Protegendo Seu Servidor Com Um Sistema de Detecção de Intrusão Baseado em Host

Versão 1.0
Autor: Falko Timme

Este artigo mostra como instalar e executar o OSSEC HIDS, um Sistema de Detecção de Intrusão Baseado em Host de Código Aberto. Ele realiza análise de logs, verificação de integridade, detecção de rootkits, alertas baseados em tempo e resposta ativa. Ele ajuda você a detectar ataques, uso indevido de software, violações de políticas e outras formas de atividades inadequadas.

Com o OSSEC HIDS, você pode monitorar múltiplos sistemas, com um sistema sendo o servidor OSSEC HIDS e os outros os agentes OSSEC HIDS que reportam de volta ao servidor. No entanto, neste tutorial, quero monitorar apenas um sistema, então realizo uma instalação “local” para que o OSSEC HIDS faça seu trabalho localmente nesse sistema.

A seguir, utilizo um sistema Debian Sarge (3.1) para instalar o OSSEC HIDS.

Quero dizer primeiro que esta não é a única maneira de configurar tal sistema. Existem muitas maneiras de alcançar esse objetivo, mas este é o caminho que escolhi. Não dou nenhuma garantia de que isso funcionará para você!

1 Instalando o OSSEC HIDS

Instalar o OSSEC HIDS é muito fácil, é apenas uma questão de baixar as fontes, executar o script de instalação e responder às perguntas do script de instalação. Primeiro, baixamos e descompactamos as fontes do OSSEC HIDS:

cd /tmp  
wget http://www.ossec.net/files/ossec-hids-0.9-1a.tar.gz  
tar xvfz ossec-hids-0.9-1a.tar.gz

Então, executamos o script de instalação:

cd ossec-hids-0.9-1a  
./install.sh

O script de instalação fará algumas perguntas:

 Para instalação em português, escolha [br].  
 Fur eine deutsche Installation wohlen Sie [de].  
 For installation in English, choose [en].  
 Para instalar en Español , eliga [es].  
 Pour une installation en français, choisissez [fr]  
 Per l'installazione in Italiano, scegli [it].  
 æ¥æ¬èªã§ã¤ã³ã¹ãã¼ã«ãã¾ãï¼é¸æãã¦ä¸ãã  
ï¼[jp].  
 Aby instalowaÄ w jÄzyku Polskim, wybierz [pl].  
 ÐÐ»Ñ Ð¸Ð½ÑÑÑÑÐºÑÐ¸Ð¹ Ð¿Ð¾ ÑÑÑÐ°Ð½Ð¾Ð²ÐºÐµ Ð½Ð° ÑÑÑÑÐºÐ¾Ð¼ ,Ð²Ð²ÐµÐ´Ð¸ÑÐµ [ru].  
 TÃ¼rkÃ§e kurulum iÃ§in seÃ§in [tr].  
(en/br/de/es/fr/it/jp/pl/ru/tr) [en]: <-- en (ou uma das outras opções, se você não quiser usar o inglês)

Script de Instalação OSSEC HIDS v0.9-1 - http://www.ossec.net

Você está prestes a iniciar o processo de instalação do OSSEC HIDS.  
Você deve ter um compilador C pré-instalado em seu sistema.  
Se você tiver alguma dúvida ou comentário, envie um e-mail  
para [email protected] (ou [email protected]).

- Sistema: Linux server1.example.com 2.6.8-2-386  
- Usuário: root  
- Host: server1.example.com

– Pressione ENTER para continuar ou Ctrl-C para abortar. – <– [ENTER]

1- Que tipo de instalação você deseja (servidor, agente, local ou ajuda)? <– local

Escolha onde instalar o OSSEC HIDS [/var/ossec]: <– /var/ossec

3.1- Você deseja notificação por e-mail? (s/n) [s]: <– s

Qual é o seu endereço de e-mail? <– [email protected] (por favor, insira seu próprio endereço de e-mail aqui)
Encontramos seu servidor SMTP como: mail.example.com.
Você deseja usá-lo? (s/n) [s]: <– s (normalmente você pode aceitar a proposta do instalador, a menos que queira usar outro servidor SMTP)

3.2- Você deseja executar o daemon de verificação de integridade? (s/n) [s]: <– s

3.3- Você deseja executar o mecanismo de detecção de rootkits? (s/n) [s]: <– s

Você deseja habilitar a resposta ativa? (s/n) [s]: <– s
Você deseja habilitar a resposta de firewall-drop? (s/n) [s]: <– s
Você deseja adicionar mais IPs à lista branca? (s/n)? [n]: <– n (a menos que você queira adicionar mais endereços IP à lista branca)

3.6- Definindo a configuração para analisar os seguintes logs:
– /var/log/messages
– /var/log/auth.log
– /var/log/syslog
– /var/log/mail.info

- Se você quiser monitorar qualquer outro arquivo, basta alterar  
o ossec.conf e adicionar uma nova entrada localfile.  
Qualquer dúvida sobre a configuração pode ser respondida  
visitando-nos online em http://www.ossec.net .

