Centro IDS / IPS con Prelude SIEM. Parte 6. Instalando y configurando sensores OSSEC Windows.

En el anterior artículo de esta serie dedicada a Prelude IDS / IPS, instalamos OSSEC en modo servidor, lo registramos en nuestro Sistema Prelude y lo pusimos en marcha.

logos ossec prelude

En esta ocasión vamos a instalar y configurar sensores Windows para que envien alertas a OSSEC server y, a su vez, este lo haga al sistema centralizado Prelude – manager. Configuraremos OSSEC para la comunicación con los sensores y daremos de alta estos en OSSEC server.También veremos como gestionar los distintos sensores y la corrección de posibles errores

Instalación de sensores OSSEC para Windows.

Tan solo tenemos que ir a la página de descarga del agente que se encuentra en: http://www.ossec.net/main/downloads/ desde ahí descargamos Windows agent version 2.5.1 para Windows 2000, XP, 2003 server y Vista.

La instalación es muy sencilla y una vez realizada iremos a Inicio > Programas > OSSEC > Manage Agent.

Tenemos dos datos que indicar al agente:

  • La IP del OSSEC server.
  • Authentication key.

de momento sabemos la IP del servidor OSSEC. En mi caso 192.168.106.

Alta de sensores en OSSEC Server.

Ahora vamos al servidor OSSEC para dar de alta al sensor o sensores. En mi caso dos, uno para XP y otro para Windows 2000.

Antes que nada tenemos que configurar OSSEC para que la comunicación con sensores remotos en /var/ ossec/etc/ossec.conf. En la sessión remote añadiremos un tag para el puerto UDP de comunicación (1514) y otro para  los “allowed ip” o IP permitidas para comunicarse con el servidor. En mi caso permitiré para toda la red de laboratorio (/24):

ossec.conf configuracion puerto e ips permitidas de sensores

Ahora podemos iniciar / reiniciar ossec server para que tome la nueva configuración:

/var/ossec/bin/ossec-control start

Alta los sensores con manage_agents.

Para ello tenemos, como acabo de indicar, la herramienta manage_agents. El proceso es muy simple. Indicaremos la IP del sensor remoto y un nombre para identificarlo:

  • 192.168.1.30
  • ossec-1

alfon@snortsensor:/$ sudo /var/ossec/bin/manage_agents

****************************************
* OSSEC HIDS v2.5.1 Agent manager.     *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: A

– Adding a new agent (use ‘\q’ to return to the main menu).
Please provide the following:
* A name for the new agent: ossec-1
* The IP Address of the new agent: 192.168.1.30
* An ID for the new agent[002]:
Agent information:ID:002

  Name:ossec-1
IP Address:192.168.1.30

Confirm adding it?(y/n): y
Agent added.

Ahora extraemos la Atuthentication key, tendremos que indicar su ID:

****************************************
* OSSEC HIDS v2.5.1 Agent manager.     *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: E

Available agents:
ID: 002, Name: ossec-1, IP: 192.168.1.30
Provide the ID of the agent to extract the key (or ‘\q’ to quit): 002

Agent key information for ‘002’ is:
MDAyxxxxxxxxNjguMxxxxxxxxxxxxxxxxxZjxxxxx0

** Press ENTER to return to the main menu.

Salimos.

Ahora vamos a nuestro sensor Windows para añadir el dato que nos falta que es el key Authentication o Agent key information en rojo más arriba:

sensor ossec windows

Salvamos con Save y Manage > Start OSSEC.

En View > log podemos ver si existe algún problema de comunicación con el Server OSSEC. En mi caso no hay problema y todo esta correcto, al final del log:

2011/04/12 11:34:45 ossec-agent: INFO: Trying to connect to server (192.168.1.106:1514).

2011/04/12 11:34:46 ossec-agent(4102): INFO: Connected to the server (192.168.1.106:1514).

2011/04/12 11:34:46 ossec-agent(1951): INFO: Analyzing event log: ‘Application’.

2011/04/12 11:34:46 ossec-agent(1951): INFO: Analyzing event log: ‘Security’.

2011/04/12 11:34:46 ossec-agent(1951): INFO: Analyzing event log: ‘System’.

2011/04/12 11:34:46 ossec-agent: INFO: Started (pid: 1592).

2011/04/12 11:34:47 ossec-agent: INFO: Lock free. Continuing…

2011/04/12 11:35:37 ossec-agent: INFO: Starting syscheck scan (forwarding database).

2011/04/12 11:35:37 ossec-agent: INFO: Starting syscheck database (pre-scan).

2011/04/12 11:35:41 ossec-agent: INFO: Finished creating syscheck database (pre-scan completed).

2011/04/12 11:35:51 ossec-agent: INFO: Ending syscheck scan (forwarding database).

