OSSEC 4 Conceitos O OSSEC é um HIDS (Host
Transcrição
OSSEC 4 Conceitos O OSSEC é um HIDS (Host
OSSEC 4 Conceitos O OSSEC é um HIDS (Host Instruision Detect Service – Serviço de Detecção de Intrusão baseado em Host) que tem muitas funcionalidades, ele tem a capacidade de trabalhar localmente, ou trabalhar em uma rede como cliente e servidor. Uma das grandes vantagens dos OSSEC é que trabalha com active-response, ou seja, para determinados tipos de ataques ele pode tomar algumas medidas como bloquear o IP que está atacando por um determinado tempo e mandar um e-mail alertando sobre o ocorrido. OSSEC (Open Source Host-based Intrusion Detection System) é uma ferramenta considerada o canivete suíço de sistemas de detecção de intruso. Com essa única ferramenta é possível fazer análise de logs, checar integridade de arquivos, monitorar administradores, detectar rootkits e obter alertas em tempo real. Dentre de todas essas funcionalidades, iremos aprender aqui como utilizar do processo Syscheck do OSSEC para a verificação de integridade de arquivos. Há 3 tipos de instalação do OSSEC, que são: - local: quando deseja monitorar somente um host, como um computador pessoal ou um pequeno servidor; - server: para monitorar um conjunto de hosts a opção é instalar o OSSEC em todas os computadores, escolhendo uma para ser o servidor OSSEC (na instalação escolhe-se a opção server), enquanto as outras serão seus clientes OSSEC, comumente chamadas de agentes (na instalação escolhe-se a opção agent); - e agents: neste caso os agentes verificam a integridade de seus arquivos localmente e enviam os resultados a máquina servidor. A ordem de instalação importa somente se o tipo de instalação escolhida for o server/agents. Informações sobre a instalação podem ser encontradas no link: http://www.ossec.net/doc/manual/installation/index.html 4.1 Instalção do OSSEC HIDS Server 1 – Fazer download dos fontes do OSSEC: # wget -c http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz 2 - Executar o arquivo install.sh para iniciar a instalação do Ossec : # cd ossec-hids-2.8.1.tar.gz # ./install.sh ** Para instalação em português, escolha [br]. ** 要使用中文进行安装, 请选择 [cn]. ** Fur eine deutsche Installation wohlen Sie [de]. ** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el]. ** For installation in English, choose [en]. ** Para instalar en Español , eliga [es]. ** Pour une installation en français, choisissez [fr] ** Per l’installazione in Italiano, scegli [it]. ** 日本語でインストールします.選択して下さい.[jp]. ** Voor installatie in het Nederlands, kies [nl]. ** Aby instalować w języku Polskim, wybierz [pl]. ** Для инструкций по установке на русском ,введите [ru]. ** Za instalaciju na srpskom, izaberi [sr]. ** Türkçe kurulum için seçin [tr]. (en/br/cn/de/el/es/fr/it/jp/nl/pl/ru/sr/tr) [en]: br [ Digite o idioma para instalação] - Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)? servidor [ Digite a opção 'servidor'] - Configurando o ambiente de instalação. Escolha onde instalar o OSSEC HIDS [/var/ossec]: [Pressione ENTER] - Configurando o OSSEC HIDS. Deseja receber notificações por e-mail? (s/n) [s]: [Pressione ENTER] - Qual é o seu endereço de e-mail? [email protected] [INFORME SEU EMAIL AQUI] - Seu servidor SMTP foi encontrado como: gmail-smtp-in.l.google.com. - Deseja usá-lo? (s/n) [s]: [Pressione ENTER] — Usando servidor SMTP: gmail-smtp-in.l.google.com. - Deseja habilitar o sistema de verificação de integridade? (s/n) [s]: [Pressione ENTER] - Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]: [Pressione ENTER] - Deseja habilitar o sistema de respostas automáticas? (s/n) [s]: n [ LEIA A NOTA SOBRE ESTE ITEM ] NOTA: O sistema de respostas automáticas por padrão pode habilitar o ‘host- deny’ e o ‘firewall-drop’. O primeiro adicionará um host ao /etc/hosts.deny e o segundo bloqueará o host no ‘iptables’ (se linux) ou no ipfilter (se Solaris, FreeBSD ou NetBSD). Eles podem ser usados para parar ‘SSHD brute force scans’, portscans e outras formas de ataque. Você pode também realizar bloqueios baseados nos alertas do snort, por exemplo. - Deseja habilitar o syslog remoto (514 udp)? (s/n) [s]: n [ Digite 'n' se não possuir um syslog remoto ] Ajustando a configuração para analisar os seguintes logs: – /var/log/messages – /var/log/auth.log – /var/log/syslog – /var/log/mail.info – /var/log/dpkg.log – /var/log/apache2/error.log (apache log) – /var/log/apache2/access.log (apache log) 4.2 Instalação do OSSEC-WUI (Web Interface) O Ossec-WUI é uma ferramenta web que centraliza as informações sobre o servidor do Ossec HIDS e de seus agentes. Ele possui informações em tempo real do alertas, estatísticas e etc. A instalação do Ossec-WUI ocorrerá na mesma máquina onde foi instalado o Ossec Server. 1- fazer download do código fonte da interface: # cd /opt # wget -c http://www.ossec.net/files/ui/ossec-wui-0.8.tar.gz 2 - Descompactar o arquivo baixado no diretório /var/www : # tar -xvf ossec-wui-0.8.tar.gz -C /var/www/ 3 - Acessar o diretório /var/www e renomei o diretório ossec-wui-0.3 : # cd /var/www/ # mv ossec-wui-0.8 ossec-wui 4 - Acessar o diretório ossec-wui e execute o arquivo setup.sh para inciar a instalação : # cd ossec-wui # ./setup.sh Setting up ossec ui... Username: admin [ Informe o nome do usuário ] New password: [ Digite uma senha ] Re-type new password: [ Repita a senha digitada anteriormente ] Adding password for user admin Setup completed successfuly. 5 - Adicionar o usuário do Apache ( www-data ) ao grupo ossec : # adduser www-data ossec 6 - No diretório /var/www/ossec-wui alterar as permissões e o grupo do diretório tmp: # chmod 770 tmp/ # chgrp www-data tmp/ 7 - Editar o arquivo /etc/php5/apache2/php.ini e alterar os valores a seguir: # vim /etc/php5/apache2/php.ini max_execution_time = 180 max_input_time = 180 memory_limit = 30M 8 - Reiniciar o Apache : # apache2ctl restart 9 – No navegador acessar o servidor: http://localhost/ossec-wui
Documentos relacionados
Final - coint
Sistemas para a Internet) – Programa de Graduação em Tecnologia em Sistemas para Internet, Universidade Tecnológica Federal de do Paraná. Campo Mourão, 2013. Este trabalho aborda as técnicas antifo...
Leia maisferramentas de respostas a incidentes de segurança - PoP
Instalando o OSSEC como servidor.......................................................................................................81 Configurando Clientes (Agentes) ..............................
Leia mais