Tripwire

Program tripwire berfungsi untuk menjaga integritas file system dan direktori, dengan mencatat setiap perubahan yang terjadi pada file dan direktori. Konfigurasi tripwire meliputi pelaporan melalui email, bila menemukan perubahan file yang tidak semestinya dan secara otomatis melakukan pemeriksaan file melalui cron. Penggunaan tripwire biasanya digunakan untuk mempermudah pekerjaan yang dilakukan oleh System Administrator dalam mengamankan System. Tripwire merupakan salah satu Cara kerja tripwire adalah melakukan perbandingan file dan direktori yang ada dengan database sistem. Perbandingan tersebut meliputi perubahan tanggal, ukuran file, penghapusan dan lain-lainnya. Setelah tripwire dijalankan, secara otomatis akan melakukan pembuatan database sistem. Kemudian secara periodik akan selalu melaporkan setiap perubahan pada file dan direktori.

Berikut ini merupakan penjelasan dari skema di atas:
1. Anda melakukan instalasi tripwire dan melakukan pengaturan policy file serta inisialisasi database,
2. Selanjutnya Anda bisa menjalankan pemeriksaan integritas sistem.
3. Bila ditemukan perubahan ukuran, tanggal maupun kepemilikan pada file tersebut, maka tripwire akan melakukan laporan pada sistem tentang adanya perubahan pada file terkait.
4. Jika perubahan tidak diijinkan, maka Anda bisa mengambil tindakan yang diperlukan.
5. Sebaliknya, jika perubahan pada file tersebut diijinkan, maka tripwire akan memeriksa Policy File, apakah policy file berjalan dengan baik?
6. Jika policy file tidak berjalan dengan benar, maka policy file harus di-update sesegera mungkin.
7. Jika policy file sudah berjalan dengan benar, maka tripwire akan melakukan update database file database.
8. Dan demikian seterusnya proses ini berlangsung.

1. Jelaskan tentang konsep tripwire!
Jawab :
Konsep tripwire adalah melakukan perbandingan file dan diektori yang ada dengan database sistem. Perbandingan tersebut meliputi perubahan tanggal, ukuran file, penghapusan dan lain-lainnya. Setelah tripwire dijalankan secara otomatis akan melakukan pembuatan database sistem. Kemudian secara periodik akan selalu melaporkan setiap perubahan pada file dan direktori. Dengan cara melakukan instalasi tripwire dan pengaturan policy file serta inisialisasi database. Selanjutnya jalankan pemeriksaan integritas sistem. Bila ditemukan perubahan ukuran, tanggal maupun kepemilikan pada file tersebut, maka tripwire akan melakukan laporan pada sistem tentang adanya perubahan pada file terkait. Jika perubahan tidak diijinkan, maka Anda bisa mengambil tindakan yang diperlukan. Sebaliknya, jika perubahan pada file tersebut diijinkan, maka tripwire akan memeriksa Policy File. Jika policy file tidak berjalan dengan benar, maka policy file harus di-update sesegera mungkin. Jika policy file sudah berjalan dengan benar, maka tripwire akan melakukan update database file database. Proses ini akan berlansung secara terus menerus.
2. Apa konfigurasi yang diperlukan tripwire untuk melakukan integrity checking?
Jawab :
Program tripwire memerlukan kunci site key dan local passphrase sebelum menjalankan file integrity checking. Sebelum menjalankan tripwire lakukan generate database terlebih dahulu. Setiap melakukan edit file konfigurasi yang tersimpan dalam twcfg.txt update file tersebut menjadi tw.cfg. Demikian juga  pada pengeditan file policy yang tersimpan dalam twpol.txt lakukan update tw.pol.

Percobaan
1. Lakukan installasi file tripwire yang ada
Login sebagai root dengan perintah : #su
Installasi tripwire dengan perintah :  # apt-get install tripwire
Perhatikan  pesan  yang  muncul pada setiap dialog, lalu jawab dengan “Yes”.

2. Membuat kunci, dan akan digunakan untuk menjalankan tripwire.
Enter the site keyfile passphrase:
Verify the site keyfile passphrase:
Generating key (this may take several minutes)...Key generation complete.
Enter the local keyfile passphrase: Verify the local keyfile passphrase:
Generating key (this may take several minutes)...Key generation complete.
Masukkan site -key  passphrase  dan  local -key  passphrase. Password tersebut akan digunakan sebagai autentikasi ketika akan menjalankan perintah tripwire.

