IDS Tripwire
- 1. Configuración de IDS Tripwire Seguridad Manuel Rodríguez Pozuelo
- 2. 2 Configuración de IDS Tripwire - Introducción Índice Introducción .............................................................................................................................3 Instalación ................................................................................................................................3 Configuración de tripwire ...................................................................................................4 Generando informes..............................................................................................................5 Manuel Rodríguez Pozuelo 2
- 3. 3 Configuración de IDS Tripwire - Introducción Introducción En este documento vamos a instalar y configurar Tripwire, un software que monitoriza y nos alerta de los cambios que se realicen en los ficheros de nuestro equipo. Instalación Para instalar tripwire en nuestro equipo ejecutamos lo siguiente: sudo apt-get install tripwire Nos aparecerá un asistente que nos irá solicitando determinada configuración: Como no tenemos configurado ningún sistema de correo, seleccionamos sin configuración. Manuel Rodríguez Pozuelo 3
- 4. 4 Configuración de IDS Tripwire - Configuración de tripwire Configuración de tripwire Tripwire comprueba la modificación de los ficheros comparándolos con un registro de los mismos que se guarda en una base de datos. La base de datos almacena los datos de una serie de ficheros definidos en un archivo de configuración que indicó en la instalación: /etc/tripwire/twpol.txt. Para iniciar la creación de la bbdd ejecutamos lo siguiente. sudo tripwire --init Manuel Rodríguez Pozuelo 4
- 5. 5 Configuración de IDS Tripwire - Los errores que nos aparecen se debe a que el archivo /etc/tripwire/twpol.txt hace referencia a ficheros que no existen en nuestro sistema, pero al final se genera con los que sí están en nuestro equipo. Vamos a modificar el archivo comentando las rutas de los ficheros que no existen en nuestro sistema. Para ello vamos a comentar todas las entradas que hagan referencia al directorio /root/ y a /proc/ y lanzamos el siguiente comando: sudo twadmin –m P etc/tripwire/twpol.txt Con esto estamos redefiniendo la política de construcción de la base de datos. Asi que volvamos a generarla: sudo tripwire --init Generando informes Ahora generemos informes para comprobar si registra las modificaciones. Para generar un informe, ejecutamos lo siguiente: sudo tripwire --check > check.txt En el escáner inicial, encontramos que no ha habido ningún cambio: Manuel Rodríguez Pozuelo 5
- 6. 6 Configuración de IDS Tripwire - Generando informes Ahora he hecho una modificación en el archivo /etc/resolv.conf, a ver que nos muestra ahora el informe que generamos tras el cambio: El informe nos refleja que hemos modificado el archivo. Manuel Rodríguez Pozuelo 6