In diesem Artikel konzentrieren wir uns auf OSSEC, ein Host-basiertes Open Source Intrusion Detection System (HIDS). Es kann unter Linux, Windows und MacOS installiert werden. In diesem Artikel werden wir OSSEC und die Webschnittstelle auf der Ubuntu-Distribution installieren. In unserem Fall sind Client und Server von OSSEC Linux-Rechner. Wir gehen davon aus, dass mysql- und php-bezogene Pakete bereits installiert sind. Es bietet folgende Funktionen.
- Führt Protokollanalysen durch
- Prüfung der Dateiintegrität
- Richtlinienüberwachung
- Rootkit-Erkennung
- Warnungen in Echtzeit und
- Aktive Antwort.
OSSEC-Installation
Das OSSEC-Tool kann von der OSSEC-Website heruntergeladen werden, die in der Abbildung dargestellt ist. Die heruntergeladene Komprimierungsdatei kann als Server und Client von OSSEC verwendet werden. Server/Client-Modus während des Installationsvorgangs ausgewählt.
Extrahieren Sie nun die *.tar.gz-Datei mit dem folgenden Befehl und gehen Sie hinein, was unten gezeigt wird.
#tar -xf ossec-hids-2.8.1.tar.gz
Führen Sie ./install.sh aus Skript im Terminal, das nach folgenden Optionen fragt.
OSSEC Serverseitige Installation
Zuerst installieren wir das OSSEC-Tool im Servermodus. Wählen Sie die Sprache aus der Eingabeaufforderung aus, die in der folgenden Abbildung gezeigt wird. Dieses Fenster ist in allen Installationsmodi von OSSEC gleich.
Das folgende Fenster wird angezeigt, das die Systemdetails, den Terminalbenutzer und den Hostnamen anzeigt. Drücken Sie die Eingabetaste, um den Installationsvorgang zu starten.
Es zeigt die folgenden Installationsmodi/Typen von OSSEC auf der Maschine.
1. Server
Es ist das zentrale Element der OSSEC-Bereitstellung, das mit Agenten / Clients interagiert. Der Server speichert die Datenbanken für die Dateiintegritätsprüfung, Ereignisse, die Protokolle und Systemüberwachungseinträge. Es speichert auch Regeln, Decoder und wichtige Konfigurationsoptionen. Es erleichtert die Verwaltung einer großen Anzahl von Agenten.
2. Agent
In diesem Modus sendete der OSSEC-Agent Ereignisse, Protokolle, Prüfeinträge an Server/Manager..
3. Lokaler Modus
Die Installation im lokalen Modus ähnelt der Server-/Agenteninstallation, außer dass der Server so konfiguriert ist, dass er die Kommunikation von den Agenten abhört.
4. Hybrid
In diesem Modus fungiert derselbe Host als Server und Client/Agent.
Servermodus
In diesem Artikel werden wir Client/Server-Modi von OSSEC installieren. Dieser Rechner (192.168.1.10) ist der Manager oder Server und der OSSEC-Agent befindet sich auf dem Rechner 192.168.1.11.
1. Wählen Sie den Servermodus aus den angegebenen Installationstypen aus, wie im folgenden Fenster gezeigt.
2. Installationsverzeichnis für OSSEC HIDS auswählen. Standardmäßig ist der Installationspfad /var/ossec.
3. OSSEC bietet eine Benachrichtigung per E-Mail, was eine wichtige Funktion ist. Die nächste Option ist die Einstellung der E-Mail- und SMTP-Adresse.
4. OSSEC hat Syscheck Die Komponente führt die regelmäßige Integritätsprüfung jeder konfigurierten Datei (z. B. /etc/password unter Linux) oder jedes Registrierungseintrags auf der Windows-Plattform durch. Die Integritätsprüfung ist ein wichtiger Teil von HIDS, der Änderungen am System erkennt. OSSEC berechnet den Hash (MD5/SHA1) der Schlüsseldateien im System und in der Windows-Registrierung. Der auf der Maschine laufende Agent scannt regelmäßig das gesamte System und sendet alle Hashes an die zentrale OSSEC. Der Server speichert sie und überwacht sie kontinuierlich auf Änderungen.
5. OSSEC bietet die Funktion zur Rootkit-Erkennung mit Rootcheck, einem Open-Source-Tool zur Rootkit-Erkennung und Systemprüfung. Das Rootcheck-Tool scannt das gesamte System und erkennt das Vorhandensein bekannter/unbekannter Rootkits. Darüber hinaus erkennt es Rootkits auf Kernel-Ebene und überprüft die Systemkonfiguration auf unsichere Optionen.
6. Die Active Response-Funktion in OSSEC kann Anwendungen auf einem Agenten oder Server als Reaktion auf Auslöser wie bestimmte Warnungen oder Warnungsstufen ausführen. Diese Funktion hilft, Anmeldeversuche auf dem Computer über SSH mit iptables zu blockieren.
7. Mit dieser Funktion sendet der OSSEC-Server die (von Agenten gesendeten) OSSEC-Warnungen an einen zentralisierten SYSLOG-Server wie Alienvault. Wie in der Abbildung gezeigt, sendet OSSEC auth.log-, syslog-, dpkg- und Apache-Protokolle an den SYSLOG-Server.
8. Nach der obigen Einstellung fordert OSSEC Sie auf, die Installation zu starten, indem Sie die unten gezeigte Taste „ENTER“ drücken.
9. Vor Abschluss der Installation werden nur wenige Informationen angezeigt, z. B. Details zum Betriebssystem, Starten/Stoppen von OSSEC-Skripten und der Pfad der OSSEC-Konfigurationsdatei.
10. Durch Drücken von „ENTER“ wird die OSSEC-Installation als Server abgeschlossen. In der folgenden Abbildung wird gezeigt, dass Agenten mit 'manage_agents hinzugefügt/entfernt werden können Dienstprogramm.
Clientseitige OSSEC-Installation
Jetzt werden wir die Installation im OSSEC-Clientmodus auf einem Agenten zur Integritäts- und Rootkit-Erkennung installieren.
1. Wählen Sie den Agentenmodus während der OSSEC-Installation auf Servermaschinen und Endhosts.
2. Legen Sie den Konfigurationspfad fest (standardmäßig /var/ossec)
3. Geben Sie die IP-Adresse des OSSEC-Servers/Managers ein (192.168.1.10)
4. Aktivieren Sie die Integritätsprüfungsfunktion von OSSEC im Client-Modus.
5. Aktivieren Sie die Rootkit-Erkennung und aktive Antwortfunktionen
6. Drücken Sie die Eingabetaste, um den Installationsvorgang zu starten.
7. Das folgende Fenster zeigt die Start-/Stoppskripte und den Konfigurationspfad für OSSEC. Drücken Sie die Eingabetaste, um den Installationsvorgang abzuschließen.
Schlussfolgerung
In diesem Teil des Artikels haben wir das Open-Source-HIDS-Tool OSSEC auf der Ubuntu-Plattform installiert. Im nächsten zweiten Teil des Artikels werden wir OSSEC für Windows- und Linux-basierte Clients konfigurieren (Hinzufügen/Auflisten/Löschen von Clients, Abrufen von Schlüsseln vom Server usw.). OSSEC-Clients benötigen vom OSSEC-Server generierte Schlüssel. Am Ende werden wir den OSSEC-Client/Server über die Weboberfläche überwachen.