OSSIM 1.1 Configuracion despus de la Instalacion.

1.-

Configurar Interfaces de Red (Interfaces Ethernet)

Primero configuramos una tarjeta con ip ej: 192.168.4.xxx y otra tarjeta la configuramos en
modo promiscuo para capturar paquetes de nuestra red.
-

Editamos la configuracin /etc/network/interface:

vim /etc/network/interfaces

# The loopback network interface

auto lo eth0 eth1
iface lo inet loopback
# The primary network interface
#allow-hotplug eth1
iface eth0 inet manual
up ifconfig $IFACE 0.0.0.0 up
up ifconfig $IFACE promisc
down ifconfig $IFACE down
iface eth1 inet static
address 192.168.4.xxx (ip del servidor)
netmask 255.255.255.0 (mascara de red)
network 192.168.4.0
(inicio de segmento de red)
broadcast 192.168.4.255 (final de segmento de red)
gateway 192.168.4.xxx
(puerta de enlace)
dns-nameservers 192.168.xxx.xxx (servidor dns)
dns-search dns (grupo de trabajo)

Guardar los cambios y reiniciamos las instancias de red con el comando:

/etc/init.d/networking restart

Con este commando veremos si los cambios fueron efectuados: ifconfig

Cambiar la contrasea de ntop: ntop A

Reiniciar el servidor: reboot

2.-

Resetear la contasea de MYSQL.

Detenemos mysql
/etc/init.d/mysql stop

Iniciamos el servicio de mysql en modo seguro, ejecutamos:

/usr/bin/mysqld_safe --user=root --pid-file=/var/run/mysqld/mysqld.pid --skip-grant-tables &

Entramos en la consola con usuario root:

/usr/bin/mysql -u root mysql

Reseteamos la contrasea de usuario root:

update user set password=password('passwordnuevoMYSQL') where User='root' and host='localhost';

flush privileges;

Damos derechos a root@localhost: grant all privileges on *.* to root@'localhost';

Si queremos entrar de una ip especifica a la base de datos mysql:

GRANT ALL PRIVILEGES ON *.* TO root@'ipdedondesequiereentrar' IDENTIFIED BY 'passwordmysql';

Salimos de la consola con: exit

Editar archivo my.cnf

vim /etc/mysql/my.cnf
bind-address

= 0.0.0.0

Guardamos el archivo y reiniciamos el servicio de mysql: /etc/init.d/mysql restart

3.-

Cambiar Configuracion de OSSIM con el nuevo password de mysql

El primer archivo a modificar es el /etc/ossim/ossim_setup.conf
vim /etc/ossim/ossim_setup.conf
Cambiamos las siguientes lneas:
interface=eth0

(interfas que utiliza el servidor en modo promiscuo)

[database]
db_ip=localhost
pass=passwordMYSQL
[sensor]
interfaces=eth0
ip=192.168.4.xxx (ip del sensor que es la misma ip del equipo)
[server]
server_ip=192.168.4.xxx (ip del servidor que es la misma ip del equipo)

Guardamos los cambios y modificamos el siguiente archivo:

vim /etc/ossim/framework/ossim.conf
#################################################
# OSSIM db configuration
#################################################
ossim_pass=passwordMYSQL
ossim_host=localhost
##################################################
# OSSIM control access list configuration (phpGACL)
##################################################
phpgacl_host=localhost
phpgacl_pass=passwordMYSQL

Guardamos los cambios y modificamos el siguiente archivo:

vim /etc/snort/snort.debian.conf
DEBIAN_SNORT_HOME_NET="any" (configurar red a monitorear
ej:192.168.4.0/24)
DEBIAN_SNORT_INTERFACE="eth0" (interfaz en modo promiscuo)

Guardamos los cambios y despus reconfiguramos el ossim:

/usr/bin/ossim-reconfig

Reiniciar el servidor: reboot

4.-

Configurar Interfaz WEB.

Entramos a la consola web del ossim colocando simplemente la ip del servidor en el navegador,
el usuario y password por defecto es: admin - admin

Cuando ingresemos lo primero que deberamos hacer es cambiar el password de usuario, vamos
a la opcin: configuration users, aqu cambiamos el password y el idioma.

Ahora nos vamos a: Politicas Servidor, nos aseguramos que el servidor este funcionando.

Revisamos tambin los sensores: Politicas Sensores, verificamos que este activo.

Damos click en interfaces y agregamos la interfas del sensor, en este caso:

Interfaz: eth0 (interfas en modo promiscuo)
nombre: monitoreo

Ahora nos vamos a configurar las redes a monitorear, por defecto trae 3 redes, para mi caso
tendre que borrarlas y agregar el segmento mi red: Politicas - Redes

Scaner de vulnerabilidades:

Cambiar password servidor openvas.

Primero hay que eliminar el usuario ossim

openvas-rmuser

escribimos ossim y presionamos enter

despus agregamos el usuario ossim y colocamos el nuevo passwod.

openvas-adduser
Login : ossim
Authentication (pass/cert) [pass] : pass
Login password : nuevopassword
Login password (again) : nuevopassword

Presionar CTRL+D

Confirmar la creacin del usuario con y

Despus hay que agregar la clave en la configuracin web del ossim.

Activar el OCS Inventory

Nos vamos a Informes - OCS Inventory, llenamos los espacios requeridos:

Click en Enviar Consulta.

Para cambiar idioma OCS Inventory

Configuracion Principal Advanced Ossim Framework,

OCS Link, cambiar la ultima palabra a spanish

/ossim/ocsreports/index.php?lang=spanish

Solucionar plugin rrd_threshold servicio Abajo.

Crear la carpeta rrd:

rmkdir /var/lib/ntop/rdd

Darle derechos
chmod 777 /var/lib/ntop/rdd

Reiniciar el servidor.
reboot