Ver destacados

Cómo instalar TripWire (Sistema detección intrusos) Linux

Aquí tienes un completo manual sobre cómo instalar el sistema detección intrusos Tripwire en sistemas Linux (Ej en Debian 8).
Escrito por
21.9K Visitas  |  Publicado dic 16 2016 12:30
Favorito
Compartir
Comparte esta pagina a tus Amigos y Contactos usando las siguientes Redes Sociales


La seguridad es uno de los temas más críticos a los cuales debemos enfrentarnos diariamente y esto debido a que no sólo en nuestras organizaciones sino también a nivel personal tenemos numerosos archivos y configuraciones que en caso de ser mal usadas pueden ocasionar daños irreparables.

 

Conocemos diversas herramientas que nos pueden ser útiles para supervisar el comportamiento diario del sistema y en esta oportunidad hablaremos sobre una en particular llamada TripWire.

 

Qué es TripWire
TripWire es una herramienta poderosa y gratuita cuya función específica es la detección de intrusos (IDS) la cual constantemente está actualizando los archivos críticos del sistema y los informes de control en caso que los mismos hayan sido modificados o borrados por un hacker o intruso.

 

TripWire enviará al administrador del sistema un mensaje en caso de presentarse alguna falla en el sistema. TripWire es una herramienta de código abierto la cual permitirá que el área de IT sea notificada en caso de alguna modificación en el sistema Linux, en este caso Debian 8.

 

El funcionamiento básico de TripWire es el siguiente:

  • En primer lugar la herramienta realiza un análisis y crea un punto de referencia de todos los archivos críticos en un archivo cifrado incrementando la seguridad.
  • Posteriormente monitorea cualquier cambio anómalo y lo compara contra el punto de referencia incluyendo detalles como fecha y hora, permisos, entre otros.

 

Para este análisis usaremos un equipo con Debian 8.

 


1. Actualizar sistema


En primer lugar ingresaremos el comando:
apt-get update
Para actualizar todos los paquetes disponibles en el sistema.

 

Nota
Anteponemos sudo en caso de no haber iniciado sesión como usuarios root.

 

 

En equipos con CentOS 7 o RHEL debemos ingresar el comando:

yum update
Con ello, habremos actualizado los paquetes.

 

 


2. Descargar e instalar TripWire


Una vez tengamos el sistema actualizado procedemos a ingresar el siguiente comando para la descarga e instalación de TripWire:
apt-get install tripwire
En equipos con CentOS 7 ingresaremos el comando:
yum install tripwire

 

Podemos ver que se despliega el siguiente asistente donde aceptamos el mensaje:

 

 

Una vez aceptado este mensaje se despliega la siguiente ventana donde debemos definir en qué momento crear las claves de TripWire.

 

 

Veremos lo siguiente:

 

 

Pulsamos Aceptar y debemos configurar la clave local.

 

 

Pulsamos Sí y veremos en la siguiente ventana la ruta donde se guardará la configuración de TripWire.

 

 

A continuación veremos la ruta de las directrices de TripWire.

 

 

Pulsamos la opción requerida y el proceso de instalación continuará.

 

 

Posteriormente veremos la siguiente ventana donde debemos ingresar la clave de sitio para TripWire.

 

 

Debemos confirmar la contraseña y posteriormente debemos ingresar la contraseña local.

 

 

Reconfirmamos la contraseña y finalmente veremos que la instalación ha sido finalizada de manera correcta.

 

 

Pulsamos Aceptar para salir del asistente. En caso que el asistente no sea desplegado debemos ingresar lo siguiente para configurar tanto la clave de sitio como la local:

twadmin -m G -L /etc/tripwire/dummy-local.key -S /etc/tripwire/site.key
Clave de sitio.

 

 


3. Iniciar servicio TripWire


Una vez se haya instalado la herramienta TripWire procedemos a iniciar el servicio usando el siguiente comando:
tripwire –init
Y debemos ingresar la contraseña local que hemos creado anteriormente.

 

 

Hasta aquí hemos visto cómo instalar e iniciar Tripwire, pulsa en página siguiente un poco más abajo para pasar a aprender cómo configurarlo.

 


4. Modificar archivo configuración Tripwire


El siguiente paso es configurar el archivo twpol.txt usando el editor que más nos agrade.

 

En este caso ingresaremos el siguiente comando:

sudo nano /etc/tripwire/twpol.txt
Se desplegará la siguiente ventana:

 

 

Allí ubicaremos las siguientes líneas:

 

 

Estas líneas están relacionadas con la base de datos creada anteriormente cuando se inició el servicio TripWire. Allí debemos habilitar estas líneas usando el ícono #, solamente no seleccionamos las siguientes líneas:

/root/.bashrc
/root/.bash_profile

 

De la misma manera debemos activar las siguientes líneas:

 

 

Guardamos los cambios usando la combinación de teclas:

 

 

Ctrl + O

 

 

Y salimos del editor usando la combinación:

 

 

Ctrl + X

 

 

 


5. Modificar las plantillas TripWire


A continuación ingresaremos en la siguiente ruta para modificar la plantilla de la herramienta:
twadmin -m P  /etc/tripwire/twpol.txt

 

Vemos que se ha escrito correctamente la política del archivo. Una vez configurados estos parámetros debemos usar nuevamente el comando:

tripwire –init
Para que los cambios sean efectuados.

 


6. Verificación de TripWire


Para verificar los parámetros de la herramienta TripWire ingresaremos el siguiente comando:
tripwire –check

 

Podemos desplegar un poco más el texto y encontraremos en la fila Rule Summary los objetos que han sido escaneados por la herramienta y las posibles violaciones o afectaciones en los mismos.

 

 

 


7. Automatizar reportes TripWire en Debian 8


Uno de los parámetros que usa TripWire, como lo mencionamos anteriormente, es que la herramienta crea un punto de restauración de los archivos críticos.

 

Para esto podemos usar lo siguiente:

crontab -e
Veremos lo siguiente:

 

 

Al final de la consola debemos ingresar los parámetros para el respaldo de la información:

 

 

De esta manera configuramos que vía correo electrónico nos lleguen las notificaciones de alguna modificación en los archivos.

 

Guardamos los cambios usando la combinación de teclas Ctrl + O.

 

Como hemos visto con la herramienta TripWire podemos contar con la posibilidad de velar por la integridad y seguridad de los archivos de nuestros sistemas Linux.

 

¿Te ayudó este Tutorial?

Ayuda a mejorar este Tutorial!
¿Quieres ayudarnos a mejorar este tutorial más? Puedes enviar tu Revisión con los cambios que considere útiles. Ya hay 0 usuario que han contribuido en este tutorial al enviar sus Revisiones. ¡Puedes ser el próximo!