Centro IDS / IPS con Prelude SIEM…. Parte 5. Instalando y configurando OSSEC soporte con prelude. Añadiendo sensor.

Seguimos con esta serie dedicada a Prelude IDS / IPS.

ossec logo

Ya en anteriores capítulos os he comentado que Prelude soporta, de forma nativa, OSSEC. Pues bien, en esta ocasión vamos a instalar OSSEC en modo servidor, con soporte prelude, lo pondremos en marcha y lo registraremos en nuestro centro de control prelude para visualizar los eventos mediante Prewikka.

Modificado el 20-04-2011 para aclaración fichero ossec.conf (se añade captura de pantalla).

Antes que nada..

Qué es OSSEC.

Brévemente. OSSEC es un sistema de detección de intrusiones basado en host o nodos, es decir, la detección se basa en la búsqueda de anomalías, cambios, intrusiones, rastro de actividades intrusivas, inicios de sesión, etc, que se localizan en una determinada máquina o host. Analiza y controla todo el sistema.

Es lo que se denomina un HIDS ó Host-based Intrusion Detection
System
.

Es multiplataforma y por ello funciona, a parte de Linux (Debian, Ubuntu, etc), para Windows (a nivel de sensores), Solaris, Free-Open-NEtBSD, VMWare, Mac OS X, etc.

Entonces que analiza, cuales son sus funciones.

Entre otras, las funciones son:

  • detección de rootkits
  • comprobación de integridad de los ficheros
  • analisis de los diferentes registros y logs del sistema y herramintas
  • es capaz, si se configura para ello, de generar respuestas activas
  • etc,

Vamos con la instalación…

Instalación de OSSEC en modo servidor y con soporte Ptrelude.

La instalación de OSSEC es muy sencilla. Aquí lo que me interesa es el soporte prelude. Vamos a ello:

wget http://www.ossec.net/files/ossec-hids-latest.tar.gz
tar -zxf ossec-hids-latest.tar.gz
cd ossec-hids-2.5.1./
cd src
make setprelude
cd ..
./install.sh

Durante la instalación se nos hará una serie de preguntas sencillas:

  • idioma instalación
  • tipo de instalación
  • lugan donde se instalará ossec
  • notificacion via mail
  • activación servidor de integridad
  • activación sistema deteccion rootkits
  • activación de respestas activas
  • activacion syslog remoto y
  • estableciendo la configuración para analizar los siguientes registros:
    — /var/log/messages
    — /var/log/auth.log
    — /var/log/syslog
    — /var/log/mail.info
    — /var/log/dpkg.log
    — /var/log/snort/alert (snort-fast file)
    — /var/log/apache2/error.log (apache log)
    — /var/log/apache2/access.log (apache log)

(podemos añadir más de forma manual)

Habilitando soporte prelude.

La configuración la encontramos en /var/ossec/etc/ossec.conf  y antes de ejecutar OSSEC, tendremos que editar ossec.conf para añadir en la sección global lo que está marcado en rojo:

configuracion ossec ossec.conf soporte prelude profile

NOTA IMPORTANTE:  Lo que está marcado en azul, que es opcional, es el nombre del profile para luego registrar el servidor ossec como sensor de prelude. Es decir que si en la captura tiene el nombre ossec-server, luego en el registro prelude-admin register… tambiénd ebe tener el mismo nombre.

Una vez terminemos la instalación podemos ejecutar o parar OSSEC de la forma:

/var/ossec/bin/ossec-control start / stop


Bien. Ya temenos OSSEC en modo servidor. Esto nos servirá para recolectar todos los eventos de los sistemas en los que tengamos sensores.

Pero, antes que nada, vamos a registrar OSSEC en nuestro centro Prelude.

Registo de servidor OSSEC en Prelude-manager.

Para ello y como siempre:

root@snortsensor:/var/ossec/etc# sudo prelude-admin register ossec-server “idmef:w” 192.168.1.96 -uid 0 -gid 0
Generating 2048 bits RSA private key… This might take a very long time.
[Increasing system activity will speed-up the process].
Generation in progress… X…………………….+++++O…….+++++O

You now need to start “prelude-admin” registration-server on 192.168.1.96:
example: “prelude-admin registration-server prelude-manager”

Ejecutamos, tal como nos indica, desde el servidor Prelude o mediante SSH la línea: sudo prelude-admin registration-server prelude-manager para extraer el password. Una vez extraído lo indicamos:

Enter the one-shot password provided on 192.168.1.96:
Confirm the one-shot password provided on 192.168.1.96:

Connecting to registration server (192.168.1.96:5553)… Authentication succeeded.
Successful registration to 192.168.1.96:5553.

Ya está registrado.

Ahora ejecutamos:

/var/ossec/bin/ossec-control start

y veremos en el servidor prelude como se inicia el sensor en el sistema.

Lo comprobamos:

sensor ossec en prelude manager prewikka

Ya tenemos arriba 5 sensores, entre ellos ossec-server.

Ya alguna que otra alerta:

sensor ossec en prelude manager prewikka alertas

.

Un anticipo para el siguiente artículo. Agentes Windows.

Y es aqui lo más intersante para nuestro sistema  Prelude IDS / IPS. La instalación de sensores OSSEC en Sistemas Windows.

logs ossec agentes windows en prelude prewikka

Uno de los agentes Windows que instalaremos:

agente ossec windows agent manager

Lo veremos todo en el siguiente artículo parte 6.

.

Otros artículos de la serie Prelude IDS / IPS.

