نویسنده و گردآورنده : احسان خوشخرام

يك ضرورت
چگونه مي توان فهميد كه در طي اتصال به اينترنت،يك فايل ناشناخته بر روي سيستم شما نشسته است؟ و يا يك برنامه مانند جاسوس افزار در رجيستري سيستم عامل تغييراتي را ايجاد كرده است و يا حتي سيستم شماآلوده به يك ويروس مخرب است؟ آيا مطمئن هستيد اكنون يك اسب تروا و يا Backdoor بر روي سيستم شما نصب نشده است و تمامي اطلاعات حياتي سيستم شما را از طريق اينترنت به يك مقصد مشخص نمي فرستد؟ چگونه مي خواهيد سيستم خود را در مقابل اين گونه حملات ايمن كنيد؟ آيا ضد ويروس ها داراي قدرت كافي براي مقابله با اين طيف وسيع از خطرات اينترنتي هستند؟ گونه اي حملات كه به حملات hijack معروف هستند، يك فايل جعلي ساخته شده توسط نفوذگر را به جاي فايلي كه مثلا شما از يك سايت درخواست كرده ايد، به سمت كامپيوتر شما روانه مي كنند و شما بدون اينكه بدانيد آن را گرفته و بر روي سيستم استفاده مي كنيد. در هنگام استفاده،فايل هاي مكمل نيز نصب شده و در اتصال بعدي،هكر هر آنچه كه ز كامپيوتر شما نياز دارد را به دست خواهد آورد. چگونه بايد از فعاليت مخفيانه اين گونه فايل ها مطلع شد؟ اگر مسئول شبكه محلي يك سازمان هستيد و يا در اداره خودتان يك شبكه راه اندازي كرده ايد تاكنون فكر كرديد چگونه مي شود فهميد كه فايل هاي سيستم و يا شبكه و يا ابزار شبكه مانند فايروال ها و روترها دست كاري شده اند يا خير و يا اينكه از فايل هاي حياتي و مهم خود كه مي توانند مورد حمله قرار بگيرند محافظت مي كنيد؟ همه اين پرسش ها نيازمندي به كار گيري يك مكانيزم امنيتي براي گزارش گيري از سيستم فايل به صورت روزانه و يا در زمان هاي خاص و مشاهده تغييرات صورت گرفته واحيانا دسترسي غير مجاز به فايل هاي امنيتي را مشخص مي كند.

Tripwire چيست؟
Tripwire نرم افزاري براي مانيتورينگ سيستم و مشاهده هر گونه تغيير در سيستم است. Tripwire با استفاده از بانك داده اي كه برايش تعريف شده است سيستم را بررسي مي كند و هر گونه تغيير در محتويات و يا خصوصيات فايل مانند اندازه فايل يا مجوز فايل، مكان فايل را به مدير سيستم گزارش مي دهد. مسئول شبكه مي تواند با تنظيم و پيكربندي اين نرم افزار از هر گونه تغيير در سيستم خود مطلع شود. Tripwire نسبت به هر گونه تغيير،اضافه و يا پاك شدن داده اي بر روي سيستم بسيار حساس است و اين تغيير را در فايل هاي خود ثبت كرده و توسط ايميل بافرمت هاي مانند HTML و XML به مسئول سيستم گزارش مي دهدو اين امكان به راحتي فراهم مي شود كه بتوان تمام تحركات سيستم عاملي شبكه ابزار و سرويس دهنده هاي خود را تحت نظر گرفت و از امنيت سيستم اطمينان حاصل كرد. در ابتداي نصب و پيكربندي ابزار Tripwire از كل سيستم يك تصوير Snoppshot گرفته ودر يك فايل بانك اطلاعاتي ذخيره مي كند. Tripwire با توجه به پيكربندي خود مثلا در هر اتصال به شبكه با مقايسه سيستم فايل با بانك اطلاعاتي كه در اصطلاح به آن baseline گفته مي شود هر گونه تغيير يا عدم صحت فايل را گزارش مي دهد. اگر توسط مدير سيستم تغييراتي صورت گيرد بايد بانك اطلاعاتي بروز شده و تغييرات صورت گرفته شده ثبت شوند،ويژگي Tripwire قابليت استفاده در هر سكوي اجرايي و با هر سيستم است. قدرت و انعطاف اين ابزار در سيستم هاي خانواده يونيكس نمايان مي شود و بيشتر كارايي دارد ولي نسخه هاي تجاري از اين برنامه هم براي ويندوزهاي NT ، 2000 و اكس پي تهيه شده است. Tripwire قابل استفاده با ابزارهاي شبكه مانند سوييچ ها و روترها نيز مي باشد و در سرويس دهنده ها نيز قابل نصب است. اين برنامه همچنين داراي يك رابط گرافيكي براي مديريت برنامه است ولي در سيستم عامل هايي مانند لينوكس به راحتي در رابط هاي تحت خط فرمان قابل پيكربندي و استفاده است.

