Asegurando Su Servidor Con Un Sistema de Detección de Intrusiones Basado en Host

Asegurando Su Servidor Con Un Sistema de Detección de Intrusiones Basado en Host

Versión 1.0
Autor: Falko Timme

Este artículo muestra cómo instalar y ejecutar OSSEC HIDS, un Sistema de Detección de Intrusiones Basado en Host de Código Abierto. Realiza análisis de registros, verificación de integridad, detección de rootkits, alertas basadas en tiempo y respuesta activa. Le ayuda a detectar ataques, uso indebido de software, violaciones de políticas y otras formas de actividades inapropiadas.

Con OSSEC HIDS puede monitorear múltiples sistemas, siendo uno de ellos el servidor OSSEC HIDS y los otros los agentes OSSEC HIDS que informan de vuelta al servidor. Sin embargo, en este tutorial quiero monitorear solo un sistema, así que realizo una instalación “local” para que OSSEC HIDS realice su trabajo localmente en ese sistema.

En lo siguiente utilizo un sistema Debian Sarge (3.1) para instalar OSSEC HIDS.

Quiero decir primero que esta no es la única forma de configurar un sistema así. Hay muchas maneras de lograr este objetivo, pero esta es la forma que elijo. No emito ninguna garantía de que esto funcione para usted.

1 Instalando OSSEC HIDS

Instalar OSSEC HIDS es muy fácil, solo es cuestión de descargar las fuentes, ejecutar el script de instalación y responder las preguntas del script de instalación. Primero, descargamos y descomprimimos las fuentes de OSSEC HIDS:

cd /tmp  
wget http://www.ossec.net/files/ossec-hids-0.9-1a.tar.gz  
tar xvfz ossec-hids-0.9-1a.tar.gz

Luego ejecutamos el script de instalación:

cd ossec-hids-0.9-1a  
./install.sh

El script de instalación le hará algunas preguntas:

 Para instalação em português, escolha [br].  
 Fur eine deutsche Installation wohlen Sie [de].  
 For installation in English, choose [en].  
 Para instalar en Español , eliga [es].  
 Pour une installation en français, choisissez [fr]  
 Per l'installazione in Italiano, scegli [it].  
 æ¥æ¬èªã§ã¤ã³ã¹ãã¼ã«ãã¾ãï¼é¸æãã¦ä¸ãã  
ï¼[jp].  
 Aby instalowaÄ w jÄzyku Polskim, wybierz [pl].  
 ÐÐ»Ñ Ð¸Ð½ÑÑÑÑкÑий по ÑÑÑановке на ÑÑÑÑком ,введиÑе [ru].  
 Türkçe kurulum için seçin [tr].  
(en/br/de/es/fr/it/jp/pl/ru/tr) [en]: <-- en (o una de las otras opciones, si no desea usar inglés)

OSSEC HIDS v0.9-1 Script de Instalación - http://www.ossec.net

Está a punto de comenzar el proceso de instalación de OSSEC HIDS.  
Debe tener un compilador C preinstalado en su sistema.  
Si tiene alguna pregunta o comentario, envíe un correo electrónico  
a [email protected] (o [email protected]).

- Sistema: Linux server1.example.com 2.6.8-2-386  
- Usuario: root  
- Host: server1.example.com

– Presione ENTER para continuar o Ctrl-C para abortar. – <– [ENTER]

1- ¿Qué tipo de instalación desea (servidor, agente, local o ayuda)? <– local

• Elija dónde instalar OSSEC HIDS [/var/ossec]: <– /var/ossec

3.1- ¿Desea notificación por correo electrónico? (s/n) [s]: <– s

• ¿Cuál es su dirección de correo electrónico? <– [email protected] (por favor ingrese su propia dirección de correo electrónico aquí)

• Encontramos su servidor SMTP como: mail.example.com.

• ¿Desea usarlo? (s/n) [s]: <– s (normalmente puede aceptar la propuesta del instalador, a menos que desee usar otro servidor SMTP)

3.2- ¿Desea ejecutar el demonio de verificación de integridad? (s/n) [s]: <– s

3.3- ¿Desea ejecutar el motor de detección de rootkits? (s/n) [s]: <– s

• ¿Desea habilitar la respuesta activa? (s/n) [s]: <– s

• ¿Desea habilitar la respuesta de firewall-drop? (s/n) [s]: <– s

• ¿Desea agregar más IPs a la lista blanca? (s/n)? [n]: <– n (a menos que desee incluir más direcciones IP en la lista blanca)

3.6- Configurando la configuración para analizar los siguientes registros:
– /var/log/messages
– /var/log/auth.log
– /var/log/syslog
– /var/log/mail.info

- Si desea monitorear algún otro archivo, solo cambie  
el ossec.conf y agregue una nueva entrada localfile.  
Cualquier pregunta sobre la configuración puede ser respondida  
visitándonos en línea en http://www.ossec.net .

