Rilevamento delle Intrusioni: Snort (IDS), OSSEC (HbIDS) E Prelude (HIDS) Su Ubuntu Gutsy Gibbon

Tutti conoscono il problema, hai uno strumento IDS installato e ogni strumento ha la propria interfaccia.

Prelude permetterà di registrare tutti gli eventi nel database di prelude e di essere consultato utilizzando un’unica interfaccia (prewikka). Questo howto descriverà come installare e configurare i diversi strumenti che comporranno la soluzione completa.

Questo howto è basato su frammenti e appunti che ho trovato per risolvere alcuni problemi, parti dei manuali e la mia esperienza con l’installazione della soluzione completa.

Per ulteriori informazioni su snort visita: www.snort.org

Per ulteriori informazioni su ossec visita: www.ossec.net

Per ulteriori informazioni su prelude visita: www.prelude-ids.org

Requisiti:

Supponiamo che tu abbia seguito The Perfect Server - Ubuntu Gutsy Gibbon (Ubuntu 7.10). Se non lo hai fatto, segui quel howto e installa / aggiungi solo quelle parti che non hai installato sul tuo sistema.

I seguenti pacchetti sono utili, quindi controlla che siano installati correttamente:

apt-get install ntpdate
apt-get install dbconfig-common

Installazione e Configurazione di Prelude

Normalmente, dovremmo compilare e installare libprelude, libpreludedb, e poi creare i database. Fortunatamente i pacchetti sono forniti dai repository di Ubuntu.

Prelude Manager

apt-get install prelude-manager

Utilizzando le impostazioni TLS predefinite da /etc/prelude/default/tls.conf:
Dimensione della chiave generata: 1024 bit.
Durata del certificato di autorità: illimitata.
Durata del certificato generato: illimitata.
Creazione dell’analizzatore prelude-manager.
Creazione di /etc/prelude/profile/prelude-manager…
Identificativo allocato per prelude-manager: 4232957740008155.
Generazione della chiave privata RSA… Questo potrebbe richiedere molto tempo.
[Aumentare l’attività del sistema accelererà il processo.]
Generazione della chiave privata RSA da 1024 bit…

Durante l’installazione, il manager creerà il profilo per l’utente prelude. Potrebbe richiedere un (molto) lungo tempo, poiché GnuTLS cerca di accedere a /dev/random invece di /dev/urandom (per motivi di sicurezza). Questo potrebbe cambiare in futuro (magari utilizzando un’opzione per avere una generazione più veloce, ma crittograficamente meno sicura).

dbconfig ti chiederà quindi se desideri che configuri automaticamente il database. Se non lo desideri, basta rispondere di no e configurare tutto manualmente (gli script sql si trovano nella directory /usr/share/libpreludedb/). Supponiamo che la risposta sia sì.

Nota: il numero di domande potrebbe cambiare, a seconda della verbosità di debconf (impostata utilizzando dpkg-reconfigure debconf), e dei parametri di dbconfig, nel file /etc/dbconfig-common/config.

configurare il database con dbconfig-common: sì  
tipo di database:

Imposta il tipo sul database che hai precedentemente installato. In questo caso mysql.

Password admin database: ******

dbconfig-common chiederà una password per l’utente ‘prelude’. Se non fornisci alcuna (premendo semplicemente invio), ne genererà una casuale. Non preoccuparti, il file di configurazione verrà aggiornato automaticamente.

dbconfig-common: scrittura della configurazione in /etc/dbconfig-common/prelude-manager.conf  
  
Creazione del file di configurazione /etc/dbconfig-common/prelude-manager.conf con nuova versione  
accesso al database prelude per prelude@localhost: successo.  
verifica dell'accesso per prelude@localhost: successo.  
creazione del database prelude: successo.  
verifica che il database prelude esista: successo.  
popolamento del database tramite sql...  fatto.  
dbconfig-common: svuotamento della password amministrativa  
Avvio di Prelude Manager: prelude-manager.

Il pacchetto Ubunty crea automaticamente l’utente e il database per prelude. Se desideri cambiare la password, fallo prima in mysql e poi in /etc/prelude-manager/prelude-manager.conf.

Prelude-Manager dovrebbe ora essere in esecuzione:

ps auxw | grep manager

prelude 28530  0.0  0.1  59384  4480 ?        Ssl  13:49   0:00 /usr/sbin/prelude-manager

La prima parte è finita, ora hai un manager attivo e funzionante.

Indirizzo di ascolto:

L’indirizzo di ascolto predefinito è localhost (127.0.0.1). Questo significa che devi cambiarlo per aggiungere sensori su host diversi affinché gli agenti possano raggiungere il prelude-manager.

Modifica /etc/prelude-manager/prelude-manager.conf:

listen = xxx.xxx.xxx.xxx

Riavvia il server e controlla l’indirizzo (se hai cambiato l’indirizzo):

# /etc/init.d/prelude-manager stop

   Arresto di Prelude Manager: prelude-manager.

# /etc/init.d/prelude-manager start

Avvio di Prelude Manager: prelude-manager.

# netstat -pantu | grep prelude

tcp        0      0 192.168.66.1:4690          0.0.0.0:*      LISTEN     30544/prelude-manager

Prelude-LML

Devi installare prelude-lml su ogni host che desideri monitorare. Prelude-LML analizzerà i tuoi log e riporterà eventi ai manager.

# apt-get install prelude-lml

…
Avvio di Prelude LML: prelude-lml.

Prima che possa essere utilizzato, devono essere fatte due cose:

L’indirizzo del manager deve essere configurato sull’lml
Il manager non si fiderà dei sensori, finché non sono registrati

Indirizzo del manager

Se hai cambiato l’indirizzo su cui il manager sta ascoltando, devi cambiare l’indirizzo nella configurazione del client su ogni macchina su cui installi prelude-lml.

L’indirizzo del manager è memorizzato nel file /etc/prelude/default/client.conf:

[prelude]  
server-addr = 127.0.0.1

Registrazione del sensore

La registrazione del sensore è un processo in quattro fasi, che richiede di eseguire comandi sia sul sensore che sul manager:

Sul client LML, esegui il comando di registrazione:

prelude-adduser register prelude-lml "idmef:w"  --uid 0 --gid 0

Suggerimento: se non ricordi il comando, esegui semplicemente prelude-lml. Poiché non è registrato, fallirà, ma è abbastanza intelligente da visualizzare l’aiuto:

# prelude-lml   
- Iscrizione del plugin pcre[default]  
- plugin pcre caricato 394 regole.  
- Monitoraggio /var/log/messages tramite pcre[default]  
* ATTENZIONE: /var/log/everything/current non esiste.  
prelude-client: errore durante l'avvio di prelude-client: impossibile aprire '/etc/prelude/profile/prelude-lml/analyzerid' per la lettura  
  
Il profilo 'prelude-lml' non esiste. Per crearlo, eseguire:  
prelude-adduser register prelude-lml "idmef:w"  --uid 0 --gid 0.

LML deve essere registrato con uid e gid 0, poiché il processo verrà eseguito come root (per poter analizzare i log).

LML chiederà quindi la One-Time Password (OTP), che sarà fornita dal manager:

Inserisci la password one-shot fornita dal programma "prelude-adduser":  
- inserisci la password one-shot di registrazione:

Sul manager, esegui il seguente comando:

prelude-adduser registration-server prelude-manager

…

Avvio del server di registrazione.
la password one-shot generata è “dummypass”.
…

Inserisci la password al prompt di LML:

inserisci la password one-shot di registrazione:
conferma la password one-shot di registrazione:
connessione al server di registrazione (127.0.0.1:5553)…
Autenticazione anonima al server di registrazione riuscita.
Invio della richiesta di certificato.

LML ora sta aspettando che il Manager firmi il certificato.

Sul manager, convalida la richiesta di firma del certificato:

Controllo della password one-shot di autenticazione anonima riuscito.
In attesa della richiesta di certificato del client.
L’analizzatore con ID=”3559090256170900” chiede la registrazione con permesso=”idmef:w”.
Approva la registrazione [y/n]: y
Il certificato è generato e inviato al client:
Registrazione dell’analizzatore “3559090256170900” con permesso “idmef:w”.
Generazione del certificato firmato per il client.
Invio del certificato del server al client.
::ffff:127.0.0.1:47054 registrato con successo.

Sul client vedrai:

Registrazione LML riuscita

Ricezione del certificato firmato.
Ricezione del certificato CA.
registrazione prelude-lml su 127.0.0.1 riuscita.

Ora, il manager e il sensore hanno una relazione di fiducia e possono inviarsi messaggi.

Questo processo richiede del tempo, ma aumenta la sicurezza e la comunicazione tra il sensore e il manager è crittografata.

Infine, il sensore LML dovrebbe essere attivo anche:

/etc/init.d/prelude-lml start

Avvio di Prelude LML: prelude-lml.
ps auxw | grep lml
root 1946 0.3 0.0 20856 3424 ? Ss 14:35 0:00 /usr/bin/prelude-lml -d -q -P /var/run/prelude-lml.pid

Questo conclude la prima parte.