HIDS, Instalación centralizada de OSSEC.

Hola a tod@s, hoy os traigo un post donde vamos a explicar que es un HIDS (Host Intrusion Detection System) y ha instalar el HIDS OSSEC de manera centralizada, es decir Cliente – Servidor.

Empezamos por describir lo más básico, es decir que es un IDS (Intrusion Detection System), un sistema de detección de intrusiones básicamente esta compuesto por un conjunto de reglas, firmas o patrones, que en el momento que el IDS detecta que cumple alguna regla, firma o patrón, este genera una alerta que es guardada en un log o dependiendo la instalación muestra este log vía una Web GUI. Habitualmente estos IDS se suelen integrar con firewalls, ya que la implementación de ambos hacen una herramienta muy poderosa, es decir permite que el IDS sea activo, con esto me refiero que si el IDS detecta una alerta de un intruso, podríamos configurar nuestro sistema para que las peticiones de este intruso fuesen bloqueadas por nuestro firewall. Nuestro IDS también analiza el tráfico, como las IP’s emisoras, puertos emisores, IP’s receptoras, puertos receptores y un largo etc. Existen 2 tipos de IDS, que son:

HIDS(HostIDS): Como podemos imaginar este tipo de IDS, depende del éxito del ciberatacante, estos normalmente, al intentar acceder a nuestro host dejará unas evidencias e intentará modificar ficheros o acceder a ellos, el HIDS nos alertará de este tipo de intrusiones, reportándonos modificaciones de ficheros, accesos indebidos, etc.

NIDS(NetworkIDS): Los NIDS se basan en un equipo con una tarjeta en modo promiscuo, la cual está continuamente escuchando la red para analizar el tráfico, detectando intrusiones en todo el segmento de red que este escuchando. Aquí podéis encontrar como instalar este tipo de IDS.

Bueno una vez claro que es un IDS y sus tipos, procedemos a explicar OSSEC:

¿Qué es OSSEC?

OSSEC es un sistema HIDS (Host Intrusion Detection System), es decir, un sistema de detección de intrusos que también opera como un SIM (Security Incident Managament). Un sistema de detección de intrusión de equipos tiene como cometido analizar los registros de eventos del sistema operativo, comprobar la integridad del mismo, auditorías de los registros de los equipos Windows y Linux, detección de rootkits, alerta en tiempo real y respuesta activa a ataques.

OSSEC es un software de código abierto y gratuito para su uso. Por sus características, es un software altamente adaptable para necesidades de seguridad a través de sus extensas opciones de configuración, adición de reglas de alerta personalizadas y escritura de reglas de acción en respuesta a las alertas de seguridad. vía .- www.mancomun.gal

Una vez claro que es OSSEC, vamos a proceder a realizar una instalación centralizada del mismo, con la siguiente estructura (cliente-servidor):

El escenario donde vamos a implementar esta estructura es la siguiente:

Servidor: VM CentOS 7.4 64-Bits con 2 GB de ram y 1 procesador con 1 hilo.

Cliente Linux: VM CentOS 7.4 64-Bits con 2 GB de ram y 1 procesador con 1 hilo.

Instalación del servidor.

El primer paso que vamos a realizar es la instalación del servidor, que será el encargado de controlar todas las alertas y centralizar los logs en un solo sitio.

El primera paso que vamos a realizar es actualizar el sistema:

Lo siguiente que vamos a realizar es instalar las dependencias necesarias para instalar OSSEC:

Una vez instaladas las dependencias, procedemos a descargar la última versión estable actual:

Descomprimimos el archivo descargado:

Nos dirigimos al interior de la carpeta extraída:

Y ejecutamos el script de instalación de OSSEC:

Nos pedirá que seleccionemos el tipo de idioma con el que deseamos realizar la instalación, en nuestro caso seleccionamos Español:

Tras seleccionar el idioma con el que deseamos realizar la instalación nos saldrá unos detalles informativos sobre OSSEC y nuestro equipo:

