侵入検知: Snort (IDS), OSSEC (HbIDS) と Prelude (HIDS) の Ubuntu Gutsy Gibbon 上での設定

誰もが問題を知っています。あなたは IDS ツールをインストールしていて、各ツールには独自のインターフェースがあります。

Prelude はすべてのイベントを prelude データベースにログし、1 つのインターフェース (prewikka) を使用して参照できるようにします。このハウツーでは、完全なソリューションを構成するさまざまなツールのインストールと設定方法を説明します。

このハウツーは、いくつかの問題を解決するために見つけた断片やマニュアルの一部、そして完全なソリューションのインストールに関する私自身の経験に基づいています。

Snort に関する詳細情報は、www.snort.org を訪問してください。

OSSEC に関する詳細情報は、www.ossec.net を訪問してください。

Prelude に関する詳細情報は、www.prelude-ids.org を訪問してください。

前提条件:

The Perfect Server - Ubuntu Gutsy Gibbon (Ubuntu 7.10) に従ったと仮定しましょう。そうでない場合は、そのハウツーに従い、システムにインストールされていない部分のみをインストール/追加してください。

以下のパッケージは便利なので、正しくインストールされていることを確認してください:

apt-get install ntpdate
apt-get install dbconfig-common

Prelude のインストールと設定

通常、libprelude、libpreludedb をコンパイルしてインストールし、その後データベースを作成する必要があります。幸運なことに、パッケージは Ubuntu リポジトリによって提供されています。

Prelude マネージャー

apt-get install prelude-manager

/etc/prelude/default/tls.conf からのデフォルト TLS 設定を使用:
生成されたキーサイズ: 1024 ビット。
認証証明書の有効期限: 無制限。
生成された証明書の有効期限: 無制限。
アナライザー prelude-manager を作成中。
/etc/prelude/profile/prelude-manager を作成中…
prelude-manager のために割り当てられた識別子: 4232957740008155。
RSA プライベートキーを生成中… これは非常に長い時間がかかる場合があります。
[システムのアクティビティを増やすと、プロセスが速くなります。]
1024 ビット RSA プライベートキーを生成中…

インストール中、マネージャーは prelude ユーザーのプロファイルを作成します。GnuTLS が /dev/random にアクセスしようとするため、非常に長い時間がかかる場合があります（セキュリティ上の理由から）。将来的には、より速い生成を可能にするオプションが追加されるかもしれませんが、暗号的には安全性が低くなります。

dbconfig は、データベースを自動的に構成するかどうかを尋ねます。望まない場合は「いいえ」と言って、すべてを手動で構成してください（sql スクリプトはディレクトリ /usr/share/libpreludedb/ にあります）。答えが「はい」と仮定しましょう。

注: 質問の数は、debconf の冗長性（dpkg-reconfigure debconf を使用して設定）や、ファイル /etc/dbconfig-common/config の dbconfig パラメータによって変わる場合があります。

database-common でデータベースを構成: はい  
database type:

以前にインストールしたデータベースのタイプを設定します。この場合は mysql です。

データベース管理者パスワード: ******

dbconfig-common は ‘prelude’ ユーザーのパスワードを尋ねます。何も提供しない場合（ただ Enter を押すだけ）、ランダムなものが生成されます。心配しないでください、構成ファイルは自動的に更新されます。

dbconfig-common: /etc/dbconfig-common/prelude-manager.conf に構成を書き込み中  

新しいバージョンで /etc/dbconfig-common/prelude-manager.conf を作成中  
prelude@localhost に対するデータベース prelude へのアクセスを付与: 成功。  
prelude@localhost に対するアクセスを確認中: 成功。  
データベース prelude を作成中: 成功。  
データベース prelude が存在することを確認中: 成功。  
sql を介してデータベースをポピュレート中...  完了。  
dbconfig-common: 管理パスワードをフラッシュ中  
Prelude Manager を開始中: prelude-manager.

Ubuntu パッケージは自動的に prelude のためのユーザーとデータベースを作成します。パスワードを変更したい場合は、最初に mysql で変更し、その後 /etc/prelude-manager/prelude-manager.conf で変更してください。

Prelude-Manager は現在実行中であるはずです:

ps auxw | grep manager

prelude 28530  0.0  0.1  59384  4480 ?        Ssl  13:49   0:00 /usr/sbin/prelude-manager

最初の部分は終了しました。これでマネージャーが稼働しています。

リッスンアドレス:

デフォルトのリッスンアドレスは localhost (127.0.0.1) です。これは、エージェントが prelude-manager に到達できるように、異なるホストにセンサーを追加するために変更する必要があることを意味します。

/etc/prelude-manager/prelude-manager.conf を編集:

listen = xxx.xxx.xxx.xxx

サーバーを再起動し、アドレスを確認します（アドレスを変更した場合）:

# /etc/init.d/prelude-manager stop

   Prelude Manager を停止中: prelude-manager.

