En el anterior artículo de esta serie dedicada a Prelude IDS / IPS, instalamos OSSEC en modo servidor, lo registramos en nuestro Sistema Prelude y lo pusimos en marcha.
En esta ocasión vamos a instalar y configurar sensores Windows para que envien alertas a OSSEC server y, a su vez, este lo haga al sistema centralizado Prelude – manager. Configuraremos OSSEC para la comunicación con los sensores y daremos de alta estos en OSSEC server.También veremos como gestionar los distintos sensores y la corrección de posibles errores
Instalación de sensores OSSEC para Windows.
Tan solo tenemos que ir a la página de descarga del agente que se encuentra en: http://www.ossec.net/main/downloads/ desde ahí descargamos Windows agent version 2.5.1 para Windows 2000, XP, 2003 server y Vista.
La instalación es muy sencilla y una vez realizada iremos a Inicio > Programas > OSSEC > Manage Agent.
Tenemos dos datos que indicar al agente:
- La IP del OSSEC server.
- Authentication key.
de momento sabemos la IP del servidor OSSEC. En mi caso 192.168.106.
Alta de sensores en OSSEC Server.
Ahora vamos al servidor OSSEC para dar de alta al sensor o sensores. En mi caso dos, uno para XP y otro para Windows 2000.
Antes que nada tenemos que configurar OSSEC para que la comunicación con sensores remotos en /var/ ossec/etc/ossec.conf. En la sessión remote añadiremos un tag para el puerto UDP de comunicación (1514) y otro para los «allowed ip» o IP permitidas para comunicarse con el servidor. En mi caso permitiré para toda la red de laboratorio (/24):
Ahora podemos iniciar / reiniciar ossec server para que tome la nueva configuración:
/var/ossec/bin/ossec-control start
Alta los sensores con manage_agents.
Para ello tenemos, como acabo de indicar, la herramienta manage_agents. El proceso es muy simple. Indicaremos la IP del sensor remoto y un nombre para identificarlo:
- 192.168.1.30
- ossec-1
alfon@snortsensor:/$ sudo /var/ossec/bin/manage_agents
****************************************
* OSSEC HIDS v2.5.1 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: A
– Adding a new agent (use ‘\q’ to return to the main menu).
Please provide the following:
* A name for the new agent: ossec-1
* The IP Address of the new agent: 192.168.1.30
* An ID for the new agent[002]:
Agent information:ID:002
Name:ossec-1
IP Address:192.168.1.30
Confirm adding it?(y/n): y
Agent added.
Ahora extraemos la Atuthentication key, tendremos que indicar su ID:
****************************************
* OSSEC HIDS v2.5.1 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: E
Available agents:
ID: 002, Name: ossec-1, IP: 192.168.1.30
Provide the ID of the agent to extract the key (or ‘\q’ to quit): 002
Agent key information for ‘002’ is:
MDAyxxxxxxxxNjguMxxxxxxxxxxxxxxxxxZjxxxxx0
** Press ENTER to return to the main menu.
Salimos.
Ahora vamos a nuestro sensor Windows para añadir el dato que nos falta que es el key Authentication o Agent key information en rojo más arriba:
Salvamos con Save y Manage > Start OSSEC.
En View > log podemos ver si existe algún problema de comunicación con el Server OSSEC. En mi caso no hay problema y todo esta correcto, al final del log:
2011/04/12 11:34:45 ossec-agent: INFO: Trying to connect to server (192.168.1.106:1514).
2011/04/12 11:34:46 ossec-agent(4102): INFO: Connected to the server (192.168.1.106:1514).
2011/04/12 11:34:46 ossec-agent(1951): INFO: Analyzing event log: ‘Application’.
2011/04/12 11:34:46 ossec-agent(1951): INFO: Analyzing event log: ‘Security’.
2011/04/12 11:34:46 ossec-agent(1951): INFO: Analyzing event log: ‘System’.
2011/04/12 11:34:46 ossec-agent: INFO: Started (pid: 1592).
2011/04/12 11:34:47 ossec-agent: INFO: Lock free. Continuing…
2011/04/12 11:35:37 ossec-agent: INFO: Starting syscheck scan (forwarding database).
2011/04/12 11:35:37 ossec-agent: INFO: Starting syscheck database (pre-scan).
2011/04/12 11:35:41 ossec-agent: INFO: Finished creating syscheck database (pre-scan completed).
2011/04/12 11:35:51 ossec-agent: INFO: Ending syscheck scan (forwarding database).
