Untitled Document

Tripwire 3.0 per windows

Sguardo d’insieme
Analizziamo la versione di Tripewire 3.0 per windows, essa e' una versione commerciale, quindi per poterla usare bisogna comprare la licenza d'uso, naturalmente non e' noto il codice sorgente e quindi non puo' nemmeno essere modificata e migliorata. Tuttavia dal sito tripwire.com si puo' scaricare la versione 3.0 con una licenza temporanea che dura 30 giorni dalla data del download.Questa versione e' stata pubblicata nel marzo 2003 da Tripwire Inc., una delle societa' leader nel mondo che produce software di sicurezza; essa si trova a Portland, Oregon. Vedremo gli aspetti piu' importanti di questo software dal punto di vista funzionale, cioe' come opera e come deve essere utilizzato, in particolare forniremo, durante la trattazione generale, degli esempi riferiti a una simulazione; anche essa e' scaricabile dal sito tripwire.com. In questa simulazione vedremo tre scenari, cioe' tre problemi che si possono verificare nella realta', nel nostro caso, essendo una simulazione, non verranno modificati parti del file system, che comprometteranno l'uso della macchina. Per poter usare questo software come gia' detto ci serve la licenza d'uso che e' rappresentata da due certificati che ci vengono mandati via e-mail quando scarichiamo il software, essi sono: TWManager.cert e twserver.cert, la loro validita' cessera' dopo trenta giorni. Questa versione e' una versione ServerManager permette di controllare piu' macchine che hanno installato Tripwire per server, da una macchina sulla quale gira tripwire Manager. Nella nostra simulazione le macchine con tripwire for server sono virtuali e girano sulla stessa macchina dove sta Tripwire Manager.

I file utilizzati e il lavoro fatto

Tripwire utilizza essenzialmente questi file:

Il file di policy;
Il database dei file di sistema;
I file di report;
Il file di configurazione;
I file site key e file local key;
L' agent configuration file;

Analizziamo separatamente questi file:

Il policy file serve per stabilire il modo nel quale deve essere controllato il sistema. Esso al suo interno contiene delle regole che specificano quali modifiche devono essere notificate e quali meno, relative all'oggetto in considerazione.
Sul sito http://policy.tripwire.com e cliccando sul link "Build Policy File..." si può creare un Policy File personalizzato per il vostro sistema seguendo le istruzioni riportate.
Sul sito http://policy.tripwire.com e seguendo il link "The Art of writing Policy File" si può ottenere una guida per scrivere un Policy File.
In generale il formato di una regola è il seguente:
- "nome oggetto" -> proprietà.
- Dove per "nome oggetto" si intende il path della directory o del file del quale si vuole scrivere la regola.
- Per proprietà si intende quale proprietà si deve esaminare o ignorare relativa all'oggetto.
- Ecco un esempio:(in verde e' commento)
#Con questa regola stabiliamo che per il file EXECEL.EXE deve essere effettuato il controllo su tutte le #proprietà, quindi numero link, tipo file, dimensione ecc... eccetto ( -&access) l'ultima data d'accesso.

$(TWINSTALL)\demo\$(MACHINE)\"Program Files\\Microsoft Office"\EXCEL.EXE -> $(IgnoreNone) -&access

Vediamo qui, di seguito un esempio di Policy File:

POLICY FILE
######################
# ##
###################### #
# # #
# Eval Kit Rules # #
# ##
######################

(
rulename = "Binaries",

# SIG_HI Variabile globale per indicare alta severità
severity = $(SIG_HI),

# SIG_HI_MAILRECIPIENTS variabile contenete indirizzi mail cui spedire il report
emailto = $(SIG_HI_MAILRECIPIENTS),

# scansione ricorsiva delle directory
recurse = true
)
{

# Con queste regole stabiliamo che per ogni file deve essere effettuato il controllo su tutte le

#proprietà, quindi numero link, tipo file, dimensione ecc... eccetto ( -&access) l'ultima data d'accesso.