# /etc/init.d/prelude-manager start

Prelude Manager を開始中: prelude-manager.

# netstat -pantu | grep prelude

tcp        0      0 192.168.66.1:4690          0.0.0.0:*      LISTEN     30544/prelude-manager

Prelude-LML

監視したいすべてのホストに prelude-lml をインストールする必要があります。Prelude-LML はログを分析し、マネージャーにイベントを報告します。

# apt-get install prelude-lml

…
Prelude LML を開始中: prelude-lml。

使用する前に、2 つのことを行う必要があります:

マネージャーのアドレスを lml に設定する必要があります
マネージャーは、センサーが登録されるまで信頼しません

マネージャーアドレス

マネージャーがリッスンしているアドレスを変更した場合は、prelude-lml をインストールしたすべてのマシンのクライアント設定でアドレスを変更する必要があります。

マネージャーのアドレスはファイル /etc/prelude/default/client.conf に保存されています:

[prelude]  
server-addr = 127.0.0.1

センサーの登録

センサーの登録は、センサーとマネージャーの両方でコマンドを実行する必要がある 4 ステップのプロセスです:

LML クライアントで、登録コマンドを実行:

prelude-adduser register prelude-lml "idmef:w"  --uid 0 --gid 0

ヒント: コマンドを思い出せない場合は、prelude-lml を実行してください。登録されていないため失敗しますが、ヘルプを表示するのに十分賢いです:

# prelude-lml   
- プラグイン pcre[default] にサブスクライブ中  
- pcre プラグインが 394 ルールを読み込みました。  
- pcre[default] を介して /var/log/messages を監視中  
* 警告: /var/log/everything/current が存在しません。  
prelude-client: prelude-client の起動エラー: '/etc/prelude/profile/prelude-lml/analyzerid' を読み取ることができませんでした  
  
プロファイル 'prelude-lml' は存在しません。作成するには、次を実行してください:  
prelude-adduser register prelude-lml "idmef:w"  --uid 0 --gid 0.

LML は uid と gid 0 で登録する必要があります。プロセスは root として実行されるため（ログを分析できるように）。

LML は次にワンタイムパスワード (OTP) を要求します。これはマネージャーによって提供されます:

「prelude-adduser」プログラムによって提供されたワンショットパスワードを入力してください:  
- 登録ワンショットパスワードを入力:

マネージャーで、次を実行:

prelude-adduser registration-server prelude-manager

…

登録サーバーを開始中。
生成されたワンショットパスワードは “dummypass” です。
…

LML プロンプトにパスワードを入力:

登録ワンショットパスワードを入力:
登録ワンショットパスワードを確認:
登録サーバー (127.0.0.1:5553) に接続中…
登録サーバーへの匿名認証が成功しました。
証明書要求を送信中。

LML は現在、マネージャーが証明書に署名するのを待っています。

マネージャーで、証明書署名要求を検証:

匿名認証ワンショットパスワードチェックが成功しました。
クライアント証明書要求を待っています。
ID=”3559090256170900” のアナライザーが permission=”idmef:w” で登録を要求しています。
登録を承認しますか [y/n]: y
証明書が生成され、クライアントに送信されました:
アナライザー “3559090256170900” を permission “idmef:w” で登録中。
クライアントのために署名された証明書を生成中。
サーバー証明書をクライアントに送信中。
::ffff:127.0.0.1:47054 が正常に登録されました。

クライアントでは次のように表示されます:

LML の登録が成功しました

署名された証明書を受信中。
CA 証明書を受信中。
prelude-lml の 127.0.0.1 への登録が成功しました。

これで、マネージャーとセンサーの間に信頼関係ができ、互いにメッセージを送信できるようになりました。

このプロセスには時間がかかりますが、セキュリティが向上し、センサーとマネージャー間の通信が暗号化されます。

最後に、LML センサーも起動しているはずです:

/etc/init.d/prelude-lml start

Prelude LML を開始中: prelude-lml。
ps auxw | grep lml
root 1946 0.3 0.0 20856 3424 ? Ss 14:35 0:00 /usr/bin/prelude-lml -d -q -P /var/run/prelude-lml.pid

これで最初の部分は終了です。