Este documento describe cómo instalar y configurar Tripwire, un software de detección de intrusos, en un equipo. Explica los pasos para instalar Tripwire mediante apt-get, generar la base de datos modificando el archivo de configuración para omitir rutas no existentes, y generar informes para verificar cambios en los archivos monitoreados como /etc/resolv.conf.
2. 2 Configuración de IDS Tripwire - Introducción
Índice
Introducción .............................................................................................................................3
Instalación ................................................................................................................................3
Configuración de tripwire ...................................................................................................4
Generando informes..............................................................................................................5
Manuel Rodríguez Pozuelo 2
3. 3 Configuración de IDS Tripwire - Introducción
Introducción
En este documento vamos a instalar y configurar Tripwire, un software que
monitoriza y nos alerta de los cambios que se realicen en los ficheros de nuestro
equipo.
Instalación
Para instalar tripwire en nuestro equipo ejecutamos lo siguiente:
sudo apt-get install tripwire
Nos aparecerá un asistente que nos irá solicitando determinada configuración:
Como no tenemos configurado ningún sistema de correo, seleccionamos sin
configuración.
Manuel Rodríguez Pozuelo 3
4. 4 Configuración de IDS Tripwire - Configuración de tripwire
Configuración de tripwire
Tripwire comprueba la modificación de los ficheros comparándolos con un
registro de los mismos que se guarda en una base de datos. La base de datos
almacena los datos de una serie de ficheros definidos en un archivo de
configuración que indicó en la instalación: /etc/tripwire/twpol.txt.
Para iniciar la creación de la bbdd ejecutamos lo siguiente.
sudo tripwire --init
Manuel Rodríguez Pozuelo 4
5. 5 Configuración de IDS Tripwire -
Los errores que nos aparecen se debe a que el archivo /etc/tripwire/twpol.txt
hace referencia a ficheros que no existen en nuestro sistema, pero al final se
genera con los que sí están en nuestro equipo. Vamos a modificar el archivo
comentando las rutas de los ficheros que no existen en nuestro sistema. Para ello
vamos a comentar todas las entradas que hagan referencia al directorio /root/ y a
/proc/ y lanzamos el siguiente comando:
sudo twadmin –m P etc/tripwire/twpol.txt
Con esto estamos redefiniendo la política de construcción de la base de datos. Asi
que volvamos a generarla:
sudo tripwire --init
Generando informes
Ahora generemos informes para comprobar si registra las modificaciones. Para
generar un informe, ejecutamos lo siguiente:
sudo tripwire --check > check.txt
En el escáner inicial, encontramos que no ha habido ningún cambio:
Manuel Rodríguez Pozuelo 5
6. 6 Configuración de IDS Tripwire - Generando informes
Ahora he hecho una modificación en el archivo /etc/resolv.conf, a ver que nos
muestra ahora el informe que generamos tras el cambio:
El informe nos refleja que hemos modificado el archivo.
Manuel Rodríguez Pozuelo 6