V tomto článku se zaměřujeme na OSSEC, což je Open Source Host-based Intrusion Detection System (HIDS). Lze jej nainstalovat na Linux, Windows a MacOS. V tomto článku nainstalujeme OSSEC a webové rozhraní na distribuci Ubuntu. V našem případě bude klientem a serverem OSSEC linuxový stroj. Předpokládáme, že balíčky související s mysql a php jsou již nainstalovány. Poskytuje následující funkce.
- Provádí analýzu protokolu
- Kontrola integrity souboru
- Monitorování zásad
- Detekce rootkitu
- Upozorňování v reálném čase a
- Aktivní odpověď.
Instalace OSSEC
Nástroj OSSEC lze stáhnout z webové stránky OSSEC, která je znázorněna na obrázku. Stažený komprimovaný soubor lze použít jako server a klienta OSSEC. Režim server/klient vybraný během procesu instalace.
Nyní rozbalte soubor *.tar.gz pomocí následujícího příkazu a přejděte dovnitř, který je zobrazen níže.
#tar -xf ossec-hids-2.8.1.tar.gz
Spusťte soubor ./install.sh skript v terminálu, který vás vyzve k zadání následujících možností.
Instalace na straně OSSEC Server
Nejprve nainstalujeme nástroj OSSEC v serverovém režimu. Vyberte jazyk z výzvy zobrazené na následujícím obrázku. Toto okno bude stejné ve všech režimech instalace OSSEC.
Zobrazí se následující okno, které ukazuje detail systému, uživatele terminálu a název hostitele. Stisknutím klávesy Enter zahájíte proces instalace.
Zobrazuje následující instalační režimy/typy OSSEC na stroji.
1. Server
Je to centrální část nasazení OSSEC, která komunikuje s agenty/klienty. Server ukládá databáze pro kontrolu integrity souborů, události, protokoly a záznamy auditu systému. Ukládá také pravidla, dekodéry a hlavní možnosti konfigurace. Usnadňuje správu velkého počtu agentů.
2. Agent
V tomto režimu agent OSSEC posílal události, protokoly, záznamy auditu na server/správce...
3. Místní režim
Instalace v místním režimu je podobná instalaci serveru/agenta, kromě toho, že server je nakonfigurován tak, aby naslouchal komunikaci od agentů.
4. Hybridní
V tomto režimu funguje stejný hostitel jako server a klient/agent.
Režim serveru
V tomto článku nainstalujeme režimy klient/server OSSEC. Tento počítač (192.168.1.10) bude správcem nebo serverem a agent OSSEC bude na počítači 192.168.1.11.
1. Vyberte režim serveru z daných typů instalace, jak je znázorněno v následujícím okně.
2. Vyberte instalační adresář pro OSSEC HIDS. Ve výchozím nastavení je instalační cesta /var/ossec.
3. OSSEC poskytuje upozornění prostřednictvím e-mailu, což je důležitá funkce. Další možností je nastavení emailové a smtp adresy.
4. OSSEC má syscheck komponenta provádí pravidelnou kontrolu integrity libovolného nakonfigurovaného souboru (jako je /etc/password na linux ) nebo jakékoli položky registru na platformě Windows. Kontrola integrity je důležitou součástí HIDS, která detekuje změny v systému. OSSEC vypočítá hash (MD5/SHA1) souborů klíčů v systému a v registru Windows. Agent běžící na stroji pravidelně skenuje celý systém a posílá všechny hashe do centrálního OSSEC. Server je ukládá a průběžně sleduje případné změny na nich.
5. OSSEC poskytuje funkci pro detekci rootkitů pomocí Rootcheck, což je open source nástroj pro detekci rootkitů a audit systému. Nástroj Rootcheck prohledá celý systém a zjistí přítomnost známých/neznámých rootkitů. Kromě toho detekuje rootkity na úrovni jádra a kontroluje konfiguraci systému, zda neobsahuje nezabezpečené možnosti.
6. Funkce Active Response v rámci OSSEC může spouštět aplikace na agentovi nebo serveru v reakci na spouštěče, jako jsou konkrétní výstrahy nebo úrovně výstrah. Tato funkce pomáhá blokovat pokusy o přihlášení k počítači přes SSH pomocí iptables.
7. Pomocí této funkce server OSSEC odesílá výstrahy OSSEC (zaslané agenty) na centralizovaný server SYSLOG, jako je Alienvault. Jak je znázorněno na obrázku, OSSEC odešle protokoly auth.log, syslog, dpkg a apache na server SYSLOG.
8. Po výše uvedeném nastavení OSSEC vyzve ke spuštění instalace stisknutím tlačítka "ENTER", které je zobrazeno níže.
9. Před dokončením instalace zobrazuje několik informací, jako jsou podrobnosti o operačním systému, spouštění/zastavování skriptů OSSEC a cesta konfiguračního souboru OSSEC.
10. Stisknutím "ENTER" dokončíte instalaci OSSEC jako server. Na následujícím obrázku je znázorněno, že agenty lze přidat/odebrat pomocí 'manage_agents utility.
Instalace na straně klienta OSSEC
Nyní nainstalujeme instalaci klientského režimu OSSEC na agenta pro detekci integrity a root kit.
1. Vyberte režim agenta při instalaci OSSEC na servery a koncové hostitele.
2. Nastavte konfigurační cestu (/var/ossec je ve výchozím nastavení)
3. Zadejte IP adresu OSSEC serveru/správce (192.168.1.10)
4. Povolit funkci kontroly integrity OSSEC v klientském režimu.
5. Povolit funkce detekce rootkitů a aktivní odezvy
6. Stisknutím tlačítka "Enter" zahájíte proces instalace.
7. Následující okno ukazuje start/stop skripty a konfigurační cestu pro OSSEC. Stiskněte tlačítko "Enter" pro dokončení procesu instalace.
Závěr
V této části článku jsme nainstalovali open source nástroj HIDS, OSSEC na platformě Ubuntu. V další druhé části článku nakonfigurujeme OSSEC pro klienty založené na Windows a linux (přidání/výpis/smazání klienta, načítání klíčů ze serveru atd.). Klienti OSSEC potřebují klíče generované serverem OSSEC. Nakonec budeme OSSEC klient/server sledovat z webového rozhraní.