Seguimos con esta serie dedicada a Prelude IDS / IPS.
Ya en anteriores capítulos os he comentado que Prelude soporta, de forma nativa, OSSEC. Pues bien, en esta ocasión vamos a instalar OSSEC en modo servidor, con soporte prelude, lo pondremos en marcha y lo registraremos en nuestro centro de control prelude para visualizar los eventos mediante Prewikka.
Modificado el 20-04-2011 para aclaración fichero ossec.conf (se añade captura de pantalla).
Antes que nada..
Qué es OSSEC.
Brévemente. OSSEC es un sistema de detección de intrusiones basado en host o nodos, es decir, la detección se basa en la búsqueda de anomalías, cambios, intrusiones, rastro de actividades intrusivas, inicios de sesión, etc, que se localizan en una determinada máquina o host. Analiza y controla todo el sistema.
Es lo que se denomina un HIDS ó Host-based Intrusion Detection
System.
Es multiplataforma y por ello funciona, a parte de Linux (Debian, Ubuntu, etc), para Windows (a nivel de sensores), Solaris, Free-Open-NEtBSD, VMWare, Mac OS X, etc.
Entonces que analiza, cuales son sus funciones.
Entre otras, las funciones son:
- detección de rootkits
- comprobación de integridad de los ficheros
- analisis de los diferentes registros y logs del sistema y herramintas
- es capaz, si se configura para ello, de generar respuestas activas
- etc,
Vamos con la instalación…
Instalación de OSSEC en modo servidor y con soporte Ptrelude.
La instalación de OSSEC es muy sencilla. Aquí lo que me interesa es el soporte prelude. Vamos a ello:
wget http://www.ossec.net/files/ossec-hids-latest.tar.gz
tar -zxf ossec-hids-latest.tar.gz
cd ossec-hids-2.5.1./
cd src
make setprelude
cd ..
./install.sh
Durante la instalación se nos hará una serie de preguntas sencillas:
- idioma instalación
- tipo de instalación
- lugan donde se instalará ossec
- notificacion via mail
- activación servidor de integridad
- activación sistema deteccion rootkits
- activación de respestas activas
- activacion syslog remoto y
- estableciendo la configuración para analizar los siguientes registros:
— /var/log/messages
— /var/log/auth.log
— /var/log/syslog
— /var/log/mail.info
— /var/log/dpkg.log
— /var/log/snort/alert (snort-fast file)
— /var/log/apache2/error.log (apache log)
— /var/log/apache2/access.log (apache log)
(podemos añadir más de forma manual)
Habilitando soporte prelude.
La configuración la encontramos en /var/ossec/etc/ossec.conf y antes de ejecutar OSSEC, tendremos que editar ossec.conf para añadir en la sección global lo que está marcado en rojo:
NOTA IMPORTANTE: Lo que está marcado en azul, que es opcional, es el nombre del profile para luego registrar el servidor ossec como sensor de prelude. Es decir que si en la captura tiene el nombre ossec-server, luego en el registro prelude-admin register… tambiénd ebe tener el mismo nombre.
Una vez terminemos la instalación podemos ejecutar o parar OSSEC de la forma:
/var/ossec/bin/ossec-control start / stop
Bien. Ya temenos OSSEC en modo servidor. Esto nos servirá para recolectar todos los eventos de los sistemas en los que tengamos sensores.
Pero, antes que nada, vamos a registrar OSSEC en nuestro centro Prelude.
Registo de servidor OSSEC en Prelude-manager.
Para ello y como siempre:
root@snortsensor:/var/ossec/etc# sudo prelude-admin register ossec-server «idmef:w» 192.168.1.96 -uid 0 -gid 0
Generating 2048 bits RSA private key… This might take a very long time.
[Increasing system activity will speed-up the process].
Generation in progress… X…………………….+++++O…….+++++O
You now need to start «prelude-admin» registration-server on 192.168.1.96:
example: «prelude-admin registration-server prelude-manager»
Ejecutamos, tal como nos indica, desde el servidor Prelude o mediante SSH la línea: sudo prelude-admin registration-server prelude-manager para extraer el password. Una vez extraído lo indicamos:
Enter the one-shot password provided on 192.168.1.96:
Confirm the one-shot password provided on 192.168.1.96:
Connecting to registration server (192.168.1.96:5553)… Authentication succeeded.
Successful registration to 192.168.1.96:5553.
Ya está registrado.
Ahora ejecutamos:
/var/ossec/bin/ossec-control start
y veremos en el servidor prelude como se inicia el sensor en el sistema.
Lo comprobamos:
Ya tenemos arriba 5 sensores, entre ellos ossec-server.
Ya alguna que otra alerta:
.
Un anticipo para el siguiente artículo. Agentes Windows.
Y es aqui lo más intersante para nuestro sistema Prelude IDS / IPS. La instalación de sensores OSSEC en Sistemas Windows.
Uno de los agentes Windows que instalaremos:
Lo veremos todo en el siguiente artículo parte 6.
.
Otros artículos de la serie Prelude IDS / IPS.
