Beruflich Dokumente
Kultur Dokumente
Comprobadores de Integridad
Comprobadores de Integridad
UNIVERSIDAD NACIONAL DE LA MATANZA Departamento de Ingeniera e Investigaciones Tecnolgicas HashDeep / md5deep - Instalacin
Codigo Fuente 1. Descargar los fuentes de la pgina oficial 2. Descomprimir los fuentes: tar zxvf md5deep-4.1.tar.gz 3. Ingresar a la carpeta: cd md5deep-4.1 4. Configurar: ./configure (usar el parmetro "--prefix=/tmp/md5deep" para indicar un directorio de instalacin diferente) 5. Construir: make 6. Instalar: make install Linux (Ubuntu-Debian) 1. Instalar con el comando: sudo apt-get install md5deep Windows 1. Descargar binarios precompilados de la pgina oficial 2. Descomprimir la carpeta con los ejecutables.
Comprobadores de Integridad
UNIVERSIDAD NACIONAL DE LA MATANZA Departamento de Ingeniera e Investigaciones Tecnolgicas HashDeep / md5deep - Opciones
Podemos obtener la lista de parmetros del programa invocando hashdeep -h ; sin embargo estos son los principales:
-a - Modo de auditora. Valida archivos contra una lista de hashes. Requiere -k -m - Modo de coincidencia. Requiere -k -x - Modo de coincidencia negativa. Requiere -k -w - en modo -m, muestra que archivos conocidos coincidieron. -k - Agrega un archivo de hashes conocidos -r - Modo recursivo. Incluye los subdirectorios -e - Calcula el tiempo estimado para completar cada archivo -v - Modo "verborrgico". Provee ms detalles en la salida
Comprobadores de Integridad
Programa
Directorio a leer
Archivo de salida
Mostrar detalles
Alcance recursivo
Comprobadores de Integridad
Directorio a revisar
Alcance recursivo
Salida en la consola ---------------------------hashdeep: Audit failed Files matched: Files partially matched: Files moved: New files found: Known files not found:
Modo de auditora
Directorio a leer
0 0 0 2 2
Comprobadores de Integridad
Comprobadores de Integridad
Comprobadores de Integridad
Red-Hat (root)
1. 2. 3. 4.
Descargar el archivo del sitio oficial Descomprimirlo con el comando: tar xvzf tripwire.tar.gz Instalar con: rpm -ivh tripwire-2.3-47.i386.rpm Crear las claves del sitio y local: /etc/tripwire/twinstall.sh
Comprobadores de Integridad
Acceder al directorio de configuracin: cd /etc/tripwire Editar el archivo de texto con la poltica: vi twpol.txt Importar la nueva poltica a la configuracin:
Programa
Comprobadores de Integridad
UNIVERSIDAD NACIONAL DE LA MATANZA Departamento de Ingeniera e Investigaciones Tecnolgicas Tripwire - Envo de mails
La poltica puede definir el envio de e-mails utilizando la siguiente anotacin en la cabecera de cada regla que requiera esta notificacin: ... # ( Kernel rulename severity ) { /sbin/depmod /sbin/adjtimex /sbin/ctrlaltdel /sbin/insmod ... -> -> -> -> $(SEC_CRIT) $(SEC_CRIT) $(SEC_CRIT) $(SEC_CRIT) ; ; ; ; Administration = = "Kernel $(SIG_HI), Programs # #
UNIVERSIDAD NACIONAL DE LA MATANZA Departamento de Ingeniera e Investigaciones Tecnolgicas Tripwire - Inicializar la Base
Una vez instalada la nueva poltica debemos relevar la informacin actual del sistema y volcarla en la base de tripwire para los controles futuros, esta tarea la realizaremos con los siguientes comandos:
tripwire --init --cfgfile /etc/tripwire/tw.cfg --polfile /etc/tripwire/tw.pol --site-keyfile /etc/tripwire/site.key --local-keyfile /etc/tripwire/HOSTNAME-local.key
tripwire -m i
Programa
Comprobadores de Integridad
UNIVERSIDAD NACIONAL DE LA MATANZA Departamento de Ingeniera e Investigaciones Tecnolgicas Tripwire - Verificacin del FS
Con la informacin de los archivos confiables en la base podemos proceder a verificar o chequear su integridad en cualquier momento utilizando los siguientes comandos:
Programa
Comprobadores de Integridad
twprint -m r -r /var/lib/tripwire/report/HOST-20130101-123456.twr
Programa
Reporte a leer
Comprobadores de Integridad
UNIVERSIDAD NACIONAL DE LA MATANZA Departamento de Ingeniera e Investigaciones Tecnolgicas Tripwire - Actualizacin de Poltica
La poltica de control puede actualizarse regularmente utilizando los siguientes comandos:
tripwire --update-policy -v -Z low --cfgfile ./tw.cfg --polfile ./tw.pol --sitekeyfile ./site.key --local-keyfile ./HOSTNAME-local.key ./twpol.txt
Programa
Nota: Los archivos de configuracin y poltica permanecen encriptados en el sistema pero para ser ingresados se utilizan archivos en texto plano que pueden exponer informacin crtica ante un ataque. Por esta razn se recomienda que sean eliminados luego de su uso con rm /etc/tripwire/twcfg.txt /etc/tripwire/twpol.txt
Seguridad y Calidad en Aplicaciones Web Comprobadores de Integridad
UNIVERSIDAD NACIONAL DE LA MATANZA Departamento de Ingeniera e Investigaciones Tecnolgicas Tripwire - Actualizacin de la Base
La base con informacin de los archivos confiables puede ser actualizada para incluir cambios controlados en el sistema. Esta tarea puede realizarse con los siguientes comandos:
Programa
Nota: Es recomendable realizar un check inmediatamente ante de la actualizacin de la base. En caso contrario pueden aparecer errores en referencia a un archivo de reporte perdido.
Seguridad y Calidad en Aplicaciones Web Comprobadores de Integridad
Referencias
Lista de Software Hashdeep/Md5deep: http://md5deep.sourceforge.net/ TripWire: http://www.tripwire.org/ Tripwire O.S.: http://sourceforge.net/projects/tripwire/
Comprobadores de integridad