Tripwire
Программа Tripwire несколько отличается от других утилит, обсуждавшихся в этой лекции. Она предназначена для аудита файлов и приложений, а не уязвимостей в этих файлах и приложениях. Tripwire размещается в системе и проверяет наличие изменений в любых файлах. Вы можете настроить ее на проверку важных двоичных файлов, исполняемых модулей и конфигурационных файлов, которые не должны изменяться. Если в этих файлах обнаружены изменения, Tripwire записывает информацию в журнал и может даже послать уведомление по электронной почте. Важно заметить, что Tripwire может только обнаружить изменения и уведомить об этом; программа не может предотвратить несанкционированные изменения файлов. И все же, Tripwire - великолепное средство для предохранения системы от "троянских коней" и гарантия того, что неавторизованные пользователи не будут играть с критическими файлами.
увеличить изображение
Рис. 12.26. Отчет об уязвимостях для администрации
Примечание. "Троянскими конями" называют приложения, которые имеют вид обычных, разрешенных для использования в системе приложений, но, на самом деле, являются взломанными версиями приложений, которые могут скрыто совершать различные запрещенные в системе действия.
Tripwire может запускаться на любом количестве маршрутизаторов и коммутаторов Cisco и серверах под управлением ОС Solaris. Программа также может быть интегрирована с Web-сервером Apache для мониторинга изменения Web-файлов и содержимого сайта. Tripwire - коммерческий продукт; вы можете загрузить тестовую версию по адресу http://www.tripwire.com/. Однако отдельная, свободно распространяемая версия Tripwire доступна по адресу http://www.tripwire.org/. В этом разделе обсуждаются обе версии. В действительности Tripwire работает одинаково в обеих версиях, но управление узлами Tripwire в коммерческой версии проще.
Каким образом осуществляется мониторинг файлов? Программа отслеживает такие позиции, как размер файла и контрольная сумма файла, представляя их в качестве сигнатуры, которая не должна меняться. Мы познакомимся с различными параметрами сигнатуры файлов в разделе "Представление о файлах политики Tripwire".
Совет. Основанная на загрузке в ядро утилита Knark в действительности может скрывать замаскированных под системные команды "троянских коней" от Tripwire. За дополнительной информацией обращайтесь к лекции "Черный ход и средства удаленного доступа".
