Este post salio de una experiencia que tuve por no asistir a clase y como modo de recuperar esta inasistencia o de tapar este huequito de la clase me intereso el tema de IDS sistema de detección de intrusos el cual consiste en detectar ataques con los cuales puede servir para tener acceso no autorizado a nuestra red o algún equipo de ella.su funcionamiento se basa en el trafico de red y este se trata de comparar con las firmas de ataque existentes ejemplo : un escaneo de puerto.
Un HIDS es un sistema de detección de intrusos localizado en un host este consiste en que las modificaciones o los intentos de ataques en un equipo son reportados inmediatamente las configuraciones de equipo son chequeadas (syscheck) cualquier modificación ingreso o cambio de algo en el sistema son enviadas a nuestro correo electrónico o reportadas a un servidor.
A continuación voy a realizar la implementación de HIDS en los plataformas distintas y voy a montarlo con la herramienta OSSEC que es un sistema de detección de intrusos para host es open source esta disponible para plataformas windosws y linux,mac entre otras.Puede ser configurado para utilizarlo en nuestra maquina local pero si estamos administrando varios dispositivos estos son configurados como agentes y que envien la informacion a un servidor dedicado es decir que posee o permite supervisar desde un punto central.
Podemos determinar lo que queremos que nuestro HIDS nos alerte el modo en que nos va a enviar las alertas,tambien podemos determinar denegaciones a equipos específicos listas blancas etc.hay que tener en cuenta que las reglas con fundamentales para el correcto funcionamiento de este.
Voy a configurar un equipo dedicado que actúa como server este lo instalo en linux ubuntu 9.10 pues en windows solo podemos instalar agentes que actua solo enviando información a dicho server los agentes que voy a instalar estarán bajo windows x.
Lo primero que tenemos que realizar es la descarga de ossec que se encuentra en la pagina oficial:http://www.ossec.net/main/downloads/
Vamos a descargar el paquete que nos corresponde para linux.
vamos a la ruta de descarga y lo desoprimimos
En la misma ruta podemos ver que ya esta descomrpimido nuestro archivo ingresamos a el y intalamos el ./install.sh
vamos a escoger el idioma de instalacion ojala el propio idioma de nosotros para comprender mas facil.
Nos mostrara nuestro sistema el nombre y el usuario.
como este sera nuestro servidor vamos a escoger la opcion server.en caso de que este quipo sea utilizado como cliente lo escogeriamos agente.
Determinamos la ruta donde la vamos a instalar
En la tercera opción nos pregunta si queremos recibir notificaciones a nuestro correo electrónico en mi caso escogí que si pues es verdaderamente útil.Digiramos nuestro correo electrónico nos aparecerá el servidor mx de este correo lo utilizamos ejecutamos el syscheck como lo explicaba al principio de la presentación. aceptamos también la opsion para rootkit que son pequeños programas instalados ocultamente para no ser detectados en nuestro equipo es decir se ocultan los procesos.y por ultimo la respuesta activa que nos sirve para tomar medidas puede ser para detener un ataque o denegar ips. ejemplo:cuando nos estén haciendo un scaneo de puertos o un ataque de fuerza bruta
habilitamos syslog remoto
y listo instalamos el sistema
El archivo de configuración de ossec se encuentra en /var/ossec/etc/ossec.conf
y nos aparecerá la ruta de como agregar un agente a este servidor.
con /var/ossec/bin/manage_agents vamos a agregar nuestro agente osea nuestro cliente windows. le damos un nombre a el agente la direccion ip de este y un identidicador.
y quedara asi:
Es importante resaltar que hay que extraer la llave para el agente con la opcion E esta llave la necesitaremos para la sincronizacion del agente con el server asi que es importante.
El siguiente paso que voy a realizar es la intalacion de nuestro agente.en una maquina windows xp
aceptamos los terminos y condiciones
seleccionamos lo que queremos que nos reporte.
y agregamos la ruta de intalacion
la configuracion de este es muy simple solo tenemos que colocar la direccion de nuestro server en nuestro caso la del ubuntu y la llave que mensione anteriormente.
ahora podemos iniciar el ossec agente y podemos obsevar si queremos los logs de lo que ocurre en este equipo esto tambien se puede observar desde el server cualquier cosa extraña que pase en nuestro agente sera reportada a nuestro correo electronico.puede ser por ejemplo cuando ahy una autenticacion en el sistema.
lo unico que nos faltaria es iniciar el server ossec para lo cual vamos a hacer una pequeña configuracion para que nos inicie como un servicio como muchos otros y lo podamos reiniciar con init.d pero por defecto si no queremos esta opsion podemos inisiarlo con /var/ossec/bin/ossec-control start o pararlo solo cambiamos start por stop.
para que inicie como un servicio
Nota: tenemos que tener en cuenta las reglas de ossec segun lo que queremos que nuestro sistema tenga encuenta estas reglas las encontramos mas detalladas en /var/ossec/rules
un pequeño ejemplo que realize es de como me envia a mi correo las alertas de lo que sucede y es algo como:
Los reportes de las alarmas pueden ser de varias cosas que pasan en nuestro equipo como lo son inicios de sesión instalación o ejecución de procesos etc.