$(TWINSTALL)\demo\$(MACHINE)\"Program Files\\Microsoft Office"\EXCEL.EXE -> $(IgnoreNone) -&access ;
$(TWINSTALL)\demo\$(MACHINE)\"Program Files\\Microsoft Office"\MSOFFICE.EXE -> $(IgnoreNone) -&access ;
$(TWINSTALL)\demo\$(MACHINE)\"Program Files\\Microsoft Office"\POWERPNT.EXE -> $(IgnoreNone) -&access ;
$(TWINSTALL)\demo\$(MACHINE)\"Program Files\\Microsoft Office"\WINWORD.EXE -> $(IgnoreNone) -&access ;
$(TWINSTALL)\demo\$(MACHINE)\"Program Files"\WinZip\WINZIP32.EXE -> $(IgnoreNone) -&access ;
$(TWINSTALL)\demo\$(MACHINE)\"Program Files"\WinZip\WZSEPE32.EXE -> $(IgnoreNone) -&access ;
$(TWINSTALL)\demo\$(MACHINE)\WINNT\regedit.exe -> $(IgnoreNone) -&access ;
$(TWINSTALL)\demo\$(MACHINE)\WINNT\explorer.exe -> $(IgnoreNone) -&access ;
$(TWINSTALL)\demo\$(MACHINE)\WINNT\TASKMAN.EXE -> $(IgnoreNone) -&access ;
$(TWINSTALL)\demo\$(MACHINE)\WINNT\system32\command.com -> $(IgnoreNone) -&access ;
}
.

Il database dei file di sistema è utilizzato per contenere un' istantanea, quando viene installato il software; esso viene inizializzato con un' istantanea calcolata con le regole specificate nel file di policy, supponendo che lo stato del sistema sia sicuro.Quando successivamente vengono fatti gli integrity_check, questo database viene confrontato con lo stato corrente del sistema, al fine di accertarne eventuali cambiamenti.

I file di report vengono prodotti ogni volta che viene eseguito un integrity check. I risultati di tale controllo ( aggiunta, cancellazione, modifica di file ) che violano le regole del file di policy vengono memorizzati in un report. Un report e' effettivamente il risultato di un integrity check, riportiamo di seguito un file report:

Il file di configurazione memorizza informazioni specifiche del sistema, come la posizione dei file di Tripwire ed i settaggi per la notifica delle violazioni da segnalare via e-mail. Queste informazioni vengono generate durante il processo di installazione, ma possono anche essere successivamente aggioranate.

I file site key e file local key contengono la chiave privata e pubblica usate da Tripwire per firmare e crittografare i file precedentemente citati. Per poter modificare la firma di quei file dobbiamo fornire la corretta passphrase. Queste chiavi sono necessarie perche' e' doveroso protegere i file policy, file database, file configuration; essi sono salvati sul disco in un formato binario, dopo essere protetti con lo schema_di_firma_di_El_Gamal a 1024 bit, esso e' uno schema di firma che va a usare le chiavi che si trovano in questi due file. Per modificare e quindi rifirmare i file di Tripwire dobbiamo inserire la passphrase, essa non va dimenticata perche' per motivi di sicurezza non viene memorizzata da nessuna parte nel sistema. Per leggere i file e' necessaria solo la chiave pubblica, a meno di limitazioni di accesso imposte agli utenti.

l' agent configuration file contiene informazioni che permettono di far interagire Tripwire Manager con Tripwire for Server;

L'instantanea

L'instantanea di Tripwire 3.0 per ogni file che monitorizza i seguenti campi:

Object type;
Directory Flag;
Read only Flag;
Hidden Flag;
System Flag;
Active Flag;
Offline Flag;
Temporary Flag;
SD size;
SD control;
Stream MD5;
Create time;
Owner;
Group;
DACL;
SACL;

