Está en la página 1de 11

OSSIM 1.1 Configuracion despus de la Instalacion.

1.-

Configurar Interfaces de Red (Interfaces Ethernet) Primero configuramos una tarjeta con ip ej: 192.168.4.xxx y otra tarjeta la configuramos en modo promiscuo para capturar paquetes de nuestra red. Editamos la configuracin /etc/network/interface: vim /etc/network/interfaces
# The loopback network interface auto lo eth0 eth1 iface lo inet loopback # The primary network interface #allow-hotplug eth1 iface eth0 inet manual up ifconfig $IFACE 0.0.0.0 up up ifconfig $IFACE promisc down ifconfig $IFACE down iface eth1 inet static address 192.168.4.xxx (ip del servidor) netmask 255.255.255.0 (mascara de red) network 192.168.4.0 (inicio de segmento de red) broadcast 192.168.4.255 (final de segmento de red) gateway 192.168.4.xxx (puerta de enlace) dns-nameservers 192.168.xxx.xxx (servidor dns) dns-search dns (grupo de trabajo)

Guardar los cambios y reiniciamos las instancias de red con el comando: /etc/init.d/networking restart

Con este commando veremos si los cambios fueron efectuados: ifconfig


Cambiar la contrasea de ntop: ntop A

Reiniciar el servidor: reboot

2.-

Resetear la contasea de MYSQL.

Detenemos mysql /etc/init.d/mysql stop

Iniciamos el servicio de mysql en modo seguro, ejecutamos:


/usr/bin/mysqld_safe --user=root --pid-file=/var/run/mysqld/mysqld.pid --skip-grant-tables &

Entramos en la consola con usuario root: /usr/bin/mysql -u root mysql

Reseteamos la contrasea de usuario root:


update user set password=password('passwordnuevoMYSQL') where User='root' and host='localhost';

flush privileges;

Damos derechos a root@localhost: grant all privileges on *.* to root@'localhost'; Si queremos entrar de una ip especifica a la base de datos mysql:
GRANT ALL PRIVILEGES ON *.* TO root@'ipdedondesequiereentrar' IDENTIFIED BY 'passwordmysql';

Salimos de la consola con: exit Editar archivo my.cnf vim /etc/mysql/my.cnf bind-address = 0.0.0.0

Guardamos el archivo y reiniciamos el servicio de mysql: /etc/init.d/mysql restart

3.-

Cambiar Configuracion de OSSIM con el nuevo password de mysql


El primer archivo a modificar es el /etc/ossim/ossim_setup.conf vim /etc/ossim/ossim_setup.conf Cambiamos las siguientes lneas:
interface=eth0 (interfas que utiliza el servidor en modo promiscuo)

[database] db_ip=localhost pass=passwordMYSQL [sensor] interfaces=eth0 ip=192.168.4.xxx (ip del sensor que es la misma ip del equipo) [server] server_ip=192.168.4.xxx (ip del servidor que es la misma ip del equipo)

Guardamos los cambios y modificamos el siguiente archivo: vim /etc/ossim/framework/ossim.conf


################################################# # OSSIM db configuration ################################################# ossim_pass=passwordMYSQL ossim_host=localhost ################################################## # OSSIM control access list configuration (phpGACL) ################################################## phpgacl_host=localhost phpgacl_pass=passwordMYSQL

Guardamos los cambios y modificamos el siguiente archivo: vim /etc/snort/snort.debian.conf


DEBIAN_SNORT_HOME_NET="any" (configurar red a monitorear ej:192.168.4.0/24) DEBIAN_SNORT_INTERFACE="eth0" (interfaz en modo promiscuo)

Guardamos los cambios y despus reconfiguramos el ossim: /usr/bin/ossim-reconfig

Reiniciar el servidor: reboot

4.-

Configurar Interfaz WEB.

Entramos a la consola web del ossim colocando simplemente la ip del servidor en el navegador, el usuario y password por defecto es: admin - admin

Cuando ingresemos lo primero que deberamos hacer es cambiar el password de usuario, vamos a la opcin: configuration users, aqu cambiamos el password y el idioma.

Ahora nos vamos a: Politicas Servidor, nos aseguramos que el servidor este funcionando.

Revisamos tambin los sensores: Politicas Sensores, verificamos que este activo.

Damos click en interfaces y agregamos la interfas del sensor, en este caso: Interfaz: eth0 (interfas en modo promiscuo) nombre: monitoreo

Ahora nos vamos a configurar las redes a monitorear, por defecto trae 3 redes, para mi caso tendre que borrarlas y agregar el segmento mi red: Politicas - Redes

Scaner de vulnerabilidades:

Cambiar password servidor openvas. Primero hay que eliminar el usuario ossim openvas-rmuser escribimos ossim y presionamos enter

despus agregamos el usuario ossim y colocamos el nuevo passwod. openvas-adduser Login : ossim Authentication (pass/cert) [pass] : pass Login password : nuevopassword Login password (again) : nuevopassword

Presionar CTRL+D

Confirmar la creacin del usuario con y

Despus hay que agregar la clave en la configuracin web del ossim.

Activar el OCS Inventory Nos vamos a Informes - OCS Inventory, llenamos los espacios requeridos:

Click en Enviar Consulta.

Para cambiar idioma OCS Inventory Configuracion Principal Advanced Ossim Framework,

OCS Link, cambiar la ultima palabra a spanish /ossim/ocsreports/index.php?lang=spanish

Solucionar plugin rrd_threshold servicio Abajo.

Crear la carpeta rrd: rmkdir /var/lib/ntop/rdd

Darle derechos chmod 777 /var/lib/ntop/rdd

Reiniciar el servidor. reboot