چگونه می توان فهمید که در طی اتصال به اینترنت،یک فایل ناشناخته بر روی سیستم شما نشسته است؟ و یا یک برنامه مانند جاسوس افزار در رجیستری سیستم عامل تغییراتی را ایجاد کرده است و یا حتی سیستم شماآلوده به یک ویروس مخرب است؟ آیا مطمئن هستید اکنون یک اسب تروا و یا backdoor بر روی سیستم شما نصب نشده است و تمامی اطلاعات حیاتی سیستم شما را از طریق اینترنت به یک مقصد مشخص نمی فرستد؟ چگونه می خواهید سیستم خود را در مقابل این گونه حملات ایمن کنید؟ آیا ضد ویروس ها دارای قدرت کافی برای مقابله با این طیف وسیع از خطرات اینترنتی هستند؟
گونه ای حملات که به حملات hijack معروف هستند، یک فایل جعلی ساخته شده توسط نفوذگر را به جای فایلی که مثلا شما از یک سایت درخواست کرده اید، به سمت کامپیوتر شما روانه می کنند و شما بدون اینکه بدانید آن را گرفته و بر روی سیستم استفاده می کنید . در هنگام استفاده،فایل های مکمل نیز نصب شده و در اتصال بعدی،هکر هر آنچه که ز کامپیوتر شما نیاز دارد را به دست خواهد آورد . چگونه باید از فعالیت مخفیانه این گونه فایل ها مطلع شد؟ اگر مسئول شبکه محلی یک سازمان هستید و یا در اداره خودتان یک شبکه راه اندازی کرده اید تاکنون فکر کردید چگونه می شود فهمید که فایل های سیستم و یا شبکه و یا ابزار شبکه مانند فایروال ها و روترها دست کاری شده اند یا خیر و یا اینکه از فایل های حیاتی و مهم خود که می توانند مورد حمله قرار بگیرند محافظت می کنید؟ همه این پرسش ها نیازمندی به کار گیری یک مکانیزم امنیتی برای گزارش گیری از سیستم فایل به صورت روزانه و یا در زمان های خاص و مشاهده تغییرات صورت گرفته و احیانا دسترسی غیر مجاز به فایل های امنیتی را مشخص می کند .
tripwire چیست؟
tripwire نرم افزاری برای مانیتورینگ سیستم و مشاهده هر گونه تغییر در سیستم است . tripwire با استفاده از بانک داده ای که برایش تعریف شده است سیستم را بررسی می کند و هر گونه تغییر در محتویات و یا خصوصیات فایل مانند اندازه فایل یا مجوز فایل، مکان فایل را به مدیر سیستم گزارش می دهد . مسئول شبکه می تواند با تنظیم و پیکربندی این نرم افزار از هر گونه تغییر در سیستم خود مطلع شود . tripwire نسبت به هر گونه تغییر،اضافه و یا پاک شدن داده ای بر روی سیستم بسیار حساس است و این تغییر را در فایل های خود ثبت کرده و توسط ایمیل بافرمت های مانند html و xml به مسئول سیستم گزارش می دهدو این امکان به راحتی فراهم می شود که بتوان تمام تحرکات سیستم عاملی شبکه ابزار و سرویس دهنده های خود را تحت نظر گرفت و از امنیت سیستم اطمینان حاصل کرد . در ابتدای نصب و پیکربندی ابزار tripwire از کل سیستم یک تصویر snoppshot گرفته ودر یک فایل بانک اطلاعاتی ذخیره می کند . tripwire با توجه به پیکربندی خود مثلا در هر اتصال به شبکه با مقایسه سیستم فایل با بانک اطلاعاتی که در اصطلاح به آن baseline گفته می شود هر گونه تغییر یا عدم صحت فایل را گزارش می دهد . اگر توسط مدیر سیستم تغییراتی صورت گیرد باید بانک اطلاعاتی بروز شده و تغییرات صورت گرفته شده ثبت شوند،ویژگی tripwire قابلیت استفاده در هر سکوی اجرایی و با هر سیستم است . قدرت و انعطاف این ابزار در سیستم های خانواده یونیکس نمایان می شود و بیشتر کارایی دارد ولی نسخه های تجاری از این برنامه هم برای ویندوزهای nt ، 2000 و اکس پی تهیه شده است . tripwire قابل استفاده با ابزارهای شبکه مانند سوییچ ها و روترها نیز می باشد و در سرویس دهنده ها نیز قابل نصب است . این برنامه همچنین دارای یک رابط گرافیکی برای مدیریت برنامه است ولی در سیستم عامل هایی مانند لینوکس به راحتی در رابط های تحت خط فرمان قابل پیکربندی و استفاده است .
چگونه عمل می کند؟
بعد از نصب و پیکربندی نرم افزار و تنظیم کردن سیاست های امنیتی برای آن،tripwire اقدام به تهیه یک بانک اطلاعاتی از تمام سیستم فایل و خصوصیات فایل ها رجیستری سیستم همراه کاربران،گروه ها،مجوزها و دسترسی ها، برنامه های اجرا شده بر روی سیستم و تمامی ابزار مرتبط با سیستم می نماید . به این بانک اطلاعاتی baseline گفته می شود . تمامی این اطلاعات در یک فایل قرار گرفته و رمزنگاری می کند تا اطلاعات آن به راحتی قابل خواندن نباشد،این فایل مبنای عملیات بعدی خواهد بود و هر تغییری نسبت به این فایل ها تشخیص داده خواهد شد . یک نکته مهم بروز رسانی به موقع این فایل است . مدیر سیستم به صورت مجاز هر تغییری در سیستم اعمال کند باید متعاقب آن مجددا اقدام به پیکربندی و تهیه baseline نماید و این تغییرات صورت گرفته را برای tripwire تعریف کند
سلام
وبلاگ زیبایی دارین
به من هم سری بزنید.