2011/04/12 11:36:11 ossec-agent: INFO: Starting rootcheck scan.
2011/04/12 11:36:18 ossec-agent: INFO: Ending rootcheck scan.
Veremos también en el log una serie de lineas que nos dan una idea de que es lo que se va auditar / monitorizar:
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Classes\batfile’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Classes\cmdfile’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Classes\comfile’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Classes\exefile’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Classes\piffile’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Classes\AllFilesystemObjects’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Classes\Directory’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Classes\Folder’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Classes\Protocols’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Policies’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Security’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurePipeServers\winreg’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed
y
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/win.ini’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/system.ini’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\autoexec.bat’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\config.sys’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\boot.ini’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/CONFIG.NT’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/AUTOEXEC.NT’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/at.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/attrib.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/cacls.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/debug.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/drwatson.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/drwtsn32.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/edlin.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/eventcreate.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/eventtriggers.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/ftp.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/net.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/net1.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/netsh.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/rcp.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/reg.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/regedit.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/regedt32.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/regsvr32.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/rexec.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/rsh.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/runas.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/sc.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/subst.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/telnet.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/tftp.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/tlntsvr.exe’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/drivers/etc’.
2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\Documents and Settings/All Users/Start Menu/Programs/Startup’.
Pero podríamos tener algun problema del tipo:
.
Gestión de errores.
2011/04/12 10:54:02 ossec-agent(4101): WARN: Waiting for server reply (not started). Tried: ‘192.168.1.106’.
En tal caso es posible que haya un firewall o política de seguridad que nos impida conectarnos al puerto UDP 1514. Solucionamos y reiniciamos el servidor y después el agente.
En mi caso también he tenido un error 1210. Para solucionarlo hay que parar el server, el agente y asegurase de que no existe nada en:
/var/ossec/var/run y reiniciamos el server primero y agentes después.
Otra forma de solucionar errores con los sensores remotos es reiniciando el servicio ossec-remoted de la forma sudo var/ossec/bin/ossec-remoted rstart.
Comprobando los sensores y las comunicaciones.
Podemos ver si los sensores están activos y en comunicación con el server con agent_control:
También podemos reiniciar los sensores indicando su ID con -R:
/var/ossec/bin/agent_control -R002 por ejemplo.
Listado de todos los agentes con:
Información de un determinado agente con agent_control -i(ID del agente):
Visualizando los evetos de los sensores windows ossec en Prelude / Peewikka.
Lo último ue nos queda es ver si los sensores ossec Windows, además de comunicarse con server-ossec, también envian las alertas, mediante éste último a Prelude:
.
Uno de los sensores envia un alerta informando sobre la desistalación de un software mdiante WinEventLog:
Notificación Alertas por mail.
También nos llegarán las notificaciones via mail madiante el proceso ossec-maild:
======
Relacionados con Prelude IDS / IPS visto hasta ahora.
- Instalando y Configurando Centro IDS / IPS con Prelude SIEM, Snort y Prewikka. Parte I
- Instalando y Configurando Centro IDS / IPS con Prelude SIEM, Snort y Prewikka. Parte 2
- Instalando y Configurando Centro IDS / IPS con Prelude SIEM, Snort y Prewikka. Parte 3
- Instalando y Configurando Centro IDS / IPS con Prelude SIEM, Snort y Prewikka. Parte 4. Sensor Suricata.
- Centro IDS / IPS con Prelude SIEM…. Parte 5. Instalando y configurando OSSEC soporte con prelude. Añadiendo sensor.
============
Ya veremos más cosas sobre los sensores ossec windows, configuración de los clientes y servidor,ubicación de archivos deregistro y alertas, etc, etc,
============
Hasta aquí por hoy. Hasta la próxima.
Creo que deberian pagarte un viaje al caribe o a los fiordos noruegos, l@s chic@s de Prelude.
Les has hecho un manual o guia de tomo y lomo.
Enhorabuena.
salu2
Jajaja, si Javi, no estaría mal. Se lo dices tú que si lo hago yo queda feo. 😉 Gracias amigo. Nos leemos.
Excelente trabajo, aunque me gusta mas snorby como front-end para snort, prelude con prewikka pinta muy bien
felicitaciones por tu blog, tienes unos posts bien interesantes
Saludos
Gracias muchikon por tus comentario. Efectivamente snorby como front-end está más logrado. Ya hablé de ello aquí: Snorbt en SyR Pero en su conjunto prefiero Prelude por su escalabilidad por ejemplo.