En el siguiente paso, nos solicitará que tipo de instalación deseamos, en este caso vamos a seleccionar servidor, que es donde vamos a centralizar todos los logs y alertas:

También se nos solicitará el directorio de instalación, en mi caso lo dejaré por defecto:

En el caso de tener un servidor SMTP, podemos configurar las alertas por e-mail, en mi caso si que tengo uno configurado y lo voy a utilizar para las alertas:

Seleccionamos donde queremos que nos lleguen nuestras alertas e introducimos el correo electrónico:

Introducimos la dirección IP o nombre de nuestro servidor SMTP, para que pueda enviar los correos:

Ahora nos preguntará si queremos habilitar el control de integridad del sistema, es decir que nos avise en caso de que cambie algún fichero, yo selecciono que si:

Nos pregunta si deseamos activar la detección de rootkits, como es lógico si:

Ahora se nos pregunta si deseamos tener habilitada la respuesta activa, es decir si detecta alguna anomalía o intrusión el propio host mediante el firewall bloquee el intruso, en mi caso voy a seleccionar que no:

Nos pregunta si deseamos habilitar rsyslog en el servidor, en mi caso le digo que si:

Una vez terminado, se nos avisa de los logs que va estar monitorizando e información de ossec:

Lo siguiente que vamos a ver será información de como iniciar OSSEC y el fichero donde se encuentra la configuración de OSSEC:

Abrimos el puerto para el servidor rsyslog:

Abrimos el puerto de OSSEC:

Iniciamos el servicio de OSSEC, con:

/var/ossec/bin/ossec-control start

Si nos aparece el siguiente error se soluciona como hago en la captura:

Instalación cliente linux

Ahora vamos a proceder a la instalación del agente Linux de OSSEC, primero nos dirigimos a la máquina y actualizamos los repositorios:

El siguiente paso es instalar las dependencias necesarias para instalar OSSEC:

Descargamos la última versión estable de OSSEC:

Descomprimimos el archivo descargado:

Accedemos a la carpeta extraída:

Ejecutamos el script de instalación de OSSEC:

Seleccionamos el idioma de instalación:

Se nos mostrará información relevante sobre nuestro equipo y OSSEC:

Se nos solicita que introduzcamos el tipo de instalación que vamos a realizar, como este es un cliente, seleccionaremos agente, al seleccionar agente, toda la información y alertas serán mandadas al servidor, al igual que las reglas que cumplirá el cliente estarán establecidas en el servidor:

Especificamos donde queremos el directorio de instalación, en mi caso lo dejaré por defecto:

En el siguiente paso, se nos pedirá que especifiquemos la dirección IP del servidor OSSEC:

Al igual que en el servidor se nos preguntará si deseamos que compruebe la integridad del sistema, le decimos que si:

También se nos preguntará si deseamos activar la detección de rootkits, le decimos que si:

En el siguiente paso, se nos mostrará los directorios que analizará y también mostrará información relevante de OSSEC:

Añadimos el cliente al servidor

Una vez instalado OSSEC en el cliente, procedemos a añadir el cliente al servidor, para eso nos dirigimos al servidor y en la consola introducimos el comando /var/ossec/bin/manage_agents y seleccionamos la opción Add an agent (a):

Le damos un nombre al agente:

Introducimos la dirección IP del agente:

Nos pedirá que introduzcamos un ID para el agente, OSSEC por defecto te pone un ID autoincremental, con lo cual lo dejaremos por defecto:

Confirmamos para añadir el cliente al servidor:

Posteriormente, nos devolverá al menú principal, aquí seleccionaremos la opción (E)Extract key an agent, esto sirve para posteriormente sincronizar el cliente con el servidor:

Se nos listará los agentes agregados al servidor y seleccionaremos el agente por su ID:

Tras seleccionar el agente, se nos arroja el código necesario para vincular el cliente con el servidor, este lo copiaremos para posteriormente llevarlo al cliente: