OSSEC (II): Infraestructura client – servidor

Tenir un Host Intruder Detector System (HIDS) en el ordinador de casa està molt bé; podem veure els intents de intrusió i assegurar-nos de no quedar infectats i passar a engreixar les xarxes de zombis o que ens agafin les dades del banc o simplement ens robin algun ítem virtual del nostre joc preferit.  Tanmateix no sembla gaire bona idea fer una instal·lació individualitzada, més el seu corresponent manteniment, a cada ordinador de la nostra empresa i que tots ens enviïn missatges de forma indiscriminada!

OSSEC contempla un desplegament seguin una estructura client / servidor que ens facilitarà la gestió de totes les màquines mitjançant un servidor central.  La instal·lació del servidor i dels agents (clients) és idèntica a la que varem explicar en el post OSSEC (I) però hem de triar les opcions de servidor o agent depenent del cas que sigui.

Un cop feta la instal·lació, tant del servidor com dels agents, haurem de crear els clients dins del servidor.  Això ho farem des de la utilitat de gestió de agents: /var/ossec/bin/manage_agents

Fixeu-vos en el menú:

****************************************
* OSSEC HIDS v2.5-SNP-100809 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q:
  • (A) Crear un agent nou.
  • (E) Obtenir la clau per a que aquest agent pugui autenticar-se al servidor.
  • (L) Llistat de agents registrats
  • (Q) Sortir

Així doncs primer crearem els agents mitjançant l’opció (A)dd an agent (A) Aquí simplement haurem de completar tres camps:

  • Nom del agent: Un text per a distingir-lo.
  • IP: La seva adreça IP. Aquí cal destacar que podem marcar una subxarxa (p.e.: 192.168.0.1/24) o any en cas que el client canvii de IP (p.e.: Si tenim un servidor DHCP a la xarxa).
  • ID: Numero identificatiu intern, el OSSEC ens ofereix un per defecte.

Afegint un agent nou a la base de dades del sevidor OSSEC

Un cop fet aquest cap el que farem és generar la clau per a que el client es pugui autentificar contra el servidor.  Des de el mateix menú anterior triarem la opció (E)xtract key for an agent (E) Ens apareixerà un llistat dels agents creats i triarem el que ens interessi mitjançant el seu ID.

Obtenint la clau del agent per a poder-lo connectar amb el servidor.

Per a fer “copy/paste” de forma més còmode d’aquesta clau, el recomanable és utilitzar un terminal amb SSH per connectar-nos al client (o des del client connectar-nos al servidor) i així podrem fer el copiar / enganxar de forma còmode.  Sinó ens les harem d’empescar per a copiar aquesta clau d’alguna manera en el client.

Per la banda del client el que farem serà anar al mateix programa /var/ossec/bin/manage_agents , triar l’opció (I)mport key from the server (I) i enganxar la clau anterior.

Afegint la clau al client per a que es pugui connectar al servidor.

I aquestes son totes les configuracions a fer.  Per a que tots aquest canvis tinguin efecte reiniciarem tant el servidor com el agent amb la comanda: /var/ossec/bin/ossec-control restart 

En acabat ja tindrem un sistema de detecció de intrusos en la nostre xarxa informàtica que ens alertarà de qualsevol incident.

Tanmateix no hem explorat encara la part més interessant de OSSEC que és poder personalitzar les regles de detecció i les actuacions associades podent fins i tot crear un sistema reactiu als atacs i, per què no, un sistema agressiu.  Tot això ho veurem en el proper post!

Anuncis

~ per madyyelf a 15 Novembre 2013.