چگونه عمل مي كند؟
بعد از نصب و پيكربندي نرم افزار و تنظيم كردن سياست هاي امنيتي براي آن،Tripwire اقدام به تهيه يك بانك اطلاعاتي از تمام سيستم فايل و خصوصيات فايل ها رجيستري سيستم همراه كاربران،گروه ها،مجوزها و دسترسي ها، برنامه هاي اجرا شده بر روي سيستم و تمامي ابزار مرتبط با سيستم مي نمايد. به اين بانك اطلاعاتي baseline گفته مي شود. تمامي اين اطلاعات در يك فايل قرار گرفته و رمزنگاري مي كند تا اطلاعات آن به راحتي قابل خواندن نباشد،اين فايل مبناي عمليات بعدي خواهد بود و هر تغييري نسبت به اين فايل ها تشخيص داده خواهد شد. يك نكته مهم بروز رساني به موقع اين فايل است. مدير سيستم به صورت مجاز هر تغييري در سيستم اعمال كند بايد متعاقب آن مجددا اقدام به پيكربندي و تهيه baseline نمايد و اين تغييرات صورت گرفته را براي Tripwire تعريف كند. اين ابزار اين قابليت را دارد ك به صورت روزانه يا در زمان هايي خاص كه براي آن تعريف شده است اقدام به بررسي سيستم فايل نمايد و تمامي تغييرات صورت گرفته را در يك فايل قرار داده و به كامپيوتر سرور و يا كامپيوتر راه دور مدير سيستم ارسال كند. در زمان كنترل كردن Tripwire تمام حالت فعلي سيستم را در زماني كه مي خواهد سيستم را بررسي كند ضبط كرده و اقدام به مقايسه با baseline مي نمايد و هر گونه تغيير ئ يا اختلاف،اعم از تغيير محتويات يك فايل امنيتي يا يك دسترسي غيرمجاز و يا اضافه و كم شدن يك فايل،اجراي يك برنامه خاص و تغيير در ساختار سيستم فايل را گزارش مي دهد. اين امكان وجود دارد كه شما گزارش هاي گوناگوني از سيستم تهيه كنيد و يافقط در هر گزارش گيري برخي از پارامترها را مورد بررسي قرار دهيد. با توجه به طيف گسترده كاربرد Tripwire و اجراي ان بر روي انواع سيستم عامل ها و سرويس دهنده ها واردات شبكه به راحتي اين امكان به وجود خواهد آمد كه بتوان تمام تحركات يك شبكه را تحت نظر داشت و از هر گونه تغييري مطلع شد. هر نرم افزار Tripwire از چهار فايل بنيادي استفاده مي كند:
فايل سياست هاي امنيتي : در اين فايل تمامي پيكربندي نرم افزار و سياست هايي كه توسط كاربر به آن داده شده است نگهداري مي شود. اين فايل مرتبا در حال تغيير و بروز رساني خواهد بود و عمليات نرم افزار را تعريف خواهد كرد. پيكربندي و تنظيم كردن اين فايل تاثيري مستقيم در قدرت نرم افزار و توانايي آن در تشخيص آسيب پذيري هاي امنيتي براي هر مدير سيستم خواهد بود.
فايل بانك اطلاعاتي: مهمترين فايل براي نرم افزار است كه هميشه حالت صحيح سيستم را در خود نگهداري مي كند. در هر زمان كه نياز به كنترل كردن و گزارش گيري از سيستم باشد حالت فعلي سيستم با اين فايل مقايسه مي شود.
فايل گزارش گيري: از اين فايل براي بررسي تغييرات سيستم و كنترل صحت فايل هاو عمليات ها استفاده مي شود. Tripwire با خواندن فايل سياست هاي امنيتي اين فايل را پيكربندي مي كند تا بتواند يك گزارش كامل از درخواست هاي مدير سيستم تهيه كند.
فايل پيكربندي: اين فايل تمامي تنظيمات مربوط به خود نرم افزار را نگهداري مي كند. چگونگي كار نرم افزار و انجام مراحل كار بستگي به محتويات اين فايل دارد. خصوصياتي كه Tripwire در ويندوز بررسي و گزارش گيري مي كند عبارتند از :
• اضافه، حذف و تغيير يك فايل
• ردگيري عمليات يك فايل
• فلگ هاي encrypted, compressed, system, temproary, offine, hidden, read-only, archive
• آخرين دسترسي به فايل
• آخرين زمان نوشتن در فايل
• زمان ساخت فايل
• نوع فايل و اندازه فايل
• خواندن اسامي فايل هاي MS-DOS8.3
• فلگ هيا سيستم فايل NTFS
• SDC و اندازه SDC براي هر فايل و دايركتوري
• بررسي جريان داده ها به طور متناوب
• كار با توابع و الگوريتم هاي HAVAL, SHS\SHA, PSA, MD5, POSIX, CRC32, Hash و ...

سكوهاي اجراي Tripwire
• Compaq Tru64 UNIX4.OF, 4.OG, 5.OG, 1&5.1A
• FreeBSD4.5, 4.6&4.7
• HP-UX10.20, 11.0&11i
• IBM AIX4.3.3&5.1
• Linux ( Kernal 2.2andhigher)
• Solaris ( SPARC)2.6.78&9
• Windows NT4.0. 2000 & XP Pro