— Pressione ENTER para continuar — <– [ENTER]

O sistema é Linux (SysV).
Script de inicialização modificado para iniciar o OSSEC HIDS durante a inicialização.
Adicionando inicialização do sistema para /etc/init.d/ossec …
/etc/rc0.d/K20ossec -> ../init.d/ossec
/etc/rc1.d/K20ossec -> ../init.d/ossec
/etc/rc6.d/K20ossec -> ../init.d/ossec
/etc/rc2.d/S20ossec -> ../init.d/ossec
/etc/rc3.d/S20ossec -> ../init.d/ossec
/etc/rc4.d/S20ossec -> ../init.d/ossec
/etc/rc5.d/S20ossec -> ../init.d/ossec

- Configuração finalizada corretamente.

- Para iniciar o OSSEC HIDS:  
/var/ossec/bin/ossec-control start

- Para parar o OSSEC HIDS:  
/var/ossec/bin/ossec-control stop

- A configuração pode ser visualizada ou modificada em /var/ossec/etc/ossec.conf

Obrigado por usar o OSSEC HIDS.  
Se você tiver alguma dúvida, sugestão ou se encontrar algum bug,  
entre em contato conosco em [email protected] ou usando nossa lista de discussão pública em  
[email protected]  
(http://mailman.underlinux.com.br/mailman/listinfo/ossec-list).

Mais informações podem ser encontradas em http://www.ossec.net

— Pressione ENTER para finalizar (talvez mais informações abaixo). — <– [ENTER]

É isso, o OSSEC HIDS agora está instalado e pronto para ser iniciado.

2 Iniciando E Executando O OSSEC HIDS

Para iniciar o OSSEC HIDS, executamos este comando:

/etc/init.d/ossec start

A saída deve ser parecida com isto:

server1:/etc/init.d# /etc/init.d/ossec start  
Iniciando OSSEC HIDS v0.9-1 (por Daniel B. Cid)...  
Iniciado ossec-maild...  
Iniciado ossec-execd...  
Iniciado ossec-analysisd...  
Iniciado ossec-logcollector...  
Iniciado ossec-syscheckd...  
Concluído.  
server1:/etc/init.d#

Como você pode ter visto durante a instalação do OSSEC HIDS, o instalador também criou os links de inicialização do sistema necessários para o OSSEC HIDS, de modo que o OSSEC HIDS será iniciado automaticamente sempre que você inicializar/reinicializar seu sistema.

Depois que o OSSEC HIDS foi iniciado, ele funcionará silenciosamente em segundo plano, realizando análise de logs, verificação de integridade, detecção de rootkits, etc. Você pode verificar se ele está em execução executando

ps aux

Na saída, você deve encontrar algo como isto:

ossecm 2038 0.0 0.4 1860 792 ? S 12:40 0:00 /var/ossec/bin/ossec-maild root 2042 0.0 0.3 1736 648 ? S 12:40 0:00 /var/ossec/bin/ossec-execd ossec 2046 0.2 0.5 2192 1136 ? S 12:40 0:00 /var/ossec/bin/ossec-analysisd root 2050 0.0 0.2 1592 556 ? S 12:40 0:00 /var/ossec/bin/ossec-logcollector root 2054 12.2 0.3 1756 616 ? S 12:40 0:05 /var/ossec/bin/ossec-syscheckd

O arquivo de log do OSSEC HIDS é /var/ossec/logs/ossec.log, então você pode verificá-lo para ver o que está acontecendo, por exemplo, com o comando tail.

tail -f /var/ossec/logs/ossec.log

mostra o que está acontecendo em tempo real. Pressione CTRL-C para sair.

tail -n 100 /var/ossec/logs/ossec.log

mostra as últimas 100 linhas do log do OSSEC HIDS.

Sempre que o OSSEC HIDS detectar algo suspeito, ele envia um e-mail com um relatório sobre a atividade para o endereço de e-mail que você especificou durante a instalação:

Se você quiser alterar as configurações do OSSEC HIDS (por exemplo, mudar o endereço de e-mail, adicionar conjuntos de regras personalizados, etc.), você pode fazer isso editando o arquivo de configuração /var/ossec/etc/ossec.conf (que está em formato XML). Você pode fazer isso usando um editor de linha de comando como vi:

vi /var/ossec/etc/ossec.conf

O arquivo se parece com isto:

| yes [email protected] mail.example.com. [email protected] [...] |

Se você alterar o arquivo, certifique-se de reiniciar o OSSEC HIDS depois:

/etc/init.d/ossec restart

Para aprender como adicionar conjuntos de regras personalizados, etc. à configuração do OSSEC HIDS, consulte o manual do OSSEC HIDS: http://www.ossec.net/en/manual.html

3 Links

OSSEC HIDS: http://www.ossec.net