In questo articolo il nostro obiettivo è OSSEC, un sistema di rilevamento delle intrusioni (HIDS) basato su host open source. Può essere installato su Linux, Windows e MacOS. In questo articolo, installeremo OSSEC e l'interfaccia web sulla distribuzione Ubuntu. Nel nostro caso, client e server di OSSEC saranno macchine Linux. Assumiamo che i pacchetti relativi a mysql e php siano già installati. Fornisce le seguenti funzionalità.
- Esegue l'analisi del registro
- Controllo dell'integrità dei file
- Monitoraggio delle politiche
- Rilevamento del rootkit
- Avvisi in tempo reale e
- Risposta attiva.
Installazione OSSEC
Lo strumento OSSEC può essere scaricato dal sito Web OSSEC mostrato nella figura. Il file compresso scaricato può essere utilizzato come server e client di OSSEC. Modalità server/client selezionata durante il processo di installazione.
Ora estrai il file *.tar.gz con il seguente comando e vai all'interno di quello mostrato di seguito.
#tar -xf ossec-hids-2.8.1.tar.gz
Esegui ./install.sh script nel terminale che richiederà le seguenti opzioni.
Installazione lato server OSSEC
Prima di tutto, installeremo lo strumento OSSEC in modalità server. Selezionare la lingua dal prompt mostrato nella figura seguente. Questa finestra sarà la stessa in tutte le modalità di installazione di OSSEC.
Viene visualizzata la seguente finestra che mostra i dettagli del sistema, l'utente del terminale e il nome host. Premi Invio per avviare il processo di installazione.
Mostra le seguenti modalità/tipi di installazione di OSSEC sulla macchina.
1. Server
È il pezzo centrale della distribuzione OSSEC che interagisce con agenti/client. Il server archivia i database per il controllo dell'integrità dei file, gli eventi, i registri e le voci di controllo del sistema. Memorizza anche regole, decodificatori e le principali opzioni di configurazione. Semplifica la gestione di un gran numero di agenti.
2. Agente
In questa modalità, l'agente OSSEC ha inviato eventi, registri, voci di controllo al server/gestore..
3. Modalità locale
L'installazione in modalità locale è simile all'installazione del server/agente, tranne per il fatto che il server è configurato per ascoltare la comunicazione dagli agenti.
4. Ibrido
In questa modalità, lo stesso host funge da server e client/agent.
Modalità server
In questo articolo, installeremo le modalità client/server di OSSEC. Questa macchina (192.168.1.10) sarà il gestore o il server e l'agente OSSEC sarà sulla macchina 192.168.1.11.
1. Seleziona la modalità server dai tipi di installazione indicati come mostrato nella finestra seguente.
2. Selezionare la directory di installazione per OSSEC HIDS. Per impostazione predefinita, il percorso di installazione è /var/ossec.
3. OSSEC fornisce la notifica via e-mail che è una caratteristica importante. La prossima opzione è per l'impostazione dell'e-mail e dell'indirizzo smtp.
4. OSSEC ha syscheck componente esegue il controllo periodico dell'integrità di qualsiasi file configurato (come /etc/password su linux ) o di qualsiasi voce di registro su piattaforma Windows. Il controllo dell'integrità è una parte importante di HIDS che rileva i cambiamenti nel sistema. OSSEC calcola l'hash (MD5/SHA1) dei file chiave nel sistema e nel registro di Windows. L'agente in esecuzione sulla macchina, scansiona periodicamente l'intero sistema e invia tutti gli hash all'OSSEC centrale. Il server li memorizza e controlla continuamente eventuali modifiche su di essi.
5. OSSEC fornisce la funzionalità per il rilevamento dei rootkit utilizzando Rootcheck, uno strumento open source per il rilevamento dei rootkit e il controllo del sistema. Lo strumento Rootcheck esegue la scansione dell'intero sistema e rileva la presenza di rootkit noti/sconosciuti. In aggiunta a ciò, rileva i rootkit a livello di kernel e controlla la configurazione del sistema per le opzioni non sicure.
6. La funzione di risposta attiva all'interno di OSSEC può eseguire applicazioni su un agente o un server in risposta a trigger quali avvisi specifici, livelli di avviso. Questa funzione aiuta a bloccare i tentativi di accesso sulla macchina tramite SSH utilizzando iptables.
7. Utilizzando questa funzione, il server OSSEC invia gli avvisi OSSEC (inviati dagli agenti) al server SYSLOG centralizzato come Alienvault. Come mostrato nella figura, OSSEC invierà i log auth.log, syslog, dpkg e apache al server SYSLOG.
8. Dopo l'impostazione precedente, OSSEC richiede di avviare l'installazione premendo il pulsante "INVIO" mostrato di seguito.
9. Prima del completamento dell'installazione, mostra alcune informazioni come i dettagli del sistema operativo, l'avvio/arresto degli script OSSEC e il percorso del file di configurazione OSSEC.
10. Premendo "ENTER" si concluderà l'installazione di OSSEC come Server. Nella figura seguente viene mostrato che è possibile aggiungere/rimuovere agenti utilizzando 'manage_agents utilità.
Installazione OSSEC lato client
Ora installeremo l'installazione in modalità client OSSEC su un agente per l'integrità e il rilevamento del root kit.
1. Seleziona la modalità agente durante l'installazione di OSSEC su macchine server e host finali.
2. Imposta il percorso di configurazione (/var/ossec è predefinito)
3. Immettere l'indirizzo IP del server/gestore OSSEC (192.168.1.10)
4. Abilita la funzione di controllo dell'integrità di OSSEC in modalità client.
5. Abilita le funzioni di rilevamento rootkit e risposta attiva
6. Premi il pulsante "Invio" per avviare il processo di installazione.
7. La finestra seguente mostra gli script di avvio/arresto e il percorso di configurazione per OSSEC. Premi il pulsante "Invio" per completare il processo di installazione.
Conclusione
In questa parte dell'articolo abbiamo installato lo strumento HIDS open source, OSSEC su piattaforma Ubuntu. Nella seconda parte successiva dell'articolo configureremo OSSEC per client basati su Windows e Linux (aggiunta/elenco/cancellazione di client, recupero di chiavi dal server ecc.). I client OSSEC necessitano di chiavi generate dal server OSSEC. Alla fine, controlleremo il client/server OSSEC dall'interfaccia web.