Cargando



Cómo instalar TripWire (Sistema detección intrusos) Linux

Aquí tienes un completo manual sobre cómo instalar el sistema detección intrusos Tripwire en sistemas Linux (Ej en Debian 8).


dic 16 2016 12:30
Profesional
Total de Apartados : 7
dic 16 2016 14:00

La seguridad es uno de los temas más críticos a los cuales debemos enfrentarnos diariamente y esto debido a que no sólo en nuestras organizaciones sino también a nivel personal tenemos numerosos archivos y configuraciones que en caso de ser mal usadas pueden ocasionar daños irreparables.

 

Conocemos diversas herramientas que nos pueden ser útiles para supervisar el comportamiento diario del sistema y en esta oportunidad hablaremos sobre una en particular llamada TripWire.

 

Qué es TripWire
TripWire es una herramienta poderosa y gratuita cuya función específica es la detección de intrusos (IDS) la cual constantemente está actualizando los archivos críticos del sistema y los informes de control en caso que los mismos hayan sido modificados o borrados por un hacker o intruso.

 

TripWire enviará al administrador del sistema un mensaje en caso de presentarse alguna falla en el sistema. TripWire es una herramienta de código abierto la cual permitirá que el área de IT sea notificada en caso de alguna modificación en el sistema Linux, en este caso Debian 8.

 

El funcionamiento básico de TripWire es el siguiente:

  • En primer lugar la herramienta realiza un análisis y crea un punto de referencia de todos los archivos críticos en un archivo cifrado incrementando la seguridad.
  • Posteriormente monitorea cualquier cambio anómalo y lo compara contra el punto de referencia incluyendo detalles como fecha y hora, permisos, entre otros.

 

Para este análisis usaremos un equipo con Debian 8.

 


1. Actualizar sistema


En primer lugar ingresaremos el comando:
apt-get update
Para actualizar todos los paquetes disponibles en el sistema.

 

Nota
Anteponemos sudo en caso de no haber iniciado sesión como usuarios root.

 

tripwire-1.jpg

 

En equipos con CentOS 7 o RHEL debemos ingresar el comando:

yum update
Con ello, habremos actualizado los paquetes.

 

 


2. Descargar e instalar TripWire


Una vez tengamos el sistema actualizado procedemos a ingresar el siguiente comando para la descarga e instalación de TripWire:
apt-get install tripwire
En equipos con CentOS 7 ingresaremos el comando:
yum install tripwire

tripwire-2.jpg

 

Podemos ver que se despliega el siguiente asistente donde aceptamos el mensaje:

 

tripwire-3.jpg

 

Una vez aceptado este mensaje se despliega la siguiente ventana donde debemos definir en qué momento crear las claves de TripWire.

 

tripwire-4.jpg

 

Veremos lo siguiente:

 

tripwire-5.jpg

 

Pulsamos Aceptar y debemos configurar la clave local.

 

tripwire-6.jpg

 

Pulsamos Sí y veremos en la siguiente ventana la ruta donde se guardará la configuración de TripWire.

 

tripwire-7.jpg

 

A continuación veremos la ruta de las directrices de TripWire.

 

tripwire-8.jpg

 

Pulsamos la opción requerida y el proceso de instalación continuará.

 

tripwire-9.jpg

 

Posteriormente veremos la siguiente ventana donde debemos ingresar la clave de sitio para TripWire.

 

tripwire-10.jpg

 

Debemos confirmar la contraseña y posteriormente debemos ingresar la contraseña local.

 

tripwire-11.jpg

 

Reconfirmamos la contraseña y finalmente veremos que la instalación ha sido finalizada de manera correcta.

 

tripwire-12.jpg

 

Pulsamos Aceptar para salir del asistente. En caso que el asistente no sea desplegado debemos ingresar lo siguiente para configurar tanto la clave de sitio como la local:

twadmin -m G -L /etc/tripwire/dummy-local.key -S /etc/tripwire/site.key
Clave de sitio.

 

 


3. Iniciar servicio TripWire


Una vez se haya instalado la herramienta TripWire procedemos a iniciar el servicio usando el siguiente comando:
tripwire –init
Y debemos ingresar la contraseña local que hemos creado anteriormente.

 

tripwire-13.jpg

 

Hasta aquí hemos visto cómo instalar e iniciar Tripwire, pulsa en página siguiente un poco más abajo para pasar a aprender cómo configurarlo.

 


4. Modificar archivo configuración Tripwire


El siguiente paso es configurar el archivo twpol.txt usando el editor que más nos agrade.

 

En este caso ingresaremos el siguiente comando:

sudo nano /etc/tripwire/twpol.txt
Se desplegará la siguiente ventana:

 

tripwire-15.jpg

 

Allí ubicaremos las siguientes líneas:

 

tripwire-16.jpg

 

Estas líneas están relacionadas con la base de datos creada anteriormente cuando se inició el servicio TripWire. Allí debemos habilitar estas líneas usando el ícono #, solamente no seleccionamos las siguientes líneas:

/root/.bashrc
/root/.bash_profile

tripwire-17.jpg

 

De la misma manera debemos activar las siguientes líneas:

 

tripwire-18.jpg

 

Guardamos los cambios usando la combinación de teclas:

 

 

Ctrl + O

 

 

Y salimos del editor usando la combinación:

 

 

Ctrl + X

 

 

 


5. Modificar las plantillas TripWire


A continuación ingresaremos en la siguiente ruta para modificar la plantilla de la herramienta:
twadmin -m P  /etc/tripwire/twpol.txt

tripwire-20.jpg

 

Vemos que se ha escrito correctamente la política del archivo. Una vez configurados estos parámetros debemos usar nuevamente el comando:

tripwire –init
Para que los cambios sean efectuados.

 


6. Verificación de TripWire


Para verificar los parámetros de la herramienta TripWire ingresaremos el siguiente comando:
tripwire –check

tripwire-22.jpg

 

Podemos desplegar un poco más el texto y encontraremos en la fila Rule Summary los objetos que han sido escaneados por la herramienta y las posibles violaciones o afectaciones en los mismos.

 

tripwire-23.jpg

 

 


7. Automatizar reportes TripWire en Debian 8


Uno de los parámetros que usa TripWire, como lo mencionamos anteriormente, es que la herramienta crea un punto de restauración de los archivos críticos.

 

Para esto podemos usar lo siguiente:

crontab -e
Veremos lo siguiente:

 

tripwire-24.jpg

 

Al final de la consola debemos ingresar los parámetros para el respaldo de la información:

 

tripwire-25.jpg

 

De esta manera configuramos que vía correo electrónico nos lleguen las notificaciones de alguna modificación en los archivos.

 

Guardamos los cambios usando la combinación de teclas Ctrl + O.

 

Como hemos visto con la herramienta TripWire podemos contar con la posibilidad de velar por la integridad y seguridad de los archivos de nuestros sistemas Linux.

 


¿Te ayudó este Tutorial?


2 Comentarios


Fede Robles
dic 16 2016 13:26

Esto se llama tutorial de útil, bueno, bonito y barato (gratis) jeje gracias amigos. TripWire es el mejor sistema para detectar hackers malos.

Otro que debo guardar en favoritos. Gracias.

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!

X