Bueno esto es todo espero que les sirva de base o que les halla sido de su agrado podemos encontrar mas documentacion sobre este sistema en :http://www.ossec.net/main/documentation/ de esta documentacion fue que me base.
Muchas gracias
Un HIDS es un sistema de detección de intrusos localizado en un host este consiste en que las modificaciones o los intentos de ataques en un equipo son reportados inmediatamente las configuraciones de equipo son chequeadas (syscheck) cualquier modificación ingreso o cambio de algo en el sistema son enviadas a nuestro correo electrónico o reportadas a un servidor.
A continuación voy a realizar la implementación de HIDS en los plataformas distintas y voy a montarlo con la herramienta OSSEC que es un sistema de detección de intrusos para host es open source esta disponible para plataformas windosws y linux,mac entre otras.Puede ser configurado para utilizarlo en nuestra maquina local pero si estamos administrando varios dispositivos estos son configurados como agentes y que envien la informacion a un servidor dedicado es decir que posee o permite supervisar desde un punto central.
Podemos determinar lo que queremos que nuestro HIDS nos alerte el modo en que nos va a enviar las alertas,tambien podemos determinar denegaciones a equipos específicos listas blancas etc.hay que tener en cuenta que las reglas con fundamentales para el correcto funcionamiento de este.
Voy a configurar un equipo dedicado que actúa como server este lo instalo en linux ubuntu 9.10 pues en windows solo podemos instalar agentes que actua solo enviando información a dicho server los agentes que voy a instalar estarán bajo windows x.
Lo primero que tenemos que realizar es la descarga de ossec que se encuentra en la pagina oficial:http://www.ossec.net/main/downloads/
Vamos a descargar el paquete que nos corresponde para linux.
vamos a la ruta de descarga y lo desoprimimos
En la misma ruta podemos ver que ya esta descomrpimido nuestro archivo ingresamos a el y intalamos el ./install.sh
vamos a escoger el idioma de instalacion ojala el propio idioma de nosotros para comprender mas facil.
Nos mostrara nuestro sistema el nombre y el usuario.
como este sera nuestro servidor vamos a escoger la opcion server.en caso de que este quipo sea utilizado como cliente lo escogeriamos agente.
Determinamos la ruta donde la vamos a instalar
En la tercera opción nos pregunta si queremos recibir notificaciones a nuestro correo electrónico en mi caso escogí que si pues es verdaderamente útil.Digiramos nuestro correo electrónico nos aparecerá el servidor mx de este correo lo utilizamos ejecutamos el syscheck como lo explicaba al principio de la presentación. aceptamos también la opsion para rootkit que son pequeños programas instalados ocultamente para no ser detectados en nuestro equipo es decir se ocultan los procesos.y por ultimo la respuesta activa que nos sirve para tomar medidas puede ser para detener un ataque o denegar ips. ejemplo:cuando nos estén haciendo un scaneo de puertos o un ataque de fuerza bruta
habilitamos syslog remoto
y listo instalamos el sistema
El archivo de configuración de ossec se encuentra en /var/ossec/etc/ossec.conf
y nos aparecerá la ruta de como agregar un agente a este servidor.
con /var/ossec/bin/manage_agents vamos a agregar nuestro agente osea nuestro cliente windows. le damos un nombre a el agente la direccion ip de este y un identidicador.
y quedara asi:
Es importante resaltar que hay que extraer la llave para el agente con la opcion E esta llave la necesitaremos para la sincronizacion del agente con el server asi que es importante.
El siguiente paso que voy a realizar es la intalacion de nuestro agente.en una maquina windows xp
aceptamos los terminos y condiciones
seleccionamos lo que queremos que nos reporte.
y agregamos la ruta de intalacion
la configuracion de este es muy simple solo tenemos que colocar la direccion de nuestro server en nuestro caso la del ubuntu y la llave que mensione anteriormente.
ahora podemos iniciar el ossec agente y podemos obsevar si queremos los logs de lo que ocurre en este equipo esto tambien se puede observar desde el server cualquier cosa extraña que pase en nuestro agente sera reportada a nuestro correo electronico.puede ser por ejemplo cuando ahy una autenticacion en el sistema.
lo unico que nos faltaria es iniciar el server ossec para lo cual vamos a hacer una pequeña configuracion para que nos inicie como un servicio como muchos otros y lo podamos reiniciar con init.d pero por defecto si no queremos esta opsion podemos inisiarlo con /var/ossec/bin/ossec-control start o pararlo solo cambiamos start por stop.
para que inicie como un servicio
Nota: tenemos que tener en cuenta las reglas de ossec segun lo que queremos que nuestro sistema tenga encuenta estas reglas las encontramos mas detalladas en /var/ossec/rules
un pequeño ejemplo que realize es de como me envia a mi correo las alertas de lo que sucede y es algo como:
Los reportes de las alarmas pueden ser de varias cosas que pasan en nuestro equipo como lo son inicios de sesión instalación o ejecución de procesos etc.
Bueno esto es todo espero que les sirva de base o que les halla sido de su agrado podemos encontrar mas documentacion sobre este sistema en :http://www.ossec.net/main/documentation/ de esta documentacion fue que me base.
Muchas gracias
No hay comentarios:
Publicar un comentario