Dove vengono collocati i file di Tripwire

La directory C:\programmi\Tripwire\Evaluation\Demo\Virtual-Machine\Program-file\TFS\Policy contiene i file di policy.
La directory C:\programmi\Tripwire\Evaluation\Demo\Virtual-Machine\Program-file\TFS\Key contiene i passphrases.
La directory C:\programmi\Tripwire\Evaluation\Demo\Virtual-Machine\Program-file\TFS\DB contiene i file di database.
La directory C:\programmi\Tripwire\Evaluation\Demo\Virtual-Machine\Program-file\TFS\Report contiene i file di report.
La directory C:\programmi\Tripwire\Evaluation\Demo\Virtual-Machine\Program-file\TFS\Bin contiene i file quali tripwire.exe, twadmin.exe, twprint.exe, twagent.exe e siggen.exe.

Componenti del sistema Tripwire 3.0

Sono due i principali componenti di questo sistema. Tripwire for Server e’ un servizio per assicurare l’integrita’ del sistema installato su ciascuna macchina che si vuole controllare, esso controlla file e directrory che sono soggette a minacce, vengono poi generati dei report su eventuali cambiamenti o cancellazioni degli stessi. Tripewire Manager e’ un’ applicazione grafica fatta in Java che permette di gestire piu’ macchine che hanno installato Tripwire for Server, da una locazione centralizzata. Con Tripwire Manager possiamo operare sulle macchine dove e' installato Tripwire for Server direttamente con comandi in linea.

Come lavora Tripwire for Server

Nella figura 1 viene mostrato come lavora Tripwire for Server, il processo e’ lo stesso sia se viene fatto dalla macchina locale con Tripwire for Server, sia che venga fatto da una locazione centralizzata con Tripwire for Manager. Il processo e’:

1) Installiamo il software e creiamo un policy file per stabilire i file e le directory che vogliamo monitorare. Possiamo creare per ogni macchina un policy file, oppure creare un template di policy da usare per tutte le macchine della rete.
2) Inializzare il database utilizzando le regole del policy file, Tripwire raccoglie nel sistema i dati specificati e genera un file database, esso e’ un’istantanea del sistema quando e’ in uno stato sicuro.
3) La necessita' delle regole si ha per rimuovere i falsi positivi dai rapporti di Tripwire, cioe' delle segnalazioni di modifica di alcuni cambiamenti del sistema, dovuti a installazione, disinstallazione o modifica di programmi fatta in modo responsabile dall'utente.
4) Esegue controlli sull’integrita’, durante un controllo il software confronta il database creato nello stato sicuro con l'istantanea del sistema attuale e va a rilevare eventuali cambiamenti, che vengono scritti in un report , il quale puo’ essere inviato agli utenti via e-mail oppure SNMP.
5) Viene esaminato il report per vedere se i cambiamenti in esso riportati sono autorizzati. Se i cambiamenti non sono autorizzati vengono prese delle contromisure che possono essere ripristino dei file, che sono mutati, da una copia di backup.
6) Aggiorniamo le regole nel policy file se abbiamo bisogno di monitorare in modo diverso il nostro sistema. Possiamo aggiungere e togliere oggetti da monitorare, oppure cambiare le regole.

FIGURA 1

Come lavora Tripwire Manager

La figura 2 mostra come puo’ essere usato Tripwire Manager per gestire piu’ macchine con Tripwire for Server. Con Tripwire Managere possiamo:

1) Controllare l’integrita’ di tutte le macchine della rete che hanno installato Tripwire for Server;
2) Vedere i report delle violazioni di tutte le macchine della rete;
3) Schedulare controlli dell’integrita’ su piu’ macchine;
4) Modificare e distribuire configurazioni e politiche su piu’ macchine.

