Detecció de intrusos amb OSSEC (I)

La alerta de que un intrús ha entrant en el sistema informàtic de l’empresa a vegades no arriba al moment,  de fet varis estudis demostren que la major part dels atacs informàtics es detecta mesos després dels fets.  Això és degut a vegades per falta de temps per supervisar el sistema, a vegades per no saber interpretar correctament els indicis o a vegades simplement perquè l’intrús ha estat prou espavilat com per no “aixecar la llebre”.

De fet els símptomes poden ser molt variats i anar des de el mal funcionament de comandes del sistema -substituïdes per l’atacant per rootkits- fins a la modificació o eliminació dels registres -intentant eliminar proves del seu accés- passant per els múltiples registres que provoquen els escaneigs de ports, per no parlar dels atacs de força bruta a serveis com SSH.

Si un administrador és prou hàbil per cercar i interpretar correctament aquests indicis tan sols l’hi mancarà temps per a fer les verificacions les vint-i-quatre hores del dia i set dies a la setmana en tots els equips que gestiona.  Així doncs aquesta és una d’aquelles tasques que evident-ment ha de ser automatitzada.

Per aquesta missió han aparegut dos tipus de solucions a nivell de programari: NIDS i HIDS.  Els NIDS son sistemes de detecció de intrusos a nivell de xarxa, cercant pistes i pautes en les comunicacions de la xarxa de l’empresa.  Els HIDS son els sistemes de detecció de intrusos a nivell de host, és a dir, cercant pistes de una intrusió dins del equip mateix que custodien.

Un dels més populars és tripwire, tanmateix aquest projecte ja es considera tancat i fa anys que no s’actualitza.  Basat en tripwire va néixer OSSEC que s’alça actualment com un estandar “de facto” en el món dels HIDS.

Avui veurem com instal·lar-lo a nivell local i com és capaç de detectar un atac i reaccionar al moment alertant-nos o prenent accions per evitar la intrusió.

Primer de tot descarreguem l’última versió de la seva pàgina we.

ossec_1

Seguidament, anem a la carpeta de descàrrega i descomprimim l’arxiu:

cd Baixades

tar zxvf ossec-hids-2.7.tar.gz

Per a fer la instal·lació tan sols entrem a la carpeta on hem descomprimit el OSSEC i executem el script de instal·lació:

cd ossec-hids-2.7/

sudo ./install.sh

A partir d’aquí ens apareix un assistent molt sencill, de fet la major part d’opcions triarem la instal·lació per defecte:

  • Triem el idioma, aquí tan sols tenim el castellà per triar (no hi ha català).

ossec_2

  • La següent pregunta és la part més “crítica”, tipus de instal·lació, on podem triar entre les opcions de servidor, client o local.  Triarem local ja que tan sols volem el OSSEC en aquesta màquina concreta per a fer proves, més endavant ja veurem com fer una instal·lació de clients / servidors per a tenir centralitzat totes les alertes de seguretat del nostre negoci.

ossec_3

A partir d’aquest punt ens demanarà:

  • Punt de instal·lació:  podem deixar-ho per defecte.
  • Notificacions per email: si, així ens avisarà de qualsevol incidència mitjançant un email (ja no podrem dormir tranquils), caldrà confirmar el servidor de correu.
  • Integritat sistema: si, verificarà els registres, entre altres, cercant modificacions i intents d’eliminar empremtes.
  • Rootkits: si, els arxius de /etc/bin/ (cercant rootkits) i un llarg etcètera.
  • Resposta activa: si, en detectar activitat sospitossa intentarà realitzar accions per a bloquejar-la.
  • respuesta Desechar Firewall: si, en detectar activitat sospitosa d’un altre màquina afegirà regles al iptables per a blocar-la (per exemple, atacs de força bruta al servidor SSH).
  • IPs blanques?: Depenent del muntatge de la nostra xarxa podem habilitar IPs per a que mai siguin bloquejades i assegurar així poder entrar al equip des de aquests terminals.  En qualsevol cas, per a fer les nostres proves no cal cap IP blanca.

I amb això hem acabat de instal·lar el nostre flamant detector de intrusos!

ossec_4

Per a iniciar el dimoni tan sols cal executar:

sudo /var/ossec/bin/ossec-control start

Finalment si volem fer una verificació del seu bon funcionament podem per exemple simular que un atacant vol eliminar les proves dels seus actes eliminat el registre d’accés.  Per fer-ho res més simple (i sorollosa) que esborrar-lo completament:

sudo echo “” > /var/log/atuh.log

En pocs segons rebrem la notificació al nostre correu electrònic!

ossec_5

En properes entrades veurem com desplegar una solució client-servidor de OSSEC en la nostre xarxa corporativa per a detectar qualsevol intrusió als nostres equips i també com modificar i personalitzar les regles de detecció i resposta d’aquesta eina.

Advertisements

~ per madyyelf a 1 Novembre 2013.