Monitorando Host através de comportamento via OSSEC



Introdução

OSSEC é um sistema livre, de código aberto baseado em host de detecção de intrusão (HIDS). Realiza a análise de log, checagem de integridade, monitoramento do registro do Windows, detecção de rootkit, alerta baseado em tempo, e a resposta ativa. Ele fornece detecção de intrusão para a maioria dos sistemas operacionais, incluindo Linux, OpenBSD, FreeBSD, Mac OS X, Solaris e Windows. OSSEC tem uma arquitetura multi-plataforma centralizada permitindo que vários sistemas que podem ser facilmente monitorados e gerenciados.


O HIDS agregam uma série de vantagens por exemplo, podem impedir que ataques resultem em danos. Se um arquivo malicioso tentar reescrever um arquivo, o HID pode limitar seus privilégios e colocá-lo em quarentena. Os HIDs podem proteger notebooks ao serem retirados de uma rede e levados para o campo. Em última análise, os HIDs são uma ferramenta de "última linha de defesa", utilizada para repelir os ataques não detectados pelo NID.

Instalação


Faça o Download da VM no site oficial




wget http://www.ossec.net/files/ossec-virtual-appliance.tar.gz


Após o download finalizado descomprima a pasta:




tar -zxvf ossec_virtual_appliance.tar.gz
Acesse e verifique se os arquivos estão dentro da pasta abaixo:




cd ossec_virtual_appliance/


Execute o procedimento de importação padrão de VM para o hypervisor utilizado no local de implantação.


Inicie a VM


Login e Senha padrão para a utilização:




Login: USER / ROOT / OSSEC Web UI e phpMyAdmin
Senha: _0ssec_


Acesse o servidor como Root e altere a placa de rede para as configurações da rede interna.


Verifique se a plataforma web está funcional, acesse pelo browser o caminho abaixo:




http://ip_do_servidor/ossec-wui/


Login: user
Senha: _0ssec_


Ao conseguir acessar a plataforma web teremos a confirmação que o Servidor foi instalado corretamente.



Instalação do Agente HIDS em Linux


apt-get -y install build-essentials

cd /usr/src
wget http://www.ossec.net/files/ossec-hids-2.7.tar.gz


Descompacte o arquivo após o download finalizado:


tar -xzvf ossec-hids-2.7.tar.gz

cd ./ossec-hids-2.7


Execute a instalação:


/bin/bash ./install.sh


Escolha o idioma:


br
Informações do sistema serão mostradas em tela, confirme com o “Enter”.



Selecione o tipo de instalação:


Agente ou Cliente
Escolha o diretório da instalação e confirme com o “Enter”:


/var/ossec
Configure o IP do servidor do OSSEC:


IP do Servidor
Confirme a opção de avaliação de Integridade:


y
Confirme a opção de Detecção de Rootkit:


y
Confirme a opção de Resposta Ativa(Active-Response)


y
Aguarde a instalação terminar e reinicie o agente:


/var/ossec/bin/ossec-control stop


/var/ossec/bin/ossec-control start
Acesse o controle para a importação da chave:


/var/ossec/bin/manage_agents
Selecione a opção de Importar:


I



Acesse o servidor, abra um terminal e execute os comandos abaixo como root:


/var/ossec/bin/manage_agents


Adicione o agente:




A


Insira o IP do Servidor do agente instalado:




IP_do_Agente


Selecione um ID para o agente remoto: (O software irá indicar o próximo ID disponível, caso o administrador exclua um agente o ID de referência ficará inutilizado.



Extraia a chave para o Agente adicionado:




E


Aparecerá a lista de agentes, selecione o ID e copie a saída da chave.




No Servidor Linux que o agente foi instalado


Cole a chave copiada do servidor, será solicitada a confirmação das informações como abaixo:




### Informação do Agente
### ID:
### Nome:
### Endereço de IP:


Confirme a adição do agente:




y


Reinicie os agentes do servidor e do cliente com o comando abaixo como “root”.




/var/ossec/bin/ossec-control stop


/var/ossec/bin/ossec-control start
Instalação do Agente HIDS em Windows



Faça o Download do arquivo abaixo no Windows a ser monitorado:




http://www.ossec.net/files/ossec-agent-win32-2.7.1.exe
Execute o arquivo como administrador;
Aceite a licença;
Confirme todos os componentes;
Confirme o caminho da instalação;
Ao finalizar selecione a opção executar o agente.


Acesse o servidor, abra um terminal e execute os comandos abaixo como root:




/var/ossec/bin/manage_agents


Adicione o agente:




A


Insira o IP do Servidor do agente instalado:




IP_do_Agente


Selecione um ID para o agente remoto: (O software irá indicar o próximo ID disponível, caso o administrador exclua um agente o ID de referência ficará inutilizado.



Extraia a chave para o Agente adicionado:




E


Aparecerá a lista de agentes, selecione o ID e copie a saída da chave.




No Servidor Windows que o agente foi instalado


Insira o IP do servidor OSSEC e copie a chave na caixa adequada.
Verifique e Confirme as informações da chave importada.
Acesse na barra de ferramentas “”View” e a opção “View Config”


Modifique a tag conforme abaixo:



<active-response>
<disabled>yes<disabled>
</active-response>

Postagens mais visitadas deste blog

Logrotate

Email Temporario

Cartão de Visita com Inkscape