==

Hasta aquí por hoy. Hasta la próxima.

Esta entrada fue publicada en Monitorización, OSSEC HIDS, Prelude IDS - IPS, Security Onion. Guarda el enlace permanente.

11 respuestas a Centro IDS / IPS con Prelude SIEM…. Parte 5. Instalando y configurando OSSEC soporte con prelude. Añadiendo sensor.

  1. Mauricio dijo:

    Amigo yo otra ve, ya estoy en esta parte del tuto.
    Instale el ossec en modo servidor, segun tambien lo registre al prelude manager y se ejecuta sin problemas, pero no me aparece en la pantalla de prewikka

  2. Alfon dijo:

    Mauricio, en la pantalla de prewikka no te aparece nada respecto a ossec-server como agente o te dice que esta offline ?

  3. Mauricio dijo:

    Alfon, nada solo aparecen los 4 sensores del tutorial.
    Imagen
    Ahi puedes ver una captura de los sensores que tengo disponibles.

  4. Mauricio dijo:

    Se me olvido, que tambien agregue en el archivo de configuracion, lo que dices para incluirlo en el prelude.

    yes
    6

    La segunda linea la agregue, ya que hize una visita a la pagina oficial en busca de ayuda, pero por mas que busque es lo mismo que el tutorial, asi que no estoy muy seguro cual es el problema aun.
    Saludos

  5. alfon dijo:

    Hola Mauricio,
    A mí me da que ni siquiera está registrado ossec-server como sensor de Prelude. De estarlo, aparecería al menos como offline. Para comprobarlo haz lo siguiente desde donde se encuentre ubicado el servidor OSSEC:
    .

    sudo prelude-admin list -l

    .
    Con esto le pedimos al administrador Prelude (prelude-admin) que nos liste todos los sensores registrados en este host y nos muestre los Permisos y AnalizerID. Debe aparecer el ossec-server y sus AnalyzerID.
    Si aparece pero no tiene AnalizerID es que no está correctamente registrado. Si no aparece que que no está registrado.
    El registro de ossec server debes hacerlo desde donde se encuentre el ossec-server y no desde el servidor prelude. Puede que ahí esté el problema.
    Además, en donde se encuentre ossec-server debes instalar correctamentes las librerías libprelude (que seguro está). Y que no existan problemas de comunicación (firewall, etc) entre servidor osssec y servidor prelude.
    Revista estas cosillas y verás como se resuelve.
    Saludos,

  6. Mauricio dijo:

    Alfon, aqui adjunto una imagen, veo que tiene AnalyzerID, y los permisos, es posible que quizas el problema este donde indicas, quizas le falta la libreria, aunque esta raro, porque se compilo con la opcion para soportar prelude.
    La libreria tanto de prelude normal como desarrollo estan instalados en el sistema.
    Algo que no estoy muy seguro con lo que quieres decir, es que tengo que registrarlo desde donde esta instalado??
    Gracias por la respuesta.
    Imagen del prelude-admin

  7. Alfon dijo:

    Mauricio,
    Yo tengo ossec-server en otra máquina, de ahí mis instrucciones. Tu lo tienes todo en la misma instalación. Vamos a ver si conseguimos poner todo en marcha.
    Revisa en el fichero ossec.conf el tags prelude_profile. Tiene que tener el mismo nombre de profile que el registrado mediante el procedimiento prelude-admin register. Es decirque si registra con el porfile ossec-server pues el mismo nombre debe tener en ossec.conf.
    Una vez comprobado esto, seguimos:
    Para el servicio prelude-manager, prelude-lml y ossec-control y los vuelve a ejecutar en el mismo orden. Hazlo en terminales diferentes y cuando hagas /var/ossec/bin/ossec-control start, fijate en el terminal donde se esté ejecutando prelude-manager porque este es quien debe aceptar la conexion/validación de registro y si no lo hace, debe devolver algún error que te dé una pista.
    Si no consigues nada, entonces:
    Si es necesario puedes, en prelude-admin, borrar el profile ossec-server y volver a registrar. Lo puedes borrar con:
    .

    sudo prelude del [nombre_del_profile]

    .
    unavez hecho esto vuelve a registrar y sigue el procedimiento.
    Saludos,

  8. Mauricio dijo:

    Alfon, creo que el problema radicaba ahi, en el archivo de configuracion de ossec, agregue el nombre del perfil con el que tenia registrado en el prelude-manager.
    Te agradezco otra vez tu ayuda.
    Saludos y gracias.
    Posteo el link asi, para que no distorciones el comentario otra vez

  9. Alfon dijo:

    Mauricio, me alegro mucho de que esté todo solucionado. No te preocupes por lo de la imagen, es cuestión de tamaño. Casi prefiero que se vea para que los demás lectores vean todo funciona corectamente y, a lo largo de los comentarios, sepan donde pueden tener problemas y como solucionarlos. Saludos y gracias a tí.

  10. Juan Gonzalez Vidal dijo:

    Buena tarde a todos!!!
    Estoy haciendo una especializacion en seguridad en redes y debo implementar un ids/ips en un proyecto de aula me gustaria realizar una demostracion con prelude y los sensores que he visto en este site.
    Les agradeco si me pueden hechar una manita pos soy muy novato en esto.
    Les agradezco muy buenos aportes.
    Juan Gonzalez
    jfgonzalez00@misena.edu.co

  11. Alfon dijo:

    Juan González, solo tienes que revisar todo lo publicado aquí sobre Prelude IDS y las dudas que te surgan las vamos comentando.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s