OSSEC 4 Conceitos O OSSEC é um HIDS (Host

OSSEC
4 Conceitos
O OSSEC é um HIDS (Host Instruision Detect Service – Serviço de Detecção de Intrusão
baseado em Host) que tem muitas funcionalidades, ele tem a capacidade de trabalhar localmente, ou
trabalhar em uma rede como cliente e servidor. Uma das grandes vantagens dos OSSEC é que
trabalha com active-response, ou seja, para determinados tipos de ataques ele pode tomar algumas
medidas como bloquear o IP que está atacando por um determinado tempo e mandar um e-mail
alertando sobre o ocorrido.
OSSEC (Open Source Host-based Intrusion Detection System) é uma ferramenta
considerada o canivete suíço de sistemas de detecção de intruso. Com essa única ferramenta é
possível fazer análise de logs, checar integridade de arquivos, monitorar administradores, detectar
rootkits e obter alertas em tempo real. Dentre de todas essas funcionalidades, iremos aprender aqui
como utilizar do processo Syscheck do OSSEC para a verificação de integridade de arquivos.
Há 3 tipos de instalação do OSSEC, que são:
- local: quando deseja monitorar somente um host, como um computador pessoal ou um
pequeno servidor;
- server: para monitorar um conjunto de hosts a opção é instalar o OSSEC em todas os
computadores, escolhendo uma para ser o servidor OSSEC (na instalação escolhe-se a opção
server), enquanto as outras serão seus clientes OSSEC, comumente chamadas de agentes (na
instalação escolhe-se a opção agent);
- e agents: neste caso os agentes verificam a integridade de seus arquivos localmente e
enviam os resultados a máquina servidor. A ordem de instalação importa somente se o tipo de
instalação escolhida for o server/agents.
Informações sobre a instalação podem ser encontradas no link:
http://www.ossec.net/doc/manual/installation/index.html
4.1 Instalção do OSSEC HIDS Server
1 – Fazer download dos fontes do OSSEC:
# wget -c http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz
2 - Executar o arquivo install.sh para iniciar a instalação do Ossec :
# cd ossec-hids-2.8.1.tar.gz
# ./install.sh
** Para instalação em português, escolha [br].
** 要使用中文进行安装, 请选择 [cn].
** Fur eine deutsche Installation wohlen Sie [de].
** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
** For installation in English, choose [en].
** Para instalar en Español , eliga [es].
** Pour une installation en français, choisissez [fr]
** Per l’installazione in Italiano, scegli [it].
** 日本語でインストールします.選択して下さい.[jp].
** Voor installatie in het Nederlands, kies [nl].
** Aby instalować w języku Polskim, wybierz [pl].
** Для инструкций по установке на русском ,введите [ru].
** Za instalaciju na srpskom, izaberi [sr].
** Türkçe kurulum için seçin [tr].
(en/br/cn/de/el/es/fr/it/jp/nl/pl/ru/sr/tr) [en]: br [ Digite o idioma para
instalação]
- Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)? servidor [ Digite a
opção 'servidor']
- Configurando o ambiente de instalação.
Escolha onde instalar o OSSEC HIDS [/var/ossec]: [Pressione ENTER]
- Configurando o OSSEC HIDS.
Deseja receber notificações por e-mail? (s/n) [s]: [Pressione ENTER]
- Qual é o seu endereço de e-mail? [email protected] [INFORME SEU
EMAIL AQUI]
- Seu servidor SMTP foi encontrado como: gmail-smtp-in.l.google.com.
- Deseja usá-lo? (s/n) [s]: [Pressione ENTER]
— Usando servidor SMTP: gmail-smtp-in.l.google.com.
- Deseja habilitar o sistema de verificação de integridade? (s/n) [s]: [Pressione ENTER]
- Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]: [Pressione ENTER]
- Deseja habilitar o sistema de respostas automáticas? (s/n) [s]: n [ LEIA A NOTA SOBRE
ESTE ITEM ]
NOTA: O sistema de respostas automáticas por padrão pode habilitar o ‘host- deny’ e o
‘firewall-drop’. O primeiro adicionará um host ao /etc/hosts.deny e o segundo bloqueará o host no
‘iptables’ (se linux) ou no ipfilter (se Solaris, FreeBSD ou NetBSD). Eles podem ser usados para
parar ‘SSHD brute force scans’, portscans e outras formas de ataque. Você pode também realizar
bloqueios baseados nos alertas do snort, por exemplo.
- Deseja habilitar o syslog remoto (514 udp)? (s/n) [s]: n [ Digite 'n' se não possuir um
syslog remoto ]
Ajustando a configuração para analisar os seguintes logs:
– /var/log/messages
– /var/log/auth.log
– /var/log/syslog
– /var/log/mail.info
– /var/log/dpkg.log
– /var/log/apache2/error.log (apache log)
– /var/log/apache2/access.log (apache log)
4.2 Instalação do OSSEC-WUI (Web Interface)
O Ossec-WUI é uma ferramenta web que centraliza as informações sobre o servidor do
Ossec HIDS e de seus agentes. Ele possui informações em tempo real do alertas, estatísticas e etc.
A instalação do Ossec-WUI ocorrerá na mesma máquina onde foi instalado o Ossec Server.
1- fazer download do código fonte da interface:
# cd /opt
# wget -c http://www.ossec.net/files/ui/ossec-wui-0.8.tar.gz
2 - Descompactar o arquivo baixado no diretório /var/www :
# tar -xvf ossec-wui-0.8.tar.gz -C /var/www/
3 - Acessar o diretório /var/www e renomei o diretório ossec-wui-0.3 :
# cd /var/www/
# mv ossec-wui-0.8 ossec-wui
4 - Acessar o diretório ossec-wui e execute o arquivo setup.sh para inciar a instalação :
# cd ossec-wui
# ./setup.sh
Setting up ossec ui...
Username: admin [ Informe o nome do usuário ]
New password: [ Digite uma senha ]
Re-type new password: [ Repita a senha digitada anteriormente ]
Adding password for user admin
Setup completed successfuly.
5 - Adicionar o usuário do Apache ( www-data ) ao grupo ossec :
# adduser www-data ossec
6 - No diretório /var/www/ossec-wui alterar as permissões e o grupo do diretório tmp:
# chmod 770 tmp/
# chgrp www-data tmp/
7 - Editar o arquivo /etc/php5/apache2/php.ini e alterar os valores a seguir:
# vim /etc/php5/apache2/php.ini
max_execution_time = 180
max_input_time = 180
memory_limit = 30M
8 - Reiniciar o Apache :
# apache2ctl restart
9 – No navegador acessar o servidor:
http://localhost/ossec-wui