Cómo instalar OSSEC Server-Client en Ubuntu – Parte 1
En este artículo, nuestro enfoque es OSSEC, que es un sistema de detección de intrusiones (HIDS) basado en host de código abierto. Se puede instalar en Linux, Windows y MacOS. En este artículo, instalaremos OSSEC y la interfaz web en la distribución de Ubuntu. En nuestro caso, el cliente y el servidor de OSSEC será una máquina Linux. Suponemos que los paquetes relacionados con mysql y php ya están instalados. Proporciona las siguientes características.
- Realiza análisis de registros
- Comprobación de la integridad de los archivos
- Monitoreo de políticas
- Detección de rootkit
- Alertas en tiempo real y
- Respuesta activa.
Instalación de OSSEC
La herramienta OSSEC puede descargar desde OSSEC sitio web que se muestra en la figura. El archivo comprimido descargado se puede utilizar como servidor y cliente de OSSEC. Modo servidor / cliente seleccionado durante el proceso de instalación.
Ahora extraiga el archivo * .tar.gz con el siguiente comando y entre, que se muestra a continuación.
#tar -xf ossec-hids-2.8.1.tar.gz
Ejecutar el ./install.sh script en la terminal que le pedirá las siguientes opciones.
Instalación del lado del servidor OSSEC
En primer lugar, instalaremos la herramienta OSSEC en modo servidor. Seleccione el idioma del indicador que se muestra en la siguiente figura. Esta ventana será la misma en todos los modos de instalación de OSSEC.
Aparece la siguiente ventana que muestra los detalles del sistema, el usuario del terminal y el nombre de host. Presione enter para iniciar el proceso de instalación.
Muestra los siguientes modos / tipos de instalación de OSSEC en la máquina.
1. Servidor
Es la pieza central del despliegue de OSSEC que interactúa con los agentes / cliente. El servidor almacena las bases de datos para la verificación de la integridad de los archivos, los eventos, los registros y las entradas de auditoría del sistema. También almacena reglas, decodificadores y las principales opciones de configuración. Facilita la administración de una gran cantidad de agentes.
2. Agente
En este modo, el agente OSSEC envió eventos, registros, entradas de auditoría al servidor / administrador …
3. Modo local
La instalación en modo local es similar a la instalación del servidor / agente, excepto que el servidor está configurado para escuchar la comunicación de los agentes.
4. Híbrido
En este modo, el mismo host actúa como servidor y cliente / agente.
Modo servidor
En este artículo, instalaremos los modos cliente / servidor de OSSEC. Esta máquina (192.168.1.10) será el administrador o servidor y el agente OSSEC estará en la máquina 192.168.1.11.
1. Seleccione el modo de servidor de los tipos de instalación dados como se muestra en la siguiente ventana.
2. Seleccione el directorio de instalación para OSSEC HIDS. De forma predeterminada, la ruta de instalación es / var / ossec.
3. OSSEC proporciona una notificación por correo electrónico, que es una característica importante. La siguiente opción es para configurar el correo electrónico y la dirección smtp.
4. OSSEC tiene syscheck El componente realiza la verificación periódica de integridad de cualquier archivo configurado (como / etc / password en Linux) o cualquier entrada de registro en la plataforma Windows. La verificación de integridad es una parte importante de HIDS que detecta cambios en el sistema. OSSEC calcula el hash (MD5 / SHA1) de los archivos clave en el sistema y en el registro de Windows. El agente que se ejecuta en la máquina, escanea periódicamente el sistema completo y envía todos los hashes al OSSEC central. El servidor los almacena y observa continuamente cualquier modificación en ellos.
5. OSSEC proporciona la función para la detección de rootkit utilizando Rootcheck, que es una herramienta de código abierto para la detección de rootkit y la auditoría del sistema. La herramienta Rootcheck escanea todo el sistema y detecta la presencia de rootkits conocidos / desconocidos. Además de eso, detecta rootkits a nivel de kernel y verifica la configuración del sistema en busca de opciones inseguras.
6. La función de respuesta activa dentro de OSSEC puede ejecutar aplicaciones en un agente o servidor en respuesta a desencadenantes tales como alertas específicas, niveles de alerta. Esta función ayuda a bloquear los intentos de inicio de sesión en la máquina a través de SSH utilizando iptables.
7. Al utilizar esta función, el servidor OSSEC envía las alertas OSSEC (enviadas por los agentes) al servidor SYSLOG centralizado como Alienvault. Como se muestra en la figura, OSSEC enviará los registros auth.log, syslog, dpkg y apache al servidor SYSLOG.
8. Después de la configuración anterior, OSSEC solicita iniciar la instalación presionando el botón «ENTER» que se muestra a continuación.
9. Antes de que se complete la instalación, muestra poca información, como el detalle del sistema operativo, el inicio / detención de los scripts OSSEC y la ruta del archivo de configuración OSSEC.
10. Al presionar «ENTER» finalizará la instalación de OSSEC como servidor. En la siguiente figura se muestra que los agentes se pueden agregar / eliminar usando ‘administrar_agentes utilidad.
Instalación del lado del cliente de OSSEC
Ahora instalaremos la instalación en modo cliente de OSSEC en un agente para la detección de integridad y rootkit.
1. Seleccione el modo de agente durante la instalación de OSSEC en máquinas servidor y hosts finales.
2. Establecer la ruta de configuración (/ var / ossec es por defecto)
3. Ingrese la dirección IP del servidor / administrador OSSEC (192.168.1.10)
4. Habilite la función de verificación de integridad de OSSEC en modo cliente.
5. Habilite las funciones de respuesta activa y detección de rootkit
6. Presione el botón «Enter» para iniciar el proceso de instalación.
7. La siguiente ventana muestra los scripts de inicio / parada y la ruta de configuración para OSSEC. Presione el botón «Enter» para completar el proceso de instalación.
Conclusión
En esta parte del artículo, hemos instalado la herramienta HIDS de código abierto, OSSEC en la plataforma Ubuntu. En la siguiente segunda parte del artículo, configuraremos OSSEC para clientes basados en Windows y Linux (adición / listado / eliminación del cliente, obtención de claves del servidor, etc.). Los clientes OSSEC necesitan claves generadas por el servidor OSSEC. Al final, supervisaremos el cliente / servidor OSSEC desde la interfaz web.