FIGURA 2

Installazione

Per incominciare la simulazione si deve installare Tripwire Manager, Tripwire for Server, un file di licenza e alcuni file necessari per fare i cambiamenti alla nostra macchina durante la simulazione.
Sistema richiesto:

• Windows NT 4.0 con SP4+ o Windows 2000;
• supporti che permettono di settare 256 colori o piu’;

Per prestazioni ottimali si raccomanda almeno:

• Intel Pentium III o processore superiore;
•256 MB di RAM;
• 70 MB hard disk space;

Tripwire 3.0 installa sulla nostra macchina i seguenti elementi:

• Tripwire Manager e Tripwire for Server 3.0;
• Un insieme di file per simulare tre scenari che vogliamo analizzare;
• Due key files ( key esterna e key locale );
• Un Import.txt usato per importare le macchine con Tripwire for Servers in Tripwire Manager;

Installazione di Tripwire 3.0 Evalutation

Vediamo come installare Tripwire 3.0 praticamente, per usare il Software Tripwire ci servono due certificati. Essi ci sono stati mandati via mail quando abbiamo fatto il download di Tripwire 3.0. Questi certificati ci permettono di usare Tripwire Manager con connessioni a delle macchine, con Tripwire for Server. I certificati scadono dopo 30 giorni dalla data di emissione.

Per installare Tripwire 3.0:

1. Doppio-click sul file scaricato tweval.exe per l’ unpack .

2. Successivamente specificare la directory dove installare evaluation file.

3. Specificare la locazione dei file che contengono i certificati. Nel nostro caso sul desktop, a questo punto sara' effettivamente avviato il setup di tutto quello che serve, cioe' software Tripwire 3.0 e file necessari alla simulazione dei vari scenari;

Per avviare Tripwire Manager 3.0:

1. Selezionare Start > Programs > Tripwire Evaluation > Tripwire Manager.
2. Enter e confermare una console passphrase for Tripwire Manager, allora click OK.

La console passphrase controlla l’ accesso al Manager console.

Scenario di valutazione

Vediamo le funzionalita' di base di Tripwire con tre scenari che simuliamo, ma possono essere veri e propri problemi che si verificano nella realta'. Gli scenari usano degli scripts per simulare il cambiamento del file system sulle macchine dove e’ installato Tripwire for Server. Essi non vanno a manipolare altri files della nostra macchina.

Trovare i cambiamenti nel Sistema

Questo scenario ( scenario A ) mostra il setup e la configurazione iniziale di Tripwire Manager e fa vedere come possiamo effettuare i controlli per trovare i cambiamenti del sistema.
Per usare Tripwire Manager dobbiamo prima registrare le macchine con Tripwire for Server che vogliamo gestire. Possiamo aggiungere le macchine con Tripwire for Server individualmente o importare un insieme di macchine con un file di testo.

Per aggiungere una macchina con Tripwire for Server a Tripwire Manager:

1. Selezionare Manager >Add Macchine.
2. Inserire il nome, indirizzo IP, numero di porta e un promemoria per la macchina che vogliamo aggiungere, in questo caso, aggiungiamo la dimostrazione Agent #1.
3. Quando abbiamo inserito le informazioni, click OK per registrare Agent #1.
4. Inserire il Tripwire Manager passphrase,allora inserire la passphrase esterna
(site) e quella locale (local) passphrase local for Agent #1.

Machine Name Agent #1
Machine Group Virtual Machines
IP Address 127.0.0.1
Port Number 1111
Memo Eval Agent #1

Per importare una lista di macchine con Tripwire for Server:

5. Selezionare Manager > Add Machines.
6. Click Import, ci sara’ l’elenco dei file selezionare il file testo import.txt per registrare Agents #2 and #3. Il file import.txt e’ stato installato nel Local Settings attualmente locato in user.
7. Click OK per registrare le macchine.

Ciascuna macchina con Tripwire for Server viene analizzata secondo quanto scritto nel policy file, il quale specifica i file che il software Tripwire deve monitorare.
Vediamo la modifica di un policy file:

8. Selezionare delle macchine dalla Machine List.
9. Selezionare Macchina > Modifica Policy File, per modificare policy file per questa macchina. Chiudere la finestra del policy file quando abbiamo finito.

