按此可放大網頁內容, 重複按可無限放大 按此回復標準網頁大小
最新消息課程教材單元討論區學習日誌

      

* *Tripwire *   *
 
Tripware
 

Tripwire 可以描述為一項監測檔案完整工具,是設計用來維繫安裝在系統上的軟件程式的資料庫,讓您可以快速檢視和追縱系統上的改變,透過對檔案系統產生 MD5 等相關資料列表的工具紀錄,定期(不定期)追縱系統上所有檔案,並與系統快照 (snapshot)做比較。Tripwire 對於惡意的程式碼、探測器 (sniffers)、木馬 (trojans) 或任何後加於系統的軟件都能有效的控制。要留意的是,儘管 Tripwire 多有效,如果系統在安裝 Tripwire 前已妥協了, Tripwire 已幫不了您。因此,要正確使用 Tripwire,建議您在安裝及設定系統後立即安裝 Tripwire。

Tripwire對 Linux 使用者而言是免費軟體,由參考文件1可知道Tripwire於Linux平台仍依然保持免費支援,故我們也可從網路上發現許多Linux使用者使用Tripwire來監控系統,如:從參考文件2中觀察到Tripwire於Linux系統的簡易安裝與實驗。但此節我們將採用商業化後的Tripwire公司提供於Windows平台的試用版Tripwire程式來進行實驗與討論。

參考文件:

  1. Red Hat Linux Reference Guide對於Tripwire的簡介 http://ftp.cs.stanford.edu/mirrors/redhat/linux/9/en/doc/RH-DOCS/rhl-rg-en-9/ch-tripwire.html
  2. Tripwire簡易安裝指南與實驗 http://main.rtfiber.com.tw/~changyj/linuxtips/html/tripwire-easy.html
  3. Tripwire公司 http://www.tripwire.org
安裝步驟
 

步驟1: Tripwire官方網站上下載試用版, 須先填寫個人相關資料和e-mail信箱,注意:作業系統選項(What Operating Systems)必須勾起Windows,最後Submit

 
  步驟2: 填寫完資料後將會進入到試用版下載文件下載選單
 
  步驟3: 至步驟一填寫之信箱中收取憑證,於安裝軟體時需要匯入
 
  步驟4: 解壓縮下載之檔案(te_trial_win.zip),並執行TrialKitSetup.exe
 
  步驟5: 選取I accept the terms of the license agreement,再選取下一步(Next)
 
  步驟6: 由Browse選取步驟3所收到的憑證(TETrial.cert),再選取下一步(Next)
 
  步驟7: 選擇安裝資料夾路徑(預設不用動),再選取下一步(Next)
 
  步驟8:顯現安裝資訊,選取安裝(Install),安裝過程可能需要花些許時間
 
  步驟9:安裝結束,是否要馬上載入Tripwire Enterprise console,選取完成(Finish)
 
開啟程式
 

步驟1: 開啟瀏覽器,於網址列中打入https://localhost

 
  步驟2: 您可能會看到一個對話盒問您是否同意接受SSL 憑證,選擇Yes
 
 

步驟3: 您將會於視窗中看到一個登入畫面,Username: trialuser Password:integrity,再選擇取Sign In

 
 

步驟4: 選擇取Sign In後,即進入至Tripwire Enterprise Trial

 

Tripwire Enterprise Trial原件簡介

 

實驗開始

 

步驟1: 建立標準可信任的狀態(Baseline)

  一個標準可信任的狀態表一個授權過的狀態(一個大家所信賴的狀態),在此我們將為目前所監聽的系統建立標準可信任的狀態,當檔案有任何更改時可以為參考和比較依據
    1. 點選視窗左方之Nodes開啟
    2. 從樹狀頁面選擇Root Node Group > Demo > By Location
    3. 選擇主頁面中的所有的確認盒(Check Box),如下圖所示
     
    4. 選擇按鈕列中的Baseline選項
    5. 跳出的建立標準可信任的狀態(Baseline)對話盒,選擇Selected nodes with rule or rule group:選項, 再點選下方的Root Rule Group > Demo 如下圖所示
     
    6. 清除Preserve existing baselines確認盒選項如圖,最後案確認(OK)
  步驟2: 模擬修補程式
  執行此步驟後,程式將會模擬作業系統修補
     開始 -> 程式集 -> Tripwire Enterprise Trial -> Trial Control -> 1. Push OS Patch 點選完Push OS Patch後你將會看到一個命令字元視窗幾秒鐘,當視窗結束時,此步驟就已經完成
  步驟3: 執行版本確認
  版本確認將會找出步驟二作業系統修補的所有改變,當你執行在一個節點執行版本確認時,Tripwire Enterprise 將會拿目前的屬性、檔案內容與基線(Baseline)作比較,任何的新增、修改、 移除檔案將被Tripwire發現
    1. 點選視窗左方之Nodes開啟
    2. 選擇Root Node Group > Demo > By Location
    3. 於主頁面中勾選確認盒選取所有的節點
    4. 選取按鈕列中Check
    5. 跳出的確認改變(Check For Changes)對話盒,選擇Select nodes with rule or rule group 再選擇Root Rule Group > Demo > File System Rules,如下圖所示,File System Rules包含了四個檔案系統規則和一個Windows登入表(registry)規則
   
    6. 選取確認鍵OK
 

步驟4: 觀察改變

  Tripwire預設三種不同警戒範圍
紅色警戒代表監控目標經過了很嚴重的改變
黃色警戒代表監控目標經過了中等程度改變
藍色警戒代表監控目標經過了些許改變
當你執行的Demo > By Location 版本確認後,若系統與Baseline不同Tripwire將會給偵測出不同警戒, 如下圖所示,系統偵測出By Location中曾經經過嚴重修改
 
問題與討論
 

 
 


電子商務資訊安全 AntiVirus Ad-Aware AntiSpam PGP SMIME Tripwire SSH Firewall Packet Sniffering Port Scanning Dictionary Attack Vulnerability Scanning VPN 電子商務導論 XML導論