2011/04/12 11:36:11 ossec-agent: INFO: Starting rootcheck scan.

2011/04/12 11:36:18 ossec-agent: INFO: Ending rootcheck scan.

Veremos también en el log una serie de lineas que nos dan una idea de que es lo que se va auditar / monitorizar:

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Classes\batfile’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Classes\cmdfile’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Classes\comfile’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Classes\exefile’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Classes\piffile’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Classes\AllFilesystemObjects’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Classes\Directory’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Classes\Folder’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Classes\Protocols’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Policies’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Security’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session  

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurePipeServers\winreg’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring registry entry: ‘HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed 

y

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/win.ini’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/system.ini’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\autoexec.bat’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\config.sys’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\boot.ini’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/CONFIG.NT’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/AUTOEXEC.NT’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/at.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/attrib.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/cacls.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/debug.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/drwatson.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/drwtsn32.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/edlin.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/eventcreate.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/eventtriggers.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/ftp.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/net.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/net1.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/netsh.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/rcp.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/reg.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/regedit.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/regedt32.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/regsvr32.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/rexec.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/rsh.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/runas.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/sc.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/subst.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/telnet.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/tftp.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/tlntsvr.exe’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\WINDOWS/System32/drivers/etc’.

2011/04/12 10:52:37 ossec-agent: INFO: Monitoring directory: ‘C:\Documents and Settings/All Users/Start Menu/Programs/Startup’.

Pero podríamos tener algun problema del tipo:

.

Gestión de errores.

2011/04/12 10:54:02 ossec-agent(4101): WARN: Waiting for server reply (not started). Tried: ‘192.168.1.106’.

En tal caso es posible que haya un firewall o política de seguridad que nos impida conectarnos al puerto UDP 1514. Solucionamos y reiniciamos el servidor y después el agente.

En mi caso también he tenido un error 1210. Para solucionarlo hay que parar el server, el agente y asegurase de que no existe nada en:

/var/ossec/var/run y reiniciamos el server primero y agentes después.

Otra forma de solucionar errores con los sensores remotos es reiniciando el servicio ossec-remoted de la forma sudo var/ossec/bin/ossec-remoted rstart.

Comprobando los sensores y las comunicaciones.

Podemos ver si los sensores están activos y en comunicación con el server con agent_control:

agent control listado sensores activos en ossec

También podemos reiniciar los sensores indicando su ID con -R:

/var/ossec/bin/agent_control -R002  por ejemplo.

Listado de todos los agentes con:

listado de agentes ossec

Información de un determinado agente con agent_control -i(ID del agente):

informacion de agentes ossec

Visualizando los evetos de los sensores windows ossec en Prelude / Peewikka.

Lo último ue nos queda es ver si los sensores ossec Windows, además de comunicarse con server-ossec, también envian las alertas, mediante éste último a Prelude:

alertas sensores windows  ossec en prelude prewikka

.

Uno de los sensores envia un alerta informando sobre la desistalación de un software mdiante WinEventLog:

alerta sensor windows ossec desistalacion softeware wineventlog

Notificación Alertas por mail.

También nos llegarán las notificaciones via mail madiante el proceso ossec-maild:

ossec notificacion mail de alertas en sensores

======

Relacionados con Prelude IDS / IPS visto hasta ahora.

============

Ya veremos más cosas sobre los sensores ossec windows, configuración de los clientes y servidor,ubicación de archivos deregistro y alertas, etc, etc,

============

Hasta aquí por hoy. Hasta la próxima.

Esta entrada fue publicada en Monitorización, OSSEC HIDS, Prelude IDS - IPS, Seguridad y redes. Guarda el enlace permanente.

4 respuestas a Centro IDS / IPS con Prelude SIEM. Parte 6. Instalando y configurando sensores OSSEC Windows.

  1. javcasta dijo:

    Creo que deberian pagarte un viaje al caribe o a los fiordos noruegos, l@s chic@s de Prelude.
    Les has hecho un manual o guia de tomo y lomo.
    Enhorabuena.
    salu2

  2. Alfon dijo:

    Jajaja, si Javi, no estaría mal. Se lo dices tú que si lo hago yo queda feo.😉 Gracias amigo. Nos leemos.

  3. muchikon dijo:

    Excelente trabajo, aunque me gusta mas snorby como front-end para snort, prelude con prewikka pinta muy bien
    felicitaciones por tu blog, tienes unos posts bien interesantes
    Saludos

  4. Alfon dijo:

    Gracias muchikon por tus comentario. Efectivamente snorby como front-end está más logrado. Ya hablé de ello aquí: Snorbt en SyR Pero en su conjunto prefiero Prelude por su escalabilidad por ejemplo.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s