Conhecendo o Ossec – HIDS parte 1

Fala galera.. tentando dar continuidade no nosso último post sobre o Ossec, que já tem um certo tempo na verdade, rsrs irei tentar fazer posts sequenciais dessa ferramenta maravilhosa e nos aprofundar cada vez mais nela… O nosso último post foi bem simplista e não abordou nem de longe todas as funcionalidades que a ferramenta nos oferece, mas irei tentar corrigir esse erro com esse e os futuros posts.

O Ossec é uma ferramenta de detecção de intrusão baseada em hosts que monitora logs de serviços e sistemas, faz verificação de integridade de arquivos, monitoramento de política, detecção de rootkits, envia alertas em tempo real e resposta ativa, ou seja, executa uma ação baseado em um evento. É uma ferramenta muito granular e personalizável.

De acordo com o manual do Ossec ele roda em praticamente em todos os sistemas operacionais atuais, conforme é exibido na lista abaixo:

  • GNU/Linux (all distributions, including RHEL, Ubuntu, Slackware, Debian, etc)
  • Windows XP, 2003, Vista, 2008, 2012
  • VMWare ESX 3.0,3.5 (including CIS checks)
  • FreeBSD (all current versions)
  • OpenBSD (all current versions)
  • NetBSD (all current versions)
  • Solaris 2.7, 2.8, 2.9 and 10
  • AIX 5.2 and 5.3
  • Mac OS X 10.x
  • HP-UX 11

Nosso foco maior será em cima do linux, pois o Ossec só trabalha como servidor em distribuições linux, em sistemas como Windows ele só atua como cliente. Em dispositivos fechados como firewalls, switches, appliance e etc. o Ossec consegue realizar o monitoramento via syslog, ou seja, esses dispositivos fechados que não são passíveis de instalação do Ossec, precisam enviar seus logs para um servidor na rede onde o Ossec irá monitorar esses logs até que alguma regra seja alertada. A lista de dispositivos que o Ossec suporta de acordo com a documentação dele é:

  • Cisco PIX, ASA and FWSM (all versions)
  • Cisco IOS routers (all versions)
  • Juniper Netscreen (all versions)
  • SonicWall firewall (all versions)
  • Checkpoint firewall (all versions)
  • Cisco IOS IDS/IPS module (all versions)
  • Sourcefire (Snort) IDS/IPS (all versions)
  • Dragon NIDS (all versions)
  • Checkpoint Smart Defense (all versions)
  • McAfee VirusScan Enterprise (v8 and v8.5)
  • Bluecoat proxy (all versions)
  • Cisco VPN concentrators (all versions)
  • VMWare ESXi 4.x

O Ossec possui alguns tipos de instalação, sendo eles Server, Local, Agente e Hibrido. O modo Server é meio implícito, ele atua como servidor do serviço, é ele que vai concentrar todo o gerenciamento e correlacionamento de eventos, envio de alertas e resposta ativa quando configurada.

O modo Agente também é meio obvio, mas ele funciona praticamente como um encaminhador de eventos para o Ossec server, onde os eventos serão analisados e correlacionados. O agente do Ossec é bem leve e consome uma quantidade insignificante de recursos da máquina. Ele roda com o mínimo de privilégio possível e dentro de uma jaula chroot isolada do sistema operacional. A maioria das configurações dos agentes pode ser feita pelo servidor do Ossec.

O modo Local é quando você deseja usar o Ossec em standalone, sem pertencer a uma estrutura cliente-servidor. Ele tem todas as funcionalidades de uma estrutura mais complexa, a diferença é que tudo é feito localmente, analise e correlacionamento de logs, checagem de arquivos, detecção de rootkit, resposta ativa e todas as demais funcionalidades que ele possui.

O modo Hybrido é um pouco mais recente, ele é utilizado quando se trabalha com um parque muito grande de servidores e é preciso balancear a carga dos servidores, assim você consegue dividir o trabalho evitando que o Ossec server fique sobrecarregado, a imagem abaixo explica melhor o modo de funcionamento:

Nesse post eu não irei abordar o passo a passo da instalação novamente pois já fizemos isso em nosso último post aqui. Praticamente a única coisa que mudou do último post foi a versão do Ossec, a versão atual é a 2.8.3 que pode ser encontrada aqui. Irei fazer a instalação do nosso primeiro host do laboratório como Server, assim como fiz no último post, se você ainda não viu, dá uma passada lá pra ver 😉

Depois de concluir a instalação podemos iniciar, parar e reiniciar o serviço do Ossec através dos comandos abaixo:

# /var/ossec/bin/ossec-control start 
# /var/ossec/bin/ossec-control stop 
# /var/ossec/bin/ossec-control restart

Todos os arquivos de configuração, binários, logs e etc. do Ossec ficam por padrão no diretório /var/ossec, deem uma olhada na estrutura de diretório para ir se familiarizando onde fica cada parte do Ossec.

Depois de iniciar o Ossec ele automaticamente já ira rodar o File Integrity Monitor e o Rootkit check depois de alguns minutos, fique monitorando o arquivo /var/ossec/logs/ossec.log e veja o que está acontecendo para gerar dúvidas.

Outro arquivo que é legal vocês irem olhando e conhecendo cada vez mais é o /var/ossec/etc/ossec.conf que é o arquivo principal de configuração do Ossec. Caso o Ossec gere algum alerta ele irá logar esse alerta no arquivo /var/ossec/logs/alerts/alerts.log. Um teste legal é você tentar se conectar via SSH no server e errar a senha algumas vezes e conferir o arquivo de log do Ossec.

Bem pessoal é isso ai, espero que tenham curtido. Em breve irei postar outros artigos sobre o Ossec mostrando configurações mais avançadas. Não esqueçam de curtir nossas páginas nas redes sociais, Facebook, G+ e seguir o Guia do Ti no Twitter. Compartilhem e comentem esse artigo, isso é muito importante para divulgação do nosso trabalho.

Ricardo Galossi
Siga me

Ricardo Galossi

É um apaixonado por segurança da informação, atua profissionalmente há mais de 7 anos na área de tecnologia da informação, onde é focado em análise de vulnerabilidades e testes de invasão.Criou o blog Guia do TI para compartilhar conhecimento, ajudar os mais novos, incentivar debates e manter a comunidade atualizada com as principais notícias da área de TI.
Ricardo Galossi
Siga me

Últimos posts por Ricardo Galossi (exibir todos)

Ricardo Galossi

É um apaixonado por segurança da informação, atua profissionalmente há mais de 7 anos na área de tecnologia da informação, onde é focado em análise de vulnerabilidades e testes de invasão. Criou o blog Guia do TI para compartilhar conhecimento, ajudar os mais novos, incentivar debates e manter a comunidade atualizada com as principais notícias da área de TI.

Deixe seu comentário