— Presione ENTER para continuar — <– [ENTER]

• El sistema es Linux (SysV).
• Script de inicio modificado para iniciar OSSEC HIDS durante el arranque.
  Agregando inicio del sistema para /etc/init.d/ossec …
  /etc/rc0.d/K20ossec -> ../init.d/ossec
  /etc/rc1.d/K20ossec -> ../init.d/ossec
  /etc/rc6.d/K20ossec -> ../init.d/ossec
  /etc/rc2.d/S20ossec -> ../init.d/ossec
  /etc/rc3.d/S20ossec -> ../init.d/ossec
  /etc/rc4.d/S20ossec -> ../init.d/ossec
  /etc/rc5.d/S20ossec -> ../init.d/ossec

- Configuración finalizada correctamente.

- Para iniciar OSSEC HIDS:  
/var/ossec/bin/ossec-control start

- Para detener OSSEC HIDS:  
/var/ossec/bin/ossec-control stop

- La configuración se puede ver o modificar en /var/ossec/etc/ossec.conf

Gracias por usar OSSEC HIDS.  
Si tiene alguna pregunta, sugerencia o si encuentra algún error,  
contáctenos en [email protected] o usando nuestra lista de correo pública en  
[email protected]  
(http://mailman.underlinux.com.br/mailman/listinfo/ossec-list).

Más información se puede encontrar en http://www.ossec.net

— Presione ENTER para finalizar (quizás más información abajo). — <– [ENTER]

Eso es todo, OSSEC HIDS ahora está instalado y listo para ser iniciado.

2 Iniciando Y Ejecutando OSSEC HIDS

Para iniciar OSSEC HIDS, ejecutamos este comando:

/etc/init.d/ossec start

La salida debería verse así:

server1:/etc/init.d# /etc/init.d/ossec start  
Iniciando OSSEC HIDS v0.9-1 (por Daniel B. Cid)...  
Iniciado ossec-maild...  
Iniciado ossec-execd...  
Iniciado ossec-analysisd...  
Iniciado ossec-logcollector...  
Iniciado ossec-syscheckd...  
Completado.  
server1:/etc/init.d#

Como puede haber visto durante la instalación de OSSEC HIDS, el instalador también creó los enlaces de inicio del sistema necesarios para OSSEC HIDS, de modo que OSSEC HIDS se iniciará automáticamente cada vez que inicie/reinicie su sistema.

Después de que OSSEC HIDS se haya iniciado, funcionará silenciosamente en segundo plano, realizando análisis de registros, verificación de integridad, detección de rootkits, etc. Puede verificar que está funcionando ejecutando

ps aux

En la salida debería encontrar algo como esto:

ossecm    2038  0.0  0.4  1860  792 ?        S    12:40   0:00 /var/ossec/bin/ossec-maild root      2042  0.0  0.3  1736  648 ?        S    12:40   0:00 /var/ossec/bin/ossec-execd ossec     2046  0.2  0.5  2192 1136 ?        S    12:40   0:00 /var/ossec/bin/ossec-analysisd root      2050  0.0  0.2  1592  556 ?        S    12:40   0:00 /var/ossec/bin/ossec-logcollector root      2054 12.2  0.3  1756  616 ?        S    12:40   0:05 /var/ossec/bin/ossec-syscheckd

El archivo de registro de OSSEC HIDS es /var/ossec/logs/ossec.log, así que puede revisarlo para ver qué está sucediendo, por ejemplo, con el comando tail.

tail -f /var/ossec/logs/ossec.log

muestra lo que está sucediendo en tiempo real. Presione CTRL-C para salir.

tail -n 100 /var/ossec/logs/ossec.log

le muestra las últimas 100 líneas del registro de OSSEC HIDS.

Siempre que OSSEC HIDS detecte algo sospechoso, enviará un correo electrónico con un informe sobre la actividad a la dirección de correo electrónico que especificó durante la instalación:

Si desea cambiar la configuración de OSSEC HIDS (por ejemplo, cambiar la dirección de correo electrónico, agregar conjuntos de reglas personalizadas, etc.), puede hacerlo editando el archivo de configuración /var/ossec/etc/ossec.conf (que está en formato XML). Puede hacerlo utilizando un editor de línea de comandos como vi:

vi /var/ossec/etc/ossec.conf

El archivo se ve así:

| yes [email protected] mail.example.com. [email protected] [...] |

Si cambia el archivo, asegúrese de reiniciar OSSEC HIDS después:

/etc/init.d/ossec restart

Para aprender cómo agregar conjuntos de reglas personalizadas, etc. a la configuración de OSSEC HIDS, consulte el manual de OSSEC HIDS: http://www.ossec.net/en/manual.html

3 Enlaces

• OSSEC HIDS: http://www.ossec.net