und vom System löschen. Um einen Report zu erzeugen benötigen Sie nur die Datenbank, die verschlüsselte Config und Policy. Wollen Sie Änderungen an der Policy oder Datenbank vornehmen kopieren Sie die Dateien einfach wieder auf das System.

Weitere Funktionen die Sie benötigen

Mit generate Policy haben Sie die Möglichkeit die verschlüsselte Policy zu erneuern ohne dabei die Datenbank oder die Schlüssel neu zu erzeugen. Dieser Vorgang ist z.B. notwendig wenn Sie die Liste der zu überwachenden Dateien ändern wollen. Zum jetztigen Zeitpunkt müssen Sie die Policy noch per Hand auf der Console anpassen. Es gibt noch keine Funktion die dies per Gui ermöglicht.

Mit generate report erzeugen Sie einen neuen Report auf Basis des aktuellen Systemzustandes und der hinterlegten Policy/Datenbank, das System gleicht dann den Soll mit dem Istzustand ab und erstellt einen vercrypteten Report. Sie haben anschließend die Möglichkeit den Report im Webinterface als Klartext anzusehen.

Mit Update Database haben Sie die Möglichkeit den festgestellten Ist Zustand als Sollzustand zu definieren, d.h. der letzte von Ihnen erzeugt Report wird als Sollzustand in die Datenbank geschrieben. Jeder zukünftige Report wird ab diesem Zeitpunkt mit diesem Zustand ab geglichen. Eventuell haben Sie Ihre Datenbank vor 2 Monaten erzeugt und haben jetzt ein neues Programm installiert, oder Änderungen am System vorgenommen, damit Ihnen diese Änderungen nicht bei jedem Report erneut als Alarm gemeldet werden, empfiehlt es sich den aktuellen Systemzustand ein zufrieren und in die Datenbank zu übernehmen. Bevor Sie das tun, vergewissern Sie sich aber unbedingt, ob alle aufgezeigten Alarme wirklich und wissentlich durch Sie verursacht wurden.

Sie können also Tripwire verwenden um Änderungen an Ihrem System festzustellen. Mit den richtigen Einstellungen haben Sie mit Tripwire eine sehr gutes Überwachungsprogramm an der Hand. Wir wollen aber nochmal ausdrücklich darauf hinweisen, dass die mit IPFire gelieferte Config/Policy auf jeden Fall noch auf Ihre Bedürfnisse angepasst werden muss und bei weitem nicht an professionelle „kostenpflichtige“ Lösungen herankommt.