OSSEC

OSSEC es un detector de intrusos basado en nodo (HIDS, Host-based Intrusion Detection System) open source que lleva a cabo las siguientes funciones: análisis de registros, comprobación de integridad, detección de rootkits, alertas basadas en secuencias temporales y respuesta activa , capaz de ejecutarse en cliente/servidor y que funciona en Windows, Linux, MacOs. Es una especie de evolución de Tripwire. Otra de las ventajas que presenta OSSEC es que la base de datos de firmas MD5 no se almacena en el equipo cliente, sino que se lleva a un servidor centralizado, por lo que si un cliente queda comprometido, las firmas no quedan comprometidas.

Para configurar los equipos linux con el Agente de OSSEC se seguirán la siguiente secuencia de pasos:

  1. Conectarse por SSH al servidor OSSEC de la sonda donde conectaremos el cliente, como root.
  2. Desde la consola del servidor OSSEC, ejecutaremos el comando /var/ossec/bin/manage_agents, y luego nos aparecerá un menú de opciones, donde lo que tenemos que hacer es dar de alta un nuevo agente (A) y luego extraer la clave para él (E). Pasa salir(Q). Cuando nos muestre la clave la copiaremos en un fichero, para poder importarla en el cliente: 
    ****************************************
    * OSSEC HIDS v2.1 Agent manager.
    *
    * The following options are available: *
    ****************************************
    (A)dd an agent (A).
    (E)xtract key for an agent (E).
    (L)ist already added agents (L).
    (R)emove an agent (R).
    (Q)uit.
  3. De vuelta a la consola del servidor, reiniciaremos el servicio... 
    /etc/init.d/ossec restart

Ahora el siguiente paso será instalar el cliente OSSEC en el equipo que queremos monitorizar, e importar esta clave, para que hable con nuestro servidor Ossec.
  1. Conectarse por SSH al cliente OSSEC como root.
  2. Descargar e instalar el agente en nuestro sistema
  3. Desde la consola del ejecutar el comando /var/ossec/bin/manage_agents, y luego nos aparecerá un menú de opciones, donde lo que tenemos que hacer es importar la clave(I). que habríamos copiado desde el servidor OSSEC. Para salir(Q).
  4. De vuelta a la consola del servidor, reiniciaremos el servicio... 
    /etc/init.d/ossec restart

Podemos ver los logs entre el servidor y en el cliente con ejcutando el comando: 
tail -f /var/ossec/logs/ossec.log

De vuelta a nuestro servidor, podemos instalar ossec-Web-UI, descargándolo de la Web y luego ejecutar los siguientes comandos para instalarlo: 
cd /var/www
tar -xzvf /opt/ossec-wui-0.3.tar.gz
mv ossec-wui-0.3 ossec-wui
bash setup.sh

... cuando nos pregunte responder username=admin y contraseña=pokemon. 
usermod -G ossec www-data
/etc/init.d/apache2 restart

Acceder desde el navegador a: http://NUESTRO_SERVIDOR/ossec-wui/

Publicado por Ignacio Barrancos en jueves, diciembre 30, 2010

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)