Per questa valutazione i baseline database file sono gia’ stati creati per ogni macchina, così possiamo anche eseguire un controllo dell’integrita’ per confermare che lo stato corrente di ogni macchina sia sicuro.
Eseguire un integrity check:

10. Shift-click per selezionare tutte le macchine dalla Machine List.
11. Selezionare Macchina > Integrity Check, allora click Run.

Dopo l’integrity check, le icone per tutte le macchinedella machine List sono verdi, per indicare che non ci sono state violazioni. Adesso eseguiamo uno script che simula dei cambiamenti su una macchina sulla nostra rete. Questo script copia alcuni files nel file system di Agent #1. Non modifica nessun file di sistema.
Per simulare dei cambiamenti su una macchina con Tripwire for Servers:

12. Lanciare da Start > Program Files> Tripwire Evaluation >
Demo Scripts > Scenario A.
Eseguire un integrity check su Agent #1 per controllare tutte le regole del policy file.
Eseguire un integrity check:
13. Selezionare Agent #1 dalla Machine List.
14. Selezionare Machine > Integrity Check, allora click Run.
Vedere i rapporti del integrity check :
15. Selezionare Agent #1 da the Machine List.
16. Selezionare Machine > Vew Report, allora click su the Reports Tab.
17. Click su espandi report, o click su una violazione per avere piu’ informazioni nella finestra dei dettagli. Se assumiamo di fare dei cambiamenti al sistema che sono di natura non maliziosa, vorremmo aggiornare il database per riflettere il nuovo stato del sistema e prevenire che questi cambiamenti vengano visti come violazioni da parte degli integrity checks.

Aggiornare il database per Agent #1:

18. Selezionare Agent #1 dalla Machine List.
19. Selezionare Macchina > Update Database.
20. Controllare i file violati per poter accettare I cambiamenti.
21. Cliccare il bottone per aggiornare il file database.

Semaforo Blu-> significa -> si è verificata una violazione di bassa sicurezza.

Verifica installazione di Patch

Questo scenario ( scenario B ) mostra come usare il software Tripwire per vedere i pattern cambiati di un numero di macchine. In questo caso noi verifichiamo un sistema con delle patch per Internet Explorer su delle macchine della rete. In questo scenario per simulare le patch da installare usiamo uno script.
Per simulare l’installazionedi patch:

1. Lanciare lo script da Start > Program Files > Tripwire Evaluation >
Demo Scripts > Scenario B.

Adesso che tutti i meccanismi sono stati aggiornati con delle patch, eseguiamo un integrity check per trovare i cambiamenti simulati sul sistema.
Eseguiamo un integrity check:

2. Selezionare tutte le macchine della Machine List.
3. Selezionare Macchina > Integrity Check, allora click Run.
Per vedere i rapporti:
4. Selezionare Macchina > View Report, e click su Reports tab.
5. Selezionare View > Expand All o click sul Toolbar.

Adesso filtra le violazioni dovute alle patch per Internet Explorer dalle altre violazioni. Con Tripwire Manager possiamo filtrare le violazioni a un buon livello.

Filtrare I file riportati dalla parola chiave:

6. Selezionare View > Filtrare o click sul Toolbar.
7. Nella finestra di filtraggio verifica la parola chiave e entra nel keywod exlorer. Non controllare tutte le altre check boxes.
8. Click Filter per tornare sull’azione di filtraggio.
Gli oggetti tab mostrano tutte le violazioni organizzate dagli oggetti che sono cambiati (directory, file, registri).Questo visto e’ usato per il rilevamento di modelli di violazioni su una rete di macchine.

Vedere i file riportati dall’ oggetto:

9. Click sugli Objects tab.
10. Selezionare View > Expand All o click sul Toolbar.

Con quanto visto possiamo vedere che alcuni dei file patch di Internet Explorer non sono stati applicati a Agent #1. In una situazione con patch reali potremmo esplorare questa macchina per ulteriori verifiche. Adesso che abbiamo messo delle patch sulle macchine possiamo aggiornare il file database per incorporare queste patch. Possiamo aggiornare selettivamente il file database per incorporare solo le patch all’interno del baseline database.
Aggiornare selettivamente i database su tutte le machine:

11. Selezionare tutte le macchine nel Machine List.
12. Select Macchina > Aggiornare Database, e click gli Oggetti Tab.
13. Verificare le boxes per I file di Internet Explorer su tutte le macchine.
14. Click l’ Update button per aggiornare I file database.

