OSSIM: Instalar un Agente HIDS en Linux

En OSSIM se pueden instalar agentes HIDS en diferentes equipos, con esto lo que se consigue es que ese equipo mande información sobre su estado, intrusiones de sistema, logs, niveles de integridad de archivos… al servidor central de OSSIM. Esto se consigue con OSSEC que es la herramienta que utiliza OSSIM para detección de intrusos en host.

Servidor

Para empezar hay que ir a la sección de detección

Luego ir a la pestaña de Agentes para empezar a configurar el nuestro

Y empezamos a añadirlo

 

Cuando se añade la primera vez, aparecer como desconectado, para esto hay que instalar el cliente de ossec en el cliente

Agente

Instalar dependencias

apt -y install build-essential

Una vez hecho esto, ir al equipo en el que se quiere instalar el agente y descargar OSSEC

cd /tmp && wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz

Una vez descargado, descomprimirlo

tar -zxvf ossec-hids*

Y empezar con la instalación

bash /tmp/ossec-hids*/install.sh
  ** Para instalação em português, escolha [br].
  ** 要使用中文进行安装, 请选择 [cn].
  ** Fur eine deutsche Installation wohlen Sie [de].
  ** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
  ** For installation in English, choose [en].
  ** Para instalar en Español , eliga [es].
  ** Pour une installation en français, choisissez [fr]
  ** A Magyar nyelvű telepítéshez válassza [hu].
  ** Per l'installazione in Italiano, scegli [it].
  ** 日本語でインストールします.選択して下さい.[jp].
  ** Voor installatie in het Nederlands, kies [nl].
  ** Aby instalować w języku Polskim, wybierz [pl].
  ** Для инструкций по установке на русском ,введите [ru].
  ** Za instalaciju na srpskom, izaberi [sr].
  ** Türkçe kurulum için seçin [tr].
  (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: es
1- Que tipo de instalación Usted desea (servidor, agente, local ó ayuda)? agente

  - Usted eligió instalación de Agente(cliente).

2- Configurando las variables de entorno de la instalación.

 - Eliga donde instalar OSSEC HIDS [/var/ossec]: 

    - La instalación se realizará en  /var/ossec .

3- Configurando el sistema OSSEC HIDS.

  3.1- Cuál es la direccion ó nombre de vuestro del servidor OSSEC HIDS?: alienvault

   - Agregando el IP del servidor alienvault

  3.2- Desea Usted agregar el servidor de integridad del sistema? (s/n) [s]: 

   - Ejecutando syscheck (servidor de integridad del sistema).

  3.3- Desea Usted agregar el sistema de detección de rootkit? (s/n) [s]: 

   - Ejecutando rootcheck (sistema de detección de rootkit).

  3.4 - Desea Usted habilitar respuesta activa? (s/n) [s]: 

  3.5- Estableciendo la configuración para analizar los siguientes registros:
    -- /var/log/messages
    -- /var/log/auth.log
    -- /var/log/syslog
    -- /var/log/dpkg.log

Una vez instalado hay que configurarlo

/var/ossec/bin/manage_agents
****************************************
* OSSEC HIDS v2.8 Agent manager.     *
* The following options are available: *
****************************************
   (I)mport key from the server (I).
   (Q)uit.
Choose your action: I or Q: I

Ahora nos pedirá una clave que para conseguirla hay que volver al servidor OSSIM en la zona de agente y darle a la llave que nos mostrar una clave


Una vez obtenida la clave copiarla y volver al agente y pegarla

* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or 'q' to quit): MDAxIE9wZXJhdGl2b3NMaW51eCAxMC4xMC4wLjI0Mi8yNCBmMDI3ODZlNDI4ZWI1MDQxMDRhMzE2MTk3NGU0MzRjNjlmODJmNDM4ZDcxYmRhOGM5YTYxNTNkY2EyOTU4MWIz
Agent information:
   ID:001
   Name:Prox01
   IP Address:192.168.0.253/24

Confirm adding it?(y/n): y

Para terminar de configurar el agente reiniciarlo

/var/ossec/bin/ossec-control restart

Reiniciar OSSEC en OSSIM. Para esto: Entorno –> Detección –> HIDS Control

Y comprobar que el estado del Agente en OSSIM ha cambiado

Fuente:

http://kinomakino.blogspot.com.es/2014/05/agente-ossec-en-sistemas-debian-based.html

One comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *