Instalación y configuración de un HIDS en ossec.

Instalamos los compiladores necesarios

Desde http://www.ossec.net descargamos los paquetes necesarios para la instalación del servidor en Linux.

Descomprimimos el paquete y nos cambiamos para la ruta recién descompresa.

Con el comando “./install.sh” comenzamos el asistente de instalación, además elegimos el idioma de la instalación

Decidimos el tipo de instalación que queremos realizar, en este caso elegiremos “servidor”

Especificamos la ruta de instalación

Especificamos una cuenta de correo para que nos lleguen las alertas por este medio, además agregaremos el servidor de integridad del sistema, el sistema de detección de rootkit y habilitar la respuesta activa, en este caso será todo “si”.

Habilitamos la respuesta de desechar el firewall, los niveles de esta respuesta y la lista blanca para respuesta por omisión, la cual es la lista de servidores DNS que usa nuestra máquina para la resolución a internet.

Habilitamos el syslog remoto para que nuestros agentes puedan tener acceso a estos eventos

Comienza el proceso de instalación y configuración del HIDS.

Editamos el archivo de configuración del ossec

Añadimos las reglas, las reacciones y los comandos a ejecutar según el caso, además añadimos el ingreso de conexiones remotas desde la subred de nuestros agentes por el puerto 1514 por UDP, además denegaremos en los archivos “/etc/hosts.deny” cualquier IP que realice intentos de intrusión a nuestro servidor o a los agentes.

Ahora permitimos el acceso de conexiones por el puerto 1514 por UDP desde las iptables.

Reiniciamos el ossec

Desde http://www.ossec.net descargamos el agente para Windows

Comienza el proceso de instalación del agente en Windows

Cuando se finalice la instalación del agente, se abrirá una ventana la cual nos pedirá una información que aún no tenemos, por esta razón procedemos a obtenerla. Nos pide la IP del servidor ossec y una llave de autenticación.

Para obtener la llave de autenticación, vamos al servidor ossec y ejecutamos el “manage_agents”, en este añadiremos un nuevo agente con el botón “A”, nos pide un nombre para el agente, la IP del agente y el ID.

Confirmamos la información

Extraemos la llave para el agente

Esta es la llave que ingresaremos en el asistente del cliente

Reiniciamos el “ossec-remoted” con el comando “/var/ossec/bin/ossec-remoted restart” y con el comando “/var/ossec/bin/agent_control –i#ID” virtualizaremos la información de los agentes.

Ahora reiniciamos los servicios

Listamos los agentes

Descargamos la interfaz WEB para el ossec

Descomprimimos el archivo

Movemos la carpeta descompresa a “/var/www/html”

Nos movemos a “/var/www/html/ossec” y ejecutamos “./setup.sh” y agregamos un nuevo usuario

Luego agregamos el usuario apache a ossec en el archivo “/etc/group”

Le cambiamos los permisos y el grupo al directorio “/var/www/html/ossec/temp/”

En un Web Browser ingresamos por la ruta “http://localhost/ossec”

Desde otro host intentamos hacer un ataque a nuestro servidor ossec.

El HIDS lo registrara como un ataque de fuerza bruta.

Sign up to vote on this title
UsefulNot useful