Hablando sobre Open Source Host-based IDS (HIDS)

Tareas principales:

◦ Análisis de Logs.
◦ Verificación de integridad de archivos (Windows y Unix)
◦ Verificación de integridad de registros (Windows)
◦ Detección anómala basada en host (Unix –rootkits)
◦ Respuesta activa

para esto usaremos una herramienta llamada ossec , pero se preguntaran que es o para que sirve esta herramienta.

Algunos puntos:

◦ OSSEC hace “análisis de logs de seguridad”
◦ No es una herramienta de administración de logs.
◦ Solamente almacena alertas, no cualquier log.
◦ Se recomienda ampliamente una herramienta de administración de logs y un método de almacenamiento a largo plazo de todos los logs.

Osea que con esta herramienta podemos analizar logs para estar alertas de cualquier intrusión detectada en el sistema

A esto se le llama “LIDS”

Log based intrusion detection LIDS
Es el proceso o técnicas usadas para detectar ataques en un ambiente especifico usando logs como la primera fuente de información.
LIDS también es usado para detectar mal uso de una computadora, violación de políticas y otras formas inapropiadas de actividades.

 

Ya que tenemos un idea de lo que es y para que funciona podemos ver algunos de sus beneficios y características como lo son:

1.- Compliance
2.- Verificación de integridad de archivos
3.- Multi – Plataforma
4.- Alertas configurables y en tiempo real
5.- Administración central
6.- Monitoreo con y sin agentes
6.- Monitoreo de Logs
7.- Detección de Rootkits
8.- Respuesta Activa

el siguiente paso es la instalación, para esto usaremos debían 5 o 6 el que sea de su elección.

Lo primero que necesitamos debe ser apache instalado en el sistema, si no lo tienen es fácil de instalar con la siguiente línea

Apt-get install apache2

Luego vamos con mysql

Apt-get install mysql-server

Y por ultimo vamos a ocupar phpmyadmin para hacerlo grafico :p

Apt-get install phpmyadmin

Después de instalarlo hay que hacer un enlace simbólico desde

/usr/share/phpmyadmin  /var/www/phpmyadmin con ln – s o ln –sf

y reiniciamos el apache

/etc/init.d/apache2 restart

Ya teniendo esto instalado procedemos a su instalación

En la instalación vamos a seleccionar 2 modelos :

Local: cuando solo es un sistema a monitorear

Cliente/servidor: para análisis centralizado

Procedemos a la creación de permisos y usuarios, esto para tener un orden en nuestro sistema.

Descargamos del Software #

wget http://www.ossec.net/files/ossec-hids-latest.tar.gz

Descarga del checksum: #

wget http://www.ossec.net/files/ossec-hids-2.6_checksum.txt

Validación de integridad: #

md5sum ossec-hids-latest.tar.gz

Descomprimir el paquete: #

tar -zxvf ossec-hids-*.tar.gz

Esto da como resultado un directorio al cual ingresamos #

cd ossec-hids-2.6

y procedemos con su instalación en el sistema

./install.sh

ya teniendo esto vamos a dar enter para continuar , nos pedirá que hagamos algunas configuraciones, como la configuración de variables de entorno, configuración del sistema ossec, entre otras cosas, pero esto ya es a gusto del usuario

los directorios donde se instala por default el sistema son

Server: /var/ossec
Mainconfigurationfile:/var/ossec/etc/ossec.conf
Decoders stored: /var/ossec/etc/decoders.xml
Binaries: /var/ossec/bin/
All rules: /var/ossec/rules/*.xml
Alerts are stored: /var/ossec/logs/alerts.log

Se requiere el puerto UDP 1514 entre cliente y servidor.
Los comandos básicos para el servicio de OSSEC son:

# /var/ossec/bin/ossec-control start
# /var/ossec/bin/ossec-control stop
# /var/ossec/bin/ossec-control restart

ahora vamos con la instalación grafica de ossec, que fue por eso que instalamos apache , mysql y phpmyadmin en nuestro sistema, los comandos son los siguientes

tar -zxvf ossec-wui-0.3.tar.gz
sudo mv ossec-wui-0.3 /var/www/
cd /var/www/ossec-wui-0.3/
./setup.sh
usermod -a -G ossec www-data
sudo usermod -a -G ossec www-data
sudo usermod -a -G ossec usuario
sudo nano /etc/group (para verificar )
chmod 777 tmp/
chgrp www-data tmp/
sudo chgrp www-data tmp/
sudo apachectl restart

ya teniendo esto ingresaremos a

http://127.0.0.1/ossec-wui-0.3/index.php

y vamos a ver nuestro sistema instalado

*fin de primera parte, en la segunda parte veremos agentes, creación y configuración de reglas y archivos de configuración *

 

si requieren imagenes para su mayor entendimiento comenten para que el proximo lo hagamos mas grafico

Hablando sobre Open Source Host-based IDS (HIDS)
Etiquetado en:         

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *