Instalacin y configuracin de un HIDS en ossec.

Instalamos los compiladores necesarios

Desde http://www.ossec.net descargamos los paquetes necesarios para la instalacin del servidor en Linux.

Descomprimimos el paquete y nos cambiamos para la ruta recin descompresa.

Con el comando ./install.sh comenzamos el asistente de instalacin, adems elegimos el idioma de la instalacin

Decidimos el tipo de instalacin que queremos realizar, en este caso elegiremos servidor

Especificamos la ruta de instalacin

Especificamos una cuenta de correo para que nos lleguen las alertas por este medio, adems agregaremos el servidor de integridad del sistema, el sistema de deteccin de rootkit y habilitar la respuesta activa, en este caso ser todo si.

Habilitamos la respuesta de desechar el firewall, los niveles de esta respuesta y la lista blanca para respuesta por omisin, la cual es la lista de servidores DNS que usa nuestra mquina para la resolucin a internet.

Habilitamos el syslog remoto para que nuestros agentes puedan tener acceso a estos eventos

Comienza el proceso de instalacin y configuracin del HIDS.

Editamos el archivo de configuracin del ossec

Aadimos las reglas, las reacciones y los comandos a ejecutar segn el caso, adems aadimos el ingreso de conexiones remotas desde la subred de nuestros agentes por el puerto 1514 por UDP, adems denegaremos en los archivos /etc/hosts.deny cualquier IP que realice intentos de intrusin a nuestro servidor o a los agentes.

Ahora permitimos el acceso de conexiones por el puerto 1514 por UDP desde las iptables.

Reiniciamos el ossec

Desde http://www.ossec.net descargamos el agente para Windows

Comienza el proceso de instalacin del agente en Windows

Cuando se finalice la instalacin del agente, se abrir una ventana la cual nos pedir una informacin que an no tenemos, por esta razn procedemos a obtenerla. Nos pide la IP del servidor ossec y una llave de autenticacin.

Para obtener la llave de autenticacin, vamos al servidor ossec y ejecutamos el manage_agents, en este aadiremos un nuevo agente con el botn A, nos pide un nombre para el agente, la IP del agente y el ID.

Confirmamos la informacin

Extraemos la llave para el agente

Esta es la llave que ingresaremos en el asistente del cliente

Reiniciamos el ossec-remoted con el comando /var/ossec/bin/ossec-remoted restart y con el comando /var/ossec/bin/agent_control i#ID virtualizaremos la informacin de los agentes.

Ahora reiniciamos los servicios

Listamos los agentes

Descargamos la interfaz WEB para el ossec

Descomprimimos el archivo

Movemos la carpeta descompresa a /var/www/html

Nos movemos a /var/www/html/ossec y ejecutamos ./setup.sh y agregamos un nuevo usuario

Luego agregamos el usuario apache a ossec en el archivo /etc/group

Le cambiamos los permisos y el grupo al directorio /var/www/html/ossec/temp/

En un Web Browser ingresamos por la ruta http://localhost/ossec

Desde otro host intentamos hacer un ataque a nuestro servidor ossec.

El HIDS lo registrara como un ataque de fuerza bruta.