TRIPWIRE解决方案
来源:来源:HC360慧聪网安防行业频道 作者:华中频道 发布时间:2008-01-10
应用领域:机构、企业
分类范围:数据监控、检测
tripwire系列产品提供了用于dni管理的完整解决方案,机构和企业的安全管理员可以使用tripwire集中管理其信息系统的完整性和一致性。tripwire帮助建立信息系统的安全基线,并连续的监视关键文件和系统的完整性和一致性。tripwire能够与传统的安全产品如防火墙、防病毒、入侵检测等协同使用,从而使安全管理员能够快速的定位数据和系统损伤、隔离问题并快速恢复系统。
tripwire为重要的系统文件建立已知的安全基线,然后管理员可以设置特定的监控条件。tripwire周期性(或按命令)检查被监控对象与安全基线的差异,并向管理员报告。管理员检查tripwire的检查报告,确认哪些变动是许可的;针对许可的变动更新安全基线,对于未许可的变动采取措施将其恢复到安全状态。
2.1 tripwire for servers
tripwire for servers(简称tfs) 检查网络服务器上数据的完整性,报告这些数据的任何变化。除了检查文件内容外,tripwire还检查被监控文件的其它系统属性,如文件大小、访问标记、更新时间等,并生成易于阅读的报告。
强大的保护能力
tfs提供了强大的工具用于保护网络服务器及系统。通过建立审计策略,安全管理员可以检测内部/外部入侵、用户错误、软件故障、未许可的系统后门:
预先定义的策略文件
针对特定的操作系统定义的策略文件帮助快速建立安全基线保护特定的数据和文件。
灵活的策略描述语言
帮助管理员快速定义保护规则及安全级别。
加密签名
tfs的基线数据库,策略文件,报表均可使用1024位的加密算法进行签名,保护其不被非法修改。
快速检查
tfs通过比较当前文件属性与基线数据库的差别,提供广泛及快速的变动检查能力:
多种算法支持
4种签名算法支持文件修改检查。
多种属性监控
监视多达14种文件属性(unix)、24种文件属性和注册表项(nt / win2000)。因此,即使内容没有修改,也能检测对数据的未授权操作。
严重级别
可对不同的文件赋予不同的严重级别。当变动发生时,管理员能够根据严重级别安排处理(恢复)顺序。
报告处理
完整性检查报告能够根据严重级别发送给设定的处理人员。发送方式包括电子邮件、tripwire manager、syslog和snmp trap。
恢复能力
tfs提供了如下的系统恢复支持:
完整性检查结束后自动产生系统损伤表。
生成文件(数据)恢复列表。
完整性报告存档用于日后审计。
管理特性
管理员可使用tripwire manager 通过ssl快速安全地管理机构内的所有tfw。
系统特征
支持的操作系统:
nt4.0/win2000(pro, as),solaris (over 2.6),aix 4.3,hp-ux (10.2, 10.3, 11.*),compaq tru 64 (4.0f, 4.0g, 5.0a, 5.1), linux
unix系统属性监控
1) 文件增加,删除,修改。
2) 文件访问许可属性。
3) inode及link数量。
4) uid及gid。
5) 文件类型和大小。
6) inode存储的磁盘设备号。
7) inode指向的设备的设备号(适用于设备文件)
8) 分配的区块。
9) 修改时间戳。
10) inode创建和修改的时间戳。
11) 访问时间戳。
12) 增长的文件。
13) 缩小的文件。
14) hash检查。
windows 系统属性监控
1) 文件增加,删除,修改。
2) 文件标记(归档,只读,隐藏,离线,临时,系统,专向)
3) 最近访问时间。
4) 最近写时间。
5) 创建时间。
6) 文件大小。
7) ms-dos 8.3名称。
8) ntfs压缩标记,ntfs osid,gsid,ntfs dacl,ntfs sacl。
9) 安全描述符控制及安全描述符大小。
10) 可变的数据流数目。
11) hash检查。
windows 系统注册表监控
1) 注册表key和值的增加,删除和修改。
2) osid。
3) gsid。
4) dacl。
5) sacl。
6) class名称。
7) class名称的最大长度。
8) 值数量。
9) 值的最大长度。
10) 安全描述符控制。
11) key的安全描述符大小。
12) 最近写时间。
13) 值数据类型。
14) 值数据长度。
15) hash检查。
.2 tripwire manager
tripwire manager(以下简称trhq)是一个跨平台的用于管理信息系统内所有tfs软件的控制台软件,它使管理员可以从管理中心集中管理分布在网络内的所有tfs。
集中的策略管理
trhq使安全管理员能够集中定义策略文件、配置文件和计划文件,并将其分发到多个tfs,大大降低管理时间。
集中报表
集中的报表功能使安全管理员能够查看所有tfs的检查报告,根据损坏的严重程度安排相应的修复工作。
远程管理
安全管理员能够通过trhq远程管理所有tfs,包括执行完整性检查、查看完整性检查报告,远程文件配置等。
安全数据通讯
trhq与tfs的通讯采用工作标准的ssl方式,保证通讯过程的安全。
异构环境支持
无论tfs运行在任何操作系统平台,管理员均可由一个trhq远程管理。
运行平台
nt 4.0/win2000, solaris2.6以上,linux。
2.3 tripwire for routers
tripwire for routers(以下简称tfr)是业界第一个用于检查网络设备完整性的解决方案,tfr 能够在几秒钟内检查cisco 设备(运行ios的路由器和交换机)的运行配置(runn)及启动配置(start-up)的完整性,以保证这些设备处于“正确”状态,从而提高系统有效时间。
无论是有意或无意的网络设备配置变动,都将影响到网络运行的稳定性。不受控制的配置变动引起的网络故障经常需要有经验的网络管理员花很长的时间来确定故障原因。
tfr自动管理网络设备的完整性,其工作原理如下图所示:
1)为受管设备建立baseline。
2)周期性的检查设备运行配置和启动配置。
3)如果发现设备配置变化,生成检查报告,同时通过email发送该报告给网络管理员。配置文件的变动情况以与基线配置逐行比较的方式提供给网络管理员。
4)网管员对变动情况进行审计,如果是允许的变动更新设备配置基线;如果是未经许可的变动,网管员可立即恢复设备配置。
降低无效时间
tfr自动的快速配置检查和变动通知能力使网管员能够立即了解设备变动情况,从而使网管能够马上采取相应行动,降低网络无效时间。
手工和自动修复加速修复速度
网管员可以认可或拒绝设备配置变动。如果接收设备变动,tfr更新设备配置基线。如果配置为拒绝变动,tfr可自动恢复设备配置。
集中管理降低人力需求
tfr能够集中管理网络内所有的cisco路由器及交换机设备(运行ios),网管员可以从网络(控)中心集中控制所有设备的变动。
系统特征
安装快速简单,10分钟内即可工作。
完整性检查和恢复。
变动通知。
加密口令。
配置变动跟踪。
solaris 2.6, winnt,win2000。
北京宏基恒兴电子技术公司
hal@higinet.com.cn