ids tripwire
DESCRIPTION
Práctica de instalación y configuración de TripwireTRANSCRIPT
Configuración de IDS Tripwire Seguridad
Manuel Rodríguez Pozuelo
2 Configuración de IDS Tripwire - Introducción
Manuel Rodríguez Pozuelo 2
Índice
Introducción ............................................................................................................................. 3
Instalación ................................................................................................................................ 3
Configuración de tripwire ................................................................................................... 4
Generando informes .............................................................................................................. 5
3 Configuración de IDS Tripwire - Introducción
Manuel Rodríguez Pozuelo 3
Introducción En este documento vamos a instalar y configurar Tripwire, un software que monitoriza y nos alerta de los cambios que se realicen en los ficheros de nuestro equipo.
Instalación Para instalar tripwire en nuestro equipo ejecutamos lo siguiente:
sudo apt-get install tripwire
Nos aparecerá un asistente que nos irá solicitando determinada configuración:
Como no tenemos configurado ningún sistema de correo, seleccionamos sin configuración.
4 Configuración de IDS Tripwire - Configuración de tripwire
Manuel Rodríguez Pozuelo 4
Configuración de tripwire Tripwire comprueba la modificación de los ficheros comparándolos con un registro de los mismos que se guarda en una base de datos. La base de datos almacena los datos de una serie de ficheros definidos en un archivo de configuración que indicó en la instalación: /etc/tripwire/twpol.txt. Para iniciar la creación de la bbdd ejecutamos lo siguiente.
sudo tripwire --init
5 Configuración de IDS Tripwire -
Manuel Rodríguez Pozuelo 5
Los errores que nos aparecen se debe a que el archivo /etc/tripwire/twpol.txt hace referencia a ficheros que no existen en nuestro sistema, pero al final se genera con los que sí están en nuestro equipo. Vamos a modificar el archivo comentando las rutas de los ficheros que no existen en nuestro sistema. Para ello vamos a comentar todas las entradas que hagan referencia al directorio /root/ y a /proc/ y lanzamos el siguiente comando:
sudo twadmin –m P etc/tripwire/twpol.txt
Con esto estamos redefiniendo la política de construcción de la base de datos. Asi que volvamos a generarla:
sudo tripwire --init
Generando informes Ahora generemos informes para comprobar si registra las modificaciones. Para generar un informe, ejecutamos lo siguiente:
sudo tripwire --check > check.txt
En el escáner inicial, encontramos que no ha habido ningún cambio:
6 Configuración de IDS Tripwire - Generando informes
Manuel Rodríguez Pozuelo 6
Ahora he hecho una modificación en el archivo /etc/resolv.conf, a ver que nos muestra ahora el informe que generamos tras el cambio:
El informe nos refleja que hemos modificado el archivo.