instalación y configuración de un hids en ossec
TRANSCRIPT
Instalacin y configuracin de un HIDS en ossec.
Instalamos los compiladores necesarios
Desde http://www.ossec.net descargamos los paquetes necesarios para la instalacin del servidor en Linux.
Descomprimimos el paquete y nos cambiamos para la ruta recin descompresa.
Con el comando ./install.sh comenzamos el asistente de instalacin, adems elegimos el idioma de la instalacin
Decidimos el tipo de instalacin que queremos realizar, en este caso elegiremos servidor
Especificamos la ruta de instalacin
Especificamos una cuenta de correo para que nos lleguen las alertas por este medio, adems agregaremos el servidor de integridad del sistema, el sistema de deteccin de rootkit y habilitar la respuesta activa, en este caso ser todo si.
Habilitamos la respuesta de desechar el firewall, los niveles de esta respuesta y la lista blanca para respuesta por omisin, la cual es la lista de servidores DNS que usa nuestra mquina para la resolucin a internet.
Habilitamos el syslog remoto para que nuestros agentes puedan tener acceso a estos eventos
Comienza el proceso de instalacin y configuracin del HIDS.
Editamos el archivo de configuracin del ossec
Aadimos las reglas, las reacciones y los comandos a ejecutar segn el caso, adems aadimos el ingreso de conexiones remotas desde la subred de nuestros agentes por el puerto 1514 por UDP, adems denegaremos en los archivos /etc/hosts.deny cualquier IP que realice intentos de intrusin a nuestro servidor o a los agentes.
Ahora permitimos el acceso de conexiones por el puerto 1514 por UDP desde las iptables.
Reiniciamos el ossec
Desde http://www.ossec.net descargamos el agente para Windows
Comienza el proceso de instalacin del agente en Windows
Cuando se finalice la instalacin del agente, se abrir una ventana la cual nos pedir una informacin que an no tenemos, por esta razn procedemos a obtenerla. Nos pide la IP del servidor ossec y una llave de autenticacin.
Para obtener la llave de autenticacin, vamos al servidor ossec y ejecutamos el manage_agents, en este aadiremos un nuevo agente con el botn A, nos pide un nombre para el agente, la IP del agente y el ID.
Confirmamos la informacin
Extraemos la llave para el agente
Esta es la llave que ingresaremos en el asistente del cliente
Reiniciamos el ossec-remoted con el comando /var/ossec/bin/ossec-remoted restart y con el comando /var/ossec/bin/agent_control i#ID virtualizaremos la informacin de los agentes.
Ahora reiniciamos los servicios
Listamos los agentes
Descargamos la interfaz WEB para el ossec
Descomprimimos el archivo
Movemos la carpeta descompresa a /var/www/html
Nos movemos a /var/www/html/ossec y ejecutamos ./setup.sh y agregamos un nuevo usuario
Luego agregamos el usuario apache a ossec en el archivo /etc/group
Le cambiamos los permisos y el grupo al directorio /var/www/html/ossec/temp/
En un Web Browser ingresamos por la ruta http://localhost/ossec
Desde otro host intentamos hacer un ataque a nuestro servidor ossec.
El HIDS lo registrara como un ataque de fuerza bruta.