- Instalando y Configurando Centro IDS / IPS con Prelude SIEM, Snort y Prewikka. Parte I
- Instalando y Configurando Centro IDS / IPS con Prelude SIEM, Snort y Prewikka. Parte 2
- Instalando y Configurando Centro IDS / IPS con Prelude SIEM, Snort y Prewikka. Parte 3
- Instalando y Configurando Centro IDS / IPS con Prelude SIEM, Snort y Prewikka. Parte 4. Sensor Suricata.
==
Hasta aquí por hoy. Hasta la próxima.
Seguridad y Redes 
Amigo yo otra ve, ya estoy en esta parte del tuto.
Instale el ossec en modo servidor, segun tambien lo registre al prelude manager y se ejecuta sin problemas, pero no me aparece en la pantalla de prewikka
Mauricio, en la pantalla de prewikka no te aparece nada respecto a ossec-server como agente o te dice que esta offline ?
Alfon, nada solo aparecen los 4 sensores del tutorial.
Imagen
Ahi puedes ver una captura de los sensores que tengo disponibles.
Se me olvido, que tambien agregue en el archivo de configuracion, lo que dices para incluirlo en el prelude.
La segunda linea la agregue, ya que hize una visita a la pagina oficial en busca de ayuda, pero por mas que busque es lo mismo que el tutorial, asi que no estoy muy seguro cual es el problema aun.
Saludos
Hola Mauricio,
A mí me da que ni siquiera está registrado ossec-server como sensor de Prelude. De estarlo, aparecería al menos como offline. Para comprobarlo haz lo siguiente desde donde se encuentre ubicado el servidor OSSEC:
.
.
Con esto le pedimos al administrador Prelude (prelude-admin) que nos liste todos los sensores registrados en este host y nos muestre los Permisos y AnalizerID. Debe aparecer el ossec-server y sus AnalyzerID.
Si aparece pero no tiene AnalizerID es que no está correctamente registrado. Si no aparece que que no está registrado.
El registro de ossec server debes hacerlo desde donde se encuentre el ossec-server y no desde el servidor prelude. Puede que ahí esté el problema.
Además, en donde se encuentre ossec-server debes instalar correctamentes las librerías libprelude (que seguro está). Y que no existan problemas de comunicación (firewall, etc) entre servidor osssec y servidor prelude.
Revista estas cosillas y verás como se resuelve.
Saludos,
Alfon, aqui adjunto una imagen, veo que tiene AnalyzerID, y los permisos, es posible que quizas el problema este donde indicas, quizas le falta la libreria, aunque esta raro, porque se compilo con la opcion para soportar prelude.
La libreria tanto de prelude normal como desarrollo estan instalados en el sistema.
Algo que no estoy muy seguro con lo que quieres decir, es que tengo que registrarlo desde donde esta instalado??
Gracias por la respuesta.
Imagen del prelude-admin
Mauricio,
Yo tengo ossec-server en otra máquina, de ahí mis instrucciones. Tu lo tienes todo en la misma instalación. Vamos a ver si conseguimos poner todo en marcha.
Revisa en el fichero ossec.conf el tags prelude_profile. Tiene que tener el mismo nombre de profile que el registrado mediante el procedimiento prelude-admin register. Es decirque si registra con el porfile ossec-server pues el mismo nombre debe tener en ossec.conf.
Una vez comprobado esto, seguimos:
Para el servicio prelude-manager, prelude-lml y ossec-control y los vuelve a ejecutar en el mismo orden. Hazlo en terminales diferentes y cuando hagas /var/ossec/bin/ossec-control start, fijate en el terminal donde se esté ejecutando prelude-manager porque este es quien debe aceptar la conexion/validación de registro y si no lo hace, debe devolver algún error que te dé una pista.
Si no consigues nada, entonces:
Si es necesario puedes, en prelude-admin, borrar el profile ossec-server y volver a registrar. Lo puedes borrar con:
.
.
unavez hecho esto vuelve a registrar y sigue el procedimiento.
Saludos,
Alfon, creo que el problema radicaba ahi, en el archivo de configuracion de ossec, agregue el nombre del perfil con el que tenia registrado en el prelude-manager.
Te agradezco otra vez tu ayuda.
Saludos y gracias.
Posteo el link asi, para que no distorciones el comentario otra vez
Mauricio, me alegro mucho de que esté todo solucionado. No te preocupes por lo de la imagen, es cuestión de tamaño. Casi prefiero que se vea para que los demás lectores vean todo funciona corectamente y, a lo largo de los comentarios, sepan donde pueden tener problemas y como solucionarlos. Saludos y gracias a tí.
Buena tarde a todos!!!
Estoy haciendo una especializacion en seguridad en redes y debo implementar un ids/ips en un proyecto de aula me gustaria realizar una demostracion con prelude y los sensores que he visto en este site.
Les agradeco si me pueden hechar una manita pos soy muy novato en esto.
Les agradezco muy buenos aportes.
Juan Gonzalez
jfgonzalez00@misena.edu.co
Juan González, solo tienes que revisar todo lo publicado aquí sobre Prelude IDS y las dudas que te surgan las vamos comentando.