Développé en 1992, Tripwire a été téléchargé à plus de un million d’exemplaires, et compte déjà 250 000 utilisations actives. Son éditeur vient d’en lancer la version 2.4, qui comprend d’importantes améliorations, notamment pour le déploiement et la gestion de grands réseaux. Parallèlement, Tripwire s’installe en France, où Jean-Charles Barbou prend les rennes de la branche Europe du Sud.
Quatre algorithmes de hachage utilisables
Cet outil vérifie de manière précise que les données – fichiers systèmes, base de registre de Windows NT et 2000, pages Web d’un serveur HTTP, fichiers de configuration ou de données ” pures ” – n’ont pas été altérées. Il est capable d’agir sur quatorze attributs de fichiers sur les systèmes de fichiers Unix (numéro I-node, User ID, Group ID) et sur vingt-quatre attributs sur le système de fichiers NTFS (NTFS Compress Flag, Hidden Flag, Offline Flag, etc.) de Windows NT et 2000. Tripwire sera en mesure d’avertir immédiatement l’administrateur si un hacker installe un backdoor représenté par un exécutable du même nom et de la même taille qu’un fichier bien connu. Quatre algorithmes de hachage peuvent être utilisés : CRC-32 (obsolète), MD-5, SHA-1 et Haval. On peut en employer un seul, mais les plus paranoïaques pourront les combiner.La version 2.4 de Tripwire induit aussi un changement de noms. Tripwire HQ Manager devient Tripwire Manager 2.4 et HQ Connecter, Tripwire for Servers (TFS) 2.4.Tripwire Manager a été testé avec deux mille cinq cents agents gérés, une configuration qui n’est évidemment pas à recommander, mais qui montre la montée en puissance du logiciel. C’est aussi un moyen de séduire les NOC (Network operating centers) ou les hébergeurs qui ne souhaitent pas que les pages Web des serveurs de leurs clients soient modifiées à leur insu.
Une signature 1 024 bits
TFS a la plus grande charge de travail. La base de données, qui repose sur le serveur Manager, est chiffrée, de même que le trafic entre le Manager et TFS. La base de données met en ?”uvre le système El Gamal avec une signature 1 024 bits. La sécurisation de la connexion entre le Manager et TFS s’appuie sur la technologie SSL (Secure socket layer), avec un chiffrement Triple DES à 168 bits. Ces niveaux de sécurité n’existent pas en freeware.Tripwire a ses contraintes. Carole Fennly, consultante en sécurité et administratrice Unix, fournit un exemple avec l’usage de fsdb (File system debugger) pour réinitialiser les attributs de fichiers tels que ctime afin de résoudre un problème avec une application de sauvegarde. Le recours au fsdb peut ouvrir une faille de sécurité, puisque Tripwire ne détectera pas les modifications de l’i-node du fichier.Mais, pour Jean-Charles Barbou, il suffit de surveiller le fsdb en le mettant en mode lecture seule et de vérifier cet attribut. Comme pour tout produit de sécurité, la politique globale en ce domaine et sa mise en ?”uvre sont les éléments clés, les outils n’étant jamais qu’une aide.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
