Detección de Intrusiones: Snort (IDS), OSSEC (HbIDS) y Prelude (HIDS) en Ubuntu Gutsy Gibbon - Página 3

Parte 3 : Instalación y Configuración de Ossec

Primero que nada, descargaremos y descomprimiremos el código fuente de ossec:

cd /src  
wget http://www.ossec.net/files/ossec-hids-1.4.tar.gz  
tar xvzf ossec-hids-1.4.tar.gz

Ahora haz lo siguiente para agregar soporte de prelude:

cd ossec-hids-xx  
cd src  
make setprelude

Luego edita Config.OS y agrega -lgcc_s en todas las líneas antes de -lpthread así:

CPRELUDE=-DPRELUDE -lprelude -pthread -lgcc_s -L/usr/lib -lprelude -lgnutls -lgcrypt -lrt -ldl

La mayor parte de este HOWTO se toma directamente del Manual de Instalación de OSSEC-HID, que es un manual muy fácil de seguir. Si tienes problemas, por favor consulta el manual primero, ya que siempre tendrá la información más actualizada.

Ahora la parte fácil. Ossec viene con un script de instalación install.sh que hace todo el trabajo duro por nosotros.

cd ..   
./install.sh

Elige el idioma en el que deseas leer todo y presiona enter.

Para instalación en portugués, elige [br]. Fur eine deutsche Installation wohlen Sie [de].
Para instalación en inglés, elige [en]. Per l’installazione in Italiano, scegli [it].
Aby instalowa? w j?zyku Polskim, wybierz [pl]. Türkçe kurulum için seçin [tr].
(en/br/de/it/pl/tr) [en]: en

A continuación, nos advertirá que necesitamos un compilador C en la máquina y te dará información general sobre tu computadora (versión del kernel, usuario y host).

Adelante, presiona enter como dice.

Estás a punto de comenzar el proceso de instalación del OSSEC HIDS.
Debes tener un compilador C preinstalado en tu sistema.
Si tienes alguna pregunta o comentario, por favor envía un correo electrónico a [email protected] (o [email protected]).

• Sistema: Linux alguna información
• Usuario: root
• Host: tu nombre de host
  – Presiona ENTER para continuar o Ctrl-C para abortar. –

A continuación, selecciona una instalación local:

1- ¿Qué tipo de instalación deseas (servidor, agente, local o ayuda)? local  

Ahora elige dónde deseas instalarlo. Usa la ubicación predeterminada o cámbiala si lo deseas. Sin embargo, este howto asumirá la ubicación predeterminada.

Elige dónde instalar el OSSEC HIDS [/var/ossec]:   

Ahora selecciona tus opciones de notificación. Puedes elegir las respuestas utilizadas en este howto o diferentes. Recomendaría establecer “Y” para todo. Las respuestas activas son realmente útiles. Establecerá algunas variables de configuración predeterminadas basadas en tus respuestas y ciertas cosas que encuentra en tu sistema.

3- Configurando el OSSEC HIDS.  
  
  3.1- ¿Quieres notificación por correo electrónico? (s/n) [s]: s  
   - ¿Cuál es tu dirección de correo electrónico? [email protected]  
   - ¿Cuál es la dirección IP/host de tu servidor SMTP? tu dirección de servidor smtp (localhost)  
  
  3.2- ¿Quieres ejecutar el demonio de verificación de integridad? (s/n) [s]: s  
   
   - Ejecutando syscheck (demonio de verificación de integridad).  
  
  3.3- ¿Quieres ejecutar el motor de detección de rootkits? (s/n) [s]: s  
   
   - Ejecutando rootcheck (detección de rootkits).  
  
  3.4- La respuesta activa te permite ejecutar un comando específico basado en los eventos recibidos. Por ejemplo, puedes bloquear una dirección IP o deshabilitar el acceso para un usuario específico.  
       Más información en:  
       http://www.ossec.net/en/manual.html#active-response  
  
   - ¿Quieres habilitar la respuesta activa? (s/n) [s]: s  
   
     - Respuesta activa habilitada.  
  
