Cómo instalar OSSEC Server-Client en Ubuntu - Parte 1

En este artículo, nuestro enfoque es OSSEC, que es un sistema de detección de intrusos basado en host (HIDS) de código abierto. Se puede instalar en Linux, Windows y MacOS. En este artículo, instalaremos OSSEC y la interfaz web en la distribución de Ubuntu. En nuestro caso, cliente y servidor de OSSEC será una máquina linux. Suponemos que los paquetes relacionados con mysql y php ya están instalados. Proporciona las siguientes características.

• Realiza análisis de registros
• Comprobación de integridad de archivos
• Supervisión de políticas
• Detección de rootkits
• Alertas en tiempo real y
• Respuesta activa.

Instalación OSSEC

La herramienta OSSEC se puede descargar desde el sitio web de OSSEC que se muestra en la figura. El archivo comprimido descargado se puede utilizar como servidor y cliente de OSSEC. Modo servidor/cliente seleccionado durante el proceso de instalación.

Ahora extraiga el archivo *.tar.gz con el siguiente comando y acceda al interior que se muestra a continuación.

#tar -xf ossec-hids-2.8.1.tar.gz

Ejecute ./install.sh script en la terminal que solicitará las siguientes opciones.

Instalación del lado del servidor OSSEC

En primer lugar, instalaremos la herramienta OSSEC en modo servidor. Seleccione el idioma desde el mensaje que se muestra en la siguiente figura. Esta ventana será la misma en todos los modos de instalación de OSSEC.

Aparece la siguiente ventana que muestra los detalles del sistema, el usuario del terminal y el nombre de host. Presiona enter para iniciar el proceso de instalación.

Muestra los siguientes modos/tipos de instalación de OSSEC en la máquina.

1. Servidor

Es la pieza central del despliegue OSSEC que interactúa con los agentes/cliente. El servidor almacena las bases de datos para la comprobación de la integridad de los archivos, los eventos, los registros y las entradas de auditoría del sistema. También almacena reglas, decodificadores y las principales opciones de configuración. Facilita la administración de un gran número de agentes.

2. Agente

En este modo, el agente OSSEC enviaba eventos, registros, entradas de auditoría al servidor/administrador...

3. Modo local

La instalación en modo local es similar a la instalación del servidor/agente, excepto que el servidor está configurado para escuchar la comunicación de los agentes.

4. Híbrido

En este modo, el mismo host actúa como servidor y cliente/agente.

Modo servidor

En este artículo, instalaremos los modos cliente/servidor de OSSEC. Esta máquina (192.168.1.10) será el administrador o servidor y el agente OSSEC estará en la máquina 192.168.1.11.

1. Seleccione el modo de servidor de los tipos de instalación dados como se muestra en la siguiente ventana.

2. Seleccione el directorio de instalación para OSSEC HIDS. De forma predeterminada, la ruta de instalación es /var/ossec.

3. OSSEC proporciona notificación por correo electrónico, lo cual es una característica importante. La siguiente opción es para la configuración de la dirección de correo electrónico y smtp.

4. OSSEC tiene syscheck El componente realiza la verificación periódica de la integridad de cualquier archivo configurado (como /etc/password en Linux) o cualquier entrada de registro en la plataforma Windows. La verificación de integridad es una parte importante de HIDS que detecta cambios en el sistema. OSSEC calcula el hash (MD5/SHA1) de los archivos clave en el sistema y en el registro de Windows. El agente que se ejecuta en la máquina escanea periódicamente el sistema completo y envía todos los hash al OSSEC central. El servidor los almacena y observa continuamente cualquier modificación en ellos.

5. OSSEC proporciona la función para la detección de rootkits mediante Rootcheck, que es una herramienta de código abierto para la detección de rootkits y la auditoría del sistema. La herramienta Rootcheck escanea todo el sistema y detecta la presencia de rootkits conocidos/desconocidos. Además de eso, detecta rootkits a nivel de kernel y comprueba la configuración del sistema en busca de opciones inseguras.

6. La función de respuesta activa dentro de OSSEC puede ejecutar aplicaciones en un agente o servidor en respuesta a desencadenantes como alertas específicas, niveles de alerta. Esta característica ayuda a bloquear los intentos de inicio de sesión en la máquina a través de SSH usando iptables.

7. Con esta función, el servidor OSSEC envía las alertas OSSEC (enviadas por los agentes) al servidor SYSLOG centralizado como Alienvault. Como se muestra en la figura, OSSEC enviará registros auth.log, syslog, dpkg y apache al servidor SYSLOG.

8. Después de la configuración anterior, OSSEC solicita que comience la instalación presionando el botón "ENTRAR" que se muestra a continuación.

9. Antes de completar la instalación, muestra poca información, como los detalles del sistema operativo, iniciar/detener los scripts OSSEC y la ruta del archivo de configuración OSSEC.

10. Al presionar "ENTER" finalizará la instalación de OSSEC como Servidor. En la siguiente figura se muestra que los agentes se pueden agregar/eliminar usando 'manage_agents utilidad.

Instalación del lado del cliente OSSEC

Ahora instalaremos la instalación del modo de cliente OSSEC en un agente para la integridad y la detección de rootkits.

1. Seleccione el modo de agente durante la instalación de OSSEC en las máquinas del servidor y los hosts finales.

2. Establezca la ruta de configuración (/var/ossec es la predeterminada)

3. Ingrese la dirección IP del servidor/administrador OSSEC (192.168.1.10)

4. Habilite la función de verificación de integridad de OSSEC en modo cliente.

5. Habilite las funciones de detección de rootkits y respuesta activa

6. Presione el botón "Enter" para iniciar el proceso de instalación.

7. La siguiente ventana muestra los scripts de inicio/detención y la ruta de configuración para OSSEC. Presiona el botón "Enter" para completar el proceso de instalación.

Conclusión

En esta parte del artículo, hemos instalado la herramienta HIDS de código abierto, OSSEC en la plataforma Ubuntu. En la próxima segunda parte del artículo, configuraremos OSSEC para clientes basados ​​en Windows y Linux (adición/listado/eliminación de clientes, obtención de claves del servidor, etc.). Los clientes OSSEC necesitan claves generadas por el servidor OSSEC. Al final, monitorearemos el cliente/servidor OSSEC desde la interfaz web.