Ulangi site-key passphrase
Site-key digunakan untuk melindungi file–file yang akan digunakan melewati beberapa system. Ini termasuk file policy dan konfigurasi.
Inputkan local-key passphrase
Ulangi local-key passprhrase
Local-key digunakan untuk melindungi file khusus pada local machine, seperti database tripwire. Local key juga digunkan untuk laporan pengecekan integritas.
Kemudian akan mucul dialog bahwa trip wire telah terinstal
3. Menandai file konfigurasi dan aturan (policy) dengan kunci yang dibuat pada poin diatas.
----------------------------------------------
Signing configuration file...
Please enter your site passphrase:
Wrote configuration file: /etc/tripwire/tw.cfg
A clear-text version of the Tripwire configuration file
/etc/tripwire/twcfg.txt
----------------------------------------------
Signing policy file...
Please enter your site passphrase:
Incorrect site passphrase.
Please enter your site passphrase:
Wrote policy file: /etc/tripwire/tw.pol
A clear-text version of the Tripwire policy file
/etc/tripwire/twpol.txt
Inisialisasi policy di tripwire dengan perintah : # twadmin -m P twpol.txt
4. Inisialisasi tripwire, men-generate Database (kondisi awal) :
Menginisialisasi database yang digunakan tripwire untuk memvalidasi sistem. Dengan menggunakan file policy dan nanti# /usr/sbin/tripwire –initnya akan mencocokkan point-point yang memiliki kesamaan spesifikasi ada di dalamnnya.
       
Edit file twpol.txt dengan memberikan command (#) pada baris-baris yang terjadi error pada file tersebut.
Buka file twpol.txt dalam editor dengan hak akses sebagai root, dengan perintah : # nano /etc/tripwire/twpol.txt
6. Cek hasil tripwire, dengan menggunakan default policy,
a. Default policy dapat dilihat di :
# vim /etc/tripwire/twpol.txt

b. Cek hasil tripwire
# twprint –m r --twrfile /var/lib/tripwire/report/.twr
7. Cek dengan kondisi berikut ini :
a. Buatlah sebuah file di folder /root
# touch /root/data.txt

b. Ceklah kembali hasilnya, amati dan catat apa yang terjadi
# /usr/sbin/tripwire –check
8. Update policy
Untuk membuat policy yang baru lakukan langkah-langkah berikut :
Buat file policy sesuai dengan kebutuhan (defaultnya adalah twpol.txt).
# vim /etc/tripwire/txpol.txt.new
$SIG_HI = 100; #Nilai yg menunjukkan kelemahan system pada critical files
$SEC_BIN = $(ReadOnly); #Binary file yang tidak boleh dirubah
(
rulename = “Perc dgn policy baru”,
severity = $(SIG_HI)
)
{
/bin -> $(SEC_BIN);
/home -> $(SEC_BIN);
}

Perbaharui data tripwire:
# /usr/sbin/twadmin --create-polfile -S /etc/tripwire/site.key /etc/tripwire/twpol.txt.new

Inisialisasi ulang
# /usr/sbin/tripwire --init  Jalankan kembali tripwire # /usr/sbin/tripwire –check

 
D. Tambahan Percobaan Tripwire
Buat file di direktory /etc yang merupakan direktory system yang seharusnya tdk  pernah berubah, misal tripwiretest.

Lakukan checking dengan perintah sbb :

Selesai chek akan terbentuk file report di /var/lib/tripwire/report Cek hasil cheking dengan menggunakan perintah twprint sbb : 

Kesimpulan:
1. Berikan kesimpulan dari hasil praktikum anda diatas !
Jawab :
• Tripwire adalah salah satu fasilitas datalogger untuk mencatat segala aktifitas  pada komputer yang berhubungan dengan pengoperasian file dan direktori.  b.
• Aktifitas yang direkam biasanya meliputi seluruh operasi file pada folder sistem dan folder user atau folder yang ingin direkam dengan menambah/mengubah rule. c.
• Metode yang dimiliki tripwire adalah menggunakan bantuan rule, atau sering dikenal dengan perangkat rule-based. Dimana pemeriksaan file hanya dilakukan  pada folder/direktori yang di catatkan pada rule saja. d.
• Tripwire tidak berjalan otomatis saat pengindeksan, tetapi perlu di atur pada daily cron yang merupakan penjadwal service yang berjalan pada linux.
2. Berdasarkan percobaan yang anda lakukan, jelaskan cara kerja tripwire dalam melakukan integrity checker ?
Jawab :
Program tripwire memerlukan kunci site key dan local passphrase sebelum menjalankan file integrity checking. Sebelum menjalankan tripwire lakukan generate database terlebih dahulu. Setiap melakukan edit file konfigurasi yang tersimpan dalam twcfg.txt update file tersebut menjadi tw.cfg. Demikian juga pada pengeditan file policy yang tersimpan dalam twpol.txt lakukan update tw.pol.
3. Carilah referensi baik dari buku maupun Internet, aturan-aturan apa saja yang bisa dideteksi oleh tripwire ?
Jawab :
• Tripwire menggunakan aturan yang terkandung dalam policy file untuk menentukan  bagaimana sebuah file atau direktori akan dipantau. Ada dua jenis aturan yang digunakan oleh Tripwire yaitu normal rule dan stop points
• Normal rule  Normal rule yang digunakan untuk mendefinisikan properti dari file tertentu atau direktori yang dipantau oleh Tripwire. Normal rule menggunakan sintaks berikut: Obyek-name -> properti-mask;
• Stop points Stop points digunakan untuk mengecualikan file tertentu atau direktori dari  pemantauan Tripwire. Sintaks yang benar untuk stop points adalah: ! objek;