In questo caso non ci sono state delle violazioni portate da estranei, ma solo perche' abbiamo inserito nuove patch, quindi e' sufficiete aggiornare il database.

Solo gli oggetti selezionati sono aggiornati nel database. Tutti gli altri oggetti nel database rimangono invariati.
Possiamo verificare l’aggiornamento del database tramite un altro integrity check.

Usare le verifiche di integrità selettiva:

Quando creiamo un policy file, possiamo assegnare nomi alle regole che controllano differenti file e differenti directory. Quando eseguiamo un integrity check, possiamo usare questi rule name per etichettare parti specifiche del nostro sistema.
Questo scenario simula la rottura delle nostre infrastrutture e-mail, e mostra come possiamo usare selettivamente un integrity check per diagnosticare rapidamente e risolvere il problema.
Per questo scenario possiamo usare uno script per simulare un guasto dell' infrastruttura mail per le macchine sulle quali facciamo la simulazione.

Simulare servizio mail guasto:

1. Lanciare lo script da Start > Program Files > Tripwire Evaluation >
Demo Scripts > Scenario C.

Assumiamo che le e-mail siano appena fallite su tutte le machine nella nostra rete.
Possiamo usare i rule name per eseguire una integrity check sulla mail client su tutte le macchine.
Eseguire una selettiva integrity check su tutte le mail client delle macchine:

2. Selezionare tutte le machine nella Machine List.
3. Select Macchina > Integrity Check.
4. Nella finestra Integrity Check , selezionare Rule per verificare e inserire il Rule name mail ( caso sensitive )
5. Click Run.

Vedere i rapporti:

6. Selezionare Macchina > View Report.

Nel rapporto ci sono alcune violazioni per i file di supporto del sistema per Agent #1. Comunque una volta che questo scenario non sta lavorando su tutte le macchine, ci deve essere un altro problema. Da quando la fonte del problema non è mail client, la prossima esecuzione di integrità check la faremo sul mail Server di n Agent #3.
Eseguire una Integrity Check selettiva sul Mail Server:

7. Selezionare Agent #1 nella Machine List.
8. Selezionare Macchina > Integrity Check.
9. Nella finestra Integrity Check, selezioniamo Rule per controllo e inserimento del Rule name Mail_Server (caso sensitivo).
10. Click Run.
Vedere il rapporto:
11. Selezionare Macchina > View Report.

Nel file rapporto per Agent #1, possiamo notare che c’è una notevole violazione sul mail server. Se il nostro mail Server è stato attualmente compromesso, potremmo ripristinarlo velocemente prendendolo da uno stato originale, nel nostro caso si sono avute molte violazioni.

Ripristino della valutazione

Se volessimo ripetere gli scenari di questa valutazione guida, usiamo lo script per ripristinare il file sistem dal suo stato originale. Questo script non va a modificare nessun file di sistema.
Ripristinare la simulazione del file system dal suo stato originale:
Doppio-click Restore.bat nel nostro Tripwire 3.0 Evaluation, o lanciamo lo script da Start > Program Files > Tripwire Evaluation >
Demo Scripts > Restore.

Disinstallare il Software Tripwire

Il disinstallatore rimuove tutti i files e le cartelle generate da Tripwire 3.0 .
Per disinstallare tutti I files di Tripwire 3.0:

1. Selezionare Start > Settings > Control Panel > Add/Remove Programs.
2. Selezionare Tripwire 3.0 Evaluation dalla lista di applicazione.
3. Click Remove, allora chiudiamo i programmi a finestra Add/Remove.