Conhecendo o Ossec – HIDS parte 1
Fala galera.. tentando dar continuidade no nosso último post sobre o Ossec, que já tem um certo tempo na verdade, rsrs irei tentar fazer posts sequenciais dessa ferramenta maravilhosa e nos aprofundar cada vez mais nela… O nosso último post foi bem simplista e não abordou nem de longe todas as funcionalidades que a ferramenta nos oferece, mas irei tentar corrigir esse erro com esse e os futuros posts.
O Ossec é uma ferramenta de detecção de intrusão baseada em hosts que monitora logs de serviços e sistemas, faz verificação de integridade de arquivos, monitoramento de política, detecção de rootkits, envia alertas em tempo real e resposta ativa, ou seja, executa uma ação baseado em um evento. É uma ferramenta muito granular e personalizável.
De acordo com o manual do Ossec ele roda em praticamente em todos os sistemas operacionais atuais, conforme é exibido na lista abaixo:
- GNU/Linux (all distributions, including RHEL, Ubuntu, Slackware, Debian, etc)
- Windows XP, 2003, Vista, 2008, 2012
- VMWare ESX 3.0,3.5 (including CIS checks)
- FreeBSD (all current versions)
- OpenBSD (all current versions)
- NetBSD (all current versions)
- Solaris 2.7, 2.8, 2.9 and 10
- AIX 5.2 and 5.3
- Mac OS X 10.x
- HP-UX 11
Nosso foco maior será em cima do linux, pois o Ossec só trabalha como servidor em distribuições linux, em sistemas como Windows ele só atua como cliente. Em dispositivos fechados como firewalls, switches, appliance e etc. o Ossec consegue realizar o monitoramento via syslog, ou seja, esses dispositivos fechados que não são passíveis de instalação do Ossec, precisam enviar seus logs para um servidor na rede onde o Ossec irá monitorar esses logs até que alguma regra seja alertada. A lista de dispositivos que o Ossec suporta de acordo com a documentação dele é:
- Cisco PIX, ASA and FWSM (all versions)
- Cisco IOS routers (all versions)
- Juniper Netscreen (all versions)
- SonicWall firewall (all versions)
- Checkpoint firewall (all versions)
- Cisco IOS IDS/IPS module (all versions)
- Sourcefire (Snort) IDS/IPS (all versions)
- Dragon NIDS (all versions)
- Checkpoint Smart Defense (all versions)
- McAfee VirusScan Enterprise (v8 and v8.5)
- Bluecoat proxy (all versions)
- Cisco VPN concentrators (all versions)
- VMWare ESXi 4.x
O Ossec possui alguns tipos de instalação, sendo eles Server, Local, Agente e Hibrido. O modo Server é meio implícito, ele atua como servidor do serviço, é ele que vai concentrar todo o gerenciamento e correlacionamento de eventos, envio de alertas e resposta ativa quando configurada.
O modo Agente também é meio obvio, mas ele funciona praticamente como um encaminhador de eventos para o Ossec server, onde os eventos serão analisados e correlacionados. O agente do Ossec é bem leve e consome uma quantidade insignificante de recursos da máquina. Ele roda com o mínimo de privilégio possível e dentro de uma jaula chroot isolada do sistema operacional. A maioria das configurações dos agentes pode ser feita pelo servidor do Ossec.
O modo Local é quando você deseja usar o Ossec em standalone, sem pertencer a uma estrutura cliente-servidor. Ele tem todas as funcionalidades de uma estrutura mais complexa, a diferença é que tudo é feito localmente, analise e correlacionamento de logs, checagem de arquivos, detecção de rootkit, resposta ativa e todas as demais funcionalidades que ele possui.
O modo Hybrido é um pouco mais recente, ele é utilizado quando se trabalha com um parque muito grande de servidores e é preciso balancear a carga dos servidores, assim você consegue dividir o trabalho evitando que o Ossec server fique sobrecarregado, a imagem abaixo explica melhor o modo de funcionamento:
Nesse post eu não irei abordar o passo a passo da instalação novamente pois já fizemos isso em nosso último post aqui. Praticamente a única coisa que mudou do último post foi a versão do Ossec, a versão atual é a 2.8.3 que pode ser encontrada aqui. Irei fazer a instalação do nosso primeiro host do laboratório como Server, assim como fiz no último post, se você ainda não viu, dá uma passada lá pra ver 😉
Depois de concluir a instalação podemos iniciar, parar e reiniciar o serviço do Ossec através dos comandos abaixo:
# /var/ossec/bin/ossec-control start
# /var/ossec/bin/ossec-control stop
# /var/ossec/bin/ossec-control restart
Todos os arquivos de configuração, binários, logs e etc. do Ossec ficam por padrão no diretório /var/ossec, deem uma olhada na estrutura de diretório para ir se familiarizando onde fica cada parte do Ossec.
Depois de iniciar o Ossec ele automaticamente já ira rodar o File Integrity Monitor e o Rootkit check depois de alguns minutos, fique monitorando o arquivo /var/ossec/logs/ossec.log e veja o que está acontecendo para gerar dúvidas.
Outro arquivo que é legal vocês irem olhando e conhecendo cada vez mais é o /var/ossec/etc/ossec.conf que é o arquivo principal de configuração do Ossec. Caso o Ossec gere algum alerta ele irá logar esse alerta no arquivo /var/ossec/logs/alerts/alerts.log. Um teste legal é você tentar se conectar via SSH no server e errar a senha algumas vezes e conferir o arquivo de log do Ossec.
Bem pessoal é isso ai, espero que tenham curtido. Em breve irei postar outros artigos sobre o Ossec mostrando configurações mais avançadas. Não esqueçam de curtir nossas páginas nas redes sociais, Facebook, G+ e seguir o Guia do Ti no Twitter. Compartilhem e comentem esse artigo, isso é muito importante para divulgação do nosso trabalho.
- Metasploit Framework de cabo a rabo – Parte 6 - 4 de junho de 2018
- Metasploit Framework de cabo a rabo – Parte 5 - 28 de maio de 2018
- CEH – Scanning Networks – Parte 2 - 24 de maio de 2018