تماس با ما

آشنایی با ابزار امنیتی TripWire:



سیستم فایل یکی از حیاتی ترین و حساس ترین بخشهای یـک سیستم عامل محسوب می شود.طیف وسیعی از تهدیدات و خطرات اینترنتی در شبکه های کامپیوتری بــر بستــر سیستــم فــایل کامپیــوتر مــورد هــدف طـــراحــی و پیـــاده سازی می شـوند.


● مقدمه

ویروسها٬ کرم ها ٬ نرم افزارهای جاسوسی Spyware ٬ نرم افزارهای تروجان ٬ Backdoor و Rootkit و بسیاری دیگر از حملات مخرب برعلیه شبکه ها ٬ ســـرورها و برنـامه های کاربری وب بر مبنای ضعف و عدم امنیت و کنترل فایلهای سیستم صورت می گیرد. سیاست ها و راه کارهای متنوعــی بــرای امنیت سیستم فایل و حفاظت از فایلها و نقاط امنیتی یک سیستم کام یوتری وجود دارد که از جمله آنها می توان از نرم افزارهای گزارش گیری و کنترل سیستم فایل نام برد.

● Tripwire چیست ؟

Tripwire یک ابزار امنیتی برای گزارش گیری از سیستم فایل و اطمیــنان از صحت فایل ها برروی سیستم است. Tripwire به شما می گوید در ساختـار فایلها و خصوصیات و دسترسی های آنها از یک زمان تا زمانی دیگر چه تغییراتی صورت گرفته است. برای کدام فایل یک دسترسی غیر مجـــاز صـــورت گرفته است و کدام برنامه توسط کدام کاربر و در چه زمانی اجرا شده و یا لیست لوگین های یــک کــاربــر را بـه شما نشان می دهد. با Tripwire می توان فهمید به رجیستری و بلوک های سیستم فایل کدام داده یا فایل اضافه یا حذف شده است و نسبت بــه تاریخ گذشتـــه دقیقا چـه تغییراتی صورت پذیرفته است.Tripwire در لینوکس خصوصیات زیر را مانیتور می کند :

▪ اضافه ٬ حذف و تغییر فایل

▪ ردگیری هر شی

▪ ردگیری مجوز فایل و خصوصیات هر فایل

▪ شماره Inode و link

▪ ACL

▪ UID و GUID

▪ اندازه و نوع فایل

▪ شماره شناسایی هر device

▪ شماره هر مجموعه بلوک سیستم فایل

▪ تمامی عملیاتهای مرتبط با timestamp

▪ تمامی فلگهای سیستم فایل

● Tripwire چگونه کار می کند؟

برنامه از یـک بانــک اطلاعاتی داده ای سیستم استفاده می کند. پس از نصب و پیکربندی ٬ TripWire با گرفتن یک تصویر لحظه ای از ساختار سیستم فایل که شامل بانک اطلاعات هر فایـل همراه خصوصیات آنها٬ حسـاب های کاربری و داده های بحرانی سیستم٬ یـک فـایـل بـانـک اطـلاعاتی یا در اصطلاح baseline می سازد. هر زمان که نیاز به چک کردن واطمینان از صحت فایلها و دسترسی ها وجــود داشته باشد٬ بـرنـامه اطلاعاتbaseline را با اطلاعات کنونی سیستم چک می کند و هــر گونه تغییر و یا عملیات غیر مجاز را در یک فایل گزارش ثبت می کند. این فایل گزارش توسط مدیر سیستم قابل دریافت و بازبینی است. می توان فایل گــزارش را از طـــریق ایمیل و با فرمت های گوناگونی مانندHTML یا XML دریافت کرد.آنچه که مهم است نیاز به بروزرسانی فـایــل بـانک اطلاعاتی برنامه برای بدست آوردن یک گزارش صحیح و دقیق از سیستم است . Tripwire از چهار فایل حیاتی برای کار خود استفاده می کند:

● فایل سیاست گذاری (etc/tripwire/tw.pol/):

مجموعه قوانین و عملیاتهای برنامه٬ تعریف فایلها و دایرکتوری های امنیتی و سیاست های گزارشگیری از سیستم توسط مدیر سیستم در این فایل تعریف و تنـظیم مـی شــوند. از طــریق این فایل می توان سیاستهای امنیتی برای صحت و چک سیستم به برنامه اعمال کرد.

● فایل پیکربندی ( etc/tripwire/tw.cfg/) :

این فایــل حـــاوی اطلاعاتی در مـورد نحــوه پیکربندی خــود برنــامـه و مکــان فـایـلها و نحوه ارتباط با دیگر برنامه ها برای عملیاتهایی مانند ارسال ایمیل و یا ذخیره فایل گزارش برروی سیستم است. ایـــن فـایـل نـیـز تـوسـط مدیرسیستم قابل مشاهده و تنظیم است.

● فایل بانک اطلاعاتی (var/lib/tripwire/$(HOSTNAME).twd/):

برنامه Tripwire در هنــگام چک کردن و گــزارشگیری سیستم از اطلاعات این فایل استفاده می کند . در حقیقت این فایل مبنای کار برنامه است که همیشه باید بروزترین و صحیح ترین اطلاعات را از وضعیت سیستم در خود داشته باشد .

● فایل گزارش ( var/lib/tripwire/$(HOSTNAME)-$(DATE).tar/ ):

نتیــجه مقایـسه فـایـل بـانـک اطلاعاتی با سیستم فایل و اطلاعات و وضعیت کنونی سیستم از طریق این فایل قابل رویت اسـت. اطـلاعات ایــن فایل شامل تمام موارد امنیتی و تغییرات سیستم است که در فایل Policy تعریف و تنظیم شده اند. این فایل را با فرمت های گوناگون و از طریق ابزاری مانند ایمیل هم میتوان ازسیستم راه دور دریافت کرد.

دو فایل سیاست گذاری و پیکربندی دارای دو فرمت متنی و رمزشــده هستند. پس از هر تغییر در این فایلها با حذف کپی متنی ٬ فایلها رمز می شوند.

● نتیجه گیری :

Tripwire یک ابزار امنیتی قــابل استفاده در لینـوکس برای اطمینان از صحــت فـایـلهـا و داده ها و گــزارشگیری از تغییرات سیستم فایل و وضعیت کامپیوترها است. این برنامه با دریافت اطلاعات صحیحی از سیستم در هــر زمان اقدام به تست و چک کردن سیستم می نماید و تغییرات را در یک فایل به مدیر سیستم گزارش می دهد. در شـــمــــاره بـعـدی چگونگی نصب و استفاده از این ابزار را بررسی خواهیم کرد.