   - Por defecto, podemos habilitar las respuestas de host-deny y firewall-drop. La primera añadirá un host a /etc/hosts.deny y la segunda bloqueará el host en iptables (si es linux) o en ipfilter (si es Solaris, FreeBSD o NetBSD).  
   - Pueden ser utilizadas para detener escaneos de fuerza bruta de SSHD, escaneos de puertos y algunas otras formas de ataques. También puedes añadirlas para bloquear eventos de snort, por ejemplo.  
  
   - ¿Quieres habilitar la respuesta firewall-drop? (s/n) [s]: s  
   
     - firewall-drop habilitado (local) para niveles >= 6  
  
   - Lista blanca predeterminada para la respuesta activa:  
      - 192.168.2.1  
  
   - ¿Quieres añadir más IPs a la lista blanca? (s/n)? [n]: n  
  
  3.6- Configurando la configuración para analizar los siguientes registros:  
    -- /var/log/messages  
    -- /var/log/auth.log  
    -- /var/log/syslog  
    -- /var/log/mail.info  
    -- /var/log/apache2/error.log (registro de apache)  
    -- /var/log/apache2/access.log (registro de apache)  
  
 - Si deseas monitorear algún otro archivo, solo cambia el ossec.conf y añade una nueva entrada localfile.  
   Cualquier pregunta sobre la configuración puede ser respondida visitándonos en línea en http://www.ossec.net .  
  
   --- Presiona ENTER para continuar ---

Ahora compilará todo. Esto no debería tardar demasiado en completarse. Solo tomó alrededor de 1-2 minutos en mi máquina. Después de que se complete, presiona enter para finalizar.

• Sistema desconocido. No se añadió script de inicio.
• Configuración finalizada correctamente.
• Para iniciar OSSEC HIDS:/var/ossec/bin/ossec-control start
• Para detener OSSEC HIDS:/var/ossec/bin/ossec-control stop
• La configuración puede ser vista o modificada en /var/ossec/etc/ossec.conf
  Gracias por usar el OSSEC HIDS. Si tienes alguna pregunta, sugerencia o si encuentras algún error, contáctanos en [email protected] o usando nuestro correo público [email protected] (http://mailman.underlinux.com.br/mailman/listinfo/ossec-list). Más información se puede encontrar en http://www.ossec.net
  — Presiona ENTER para finalizar (quizás más información abajo). —

Ahora, desafortunadamente, no detecta Ubuntu, por lo que no creará un script de inicio. Esto es lo suficientemente simple de solucionar. (Sí, es básico. Si deseas mejorarlo, siéntete libre de hacerlo) Copia y pega lo siguiente en /etc/init.d/ossec:

#!/bin/sh
 
case "$1" in
start)
  /var/ossec/bin/ossec-control start
;;
stop)
  /var/ossec/bin/ossec-control stop
;;
restart)
  $0 stop && sleep 3
  $0 start
;;
reload)
  $0 stop
  $0 start
;;
*)
echo "Uso: $0 {start|stop|restart|reload}"
exit 1
esac

Ahora hazlo ejecutable:

chmod +x /etc/init.d/ossec 

Añádelo a nuestros runlevels para que se inicie al arrancar:

update-rc.d ossec defaults

ossec.conf

/var/ossec/etc/ossec.conf

ossec

prelude:

 ...
yes

Finalmente, añadiremos ossec como un agente en prelude:

prelude-adduser registration-server prelude-manager

En el servidor de gestión haz:

prelude-adduser register OSSEC "idmef:w" localhost --uid ossec --gid ossec

Nota: El nombre del sensor DEBE estar en mayúsculas > OSSEC.

Inicia el ossec con el script init.d impulsado por OSSEC (¡la versión 1.4 ahora debería detectar el sistema operativo ubuntu/debian y el script de inicio funcionará!) o el script RShadow.

Si ves esto, estás en funcionamiento.

Iniciando OSSEC HIDS v1.4 (por Daniel B. Cid)…
Conectando a 127.0.0.1:4690 servidor de Prelude Manager.
La autenticación TLS tuvo éxito con Prelude Manager.

Ahora ve a la URL donde instalaste prewikka, e inicia sesión con el usuario admin y la contraseña admin. Cambia esta contraseña inmediatamente para evitar accesos no autorizados.