Este fin de semana me dio por aplicar un sistema detector de intrusos basados en host o HIDS, esto por que estaba un poco paranóico, asi que me dispuse a consultar por algun software que me sirviera para prestar este tipo de servicio, después de una busqueda por google, me encontre que existe un software llamado OSSEC, software free, bien me sirve para prestar el servicio de HIDS e incluso de syslog, cuya función aun no abordaremos, asi que con algo de paranoia me dispuse a descargarlo e instalarlo, lógicamente desde la página oficial http://www.ossec.net/, pero primero habia que ver el soporte sobre GNU/Linux, y si que esta bien soportado, ya teniendo esto claro ahora si lo descargo desde la sección de Downloads por medio de la consola con un par de wget, uno para descargar el HIDS y el otro para descargar un entorno gráfico basado en web para observar la actividad generada :D, incluso en la página oficial cuento tambien con los resumenes hash MD5 de ambos paquetes, claro está, siempre es mejor asegurarse de que sean los mismo paquetes.
En una consola hemos digitado los siguientes comandos:
Verificamos los resumenes hash MD5 o cheksum de los archivos en la pagina oficial del software OSSEC:
Para comprobarlos, podemos usar el comando md5sum que viene por defecto en los sistemas UNIX:
Con esto hemos comprobado que los paquetes son los mismos, ahora si podemos instalarlos y configurarlos con confianza, los desempaquetamos con tar zxvf {Nombre del paquete comprimido en .tar.gz}, lo hacemos a cada uno obteniendo dos carpetas, una que es la del sistema HIDS y la otra que es de la interfaz web, lo primero en hacer es instalar el sistema HIDS, entrando en la carpeta ossec-hids-2.4.1 i dentro de este vamos a encontrar unos scripts, usamos el install.sh para proceder a la instalación, lo ejecutamos con ./install.sh esto ejecutará un wizard para dicha instalación y configuración.
Lo primero que nos pide es el lenguaje, lo dejamos en ingles por defecto, y muchas de las siguientes opciones las vamos a dejar por defecto como podermos apreciar:
Lo que modificaremos será la configuración para que las alertas nos la envie también a nuestro correo, para que así tengamos un mejor control de nuestro equipo, aceptamos el resto de opciones por defecto, al final nos pedira la confirmación para la compilación e instalación del OSSEC, esperamos a que termine la instalación y procedemos a instalar nuestro entorno web para observar los eventos o logs generados.
Antes de iniciar con la instalación cabe la aclaración de que se necesita contar con un servidor web con soporte de php instalado en la maquina.
Igual que en el proceso anterior, descomprimimos el paquete comprimido con tar zxvf {Nombre del paquete comprimido en .tar.gz}, movemos y renombramos nuestra carpeta de ossec-wui-0.3 a nuestro directorio raiz del servidor web que en mi caso es /var/www y lo he renombrado como ossec y todo con el siguiente comando:
Ingresa a esta carpeta en su nuevo directorio, adentro se encuentra un script de configuración llamado setup.sh, el cual ejecutamos con ./setup.sh, pidiendo un nombre de usuario y un password para la pagina.
Solo resta configurar de manera adecuada el servidor web para que acceda directamente a esta pagina y lista nuestra interfaz para vigilar los logs.
Revisamos por si nuestro software OSSEC creo automaticamente el script para iniciar, para y reiniciar el OSSEC, si se encuentra que es lo mas probable, se procede a iniciar el HIDS, con service ossec start.
Esta acción de iniciar el servicio genera el primer log o evento listado por el HIDS, si deseamos verlo podemos ingresar a la interfaz web local por medio de la URL http://localhost/ossec o con la configuración que hayan seteado, donde observaremos los eventos recientes el primer evento avisando que el Sistema de detección de intrusiones basado en Host, o HIDS ha iniciado.
Igualmente como se ha configurado el envio de estos eventos al correo, revisando este se puede encontrar dicho eventos, para mi ejemplo me ha llegado a la carpeta de SPAM para que en el caso en que no les aparezca en el buzón de entrada revisen la categoria de SPAM.
Con esto queda por concluido la instalación y configuración del HIDS con el software OSSEC en GNU/Linux Ubuntu 10.04, espero que les ayude a estar un poco mas seguros.
No hay comentarios:
Publicar un comentario