Insalación de OSSEC en modo HIDS

OSSEC es un sistema de detección de intruso Open Source. Esta poderosa plataforma HIDS tiene la capacidad de realizar análisis de logs, comprobar de la integridad de los archivos, detectar rootkits, enviar alertas en tiempo real y dar respuestas activas sobre cualquier intento de penetración vía fuerza bruta en nuestros servidores.

 

Instalamos los paquetes necesarios para la instalación de OSSEC

Para Debian / Ubuntu

rokitoh@red-orbita:~#  aptitude install build-essential

Para RHEL / CentOS

rokitoh@red-orbita:~#  yum groupinstall «Development Tools»  

 

Descargamos OSSEC

rokitoh@red-orbita:~#  wget http://www.ossec.net/files/ossec-hids-2.7.1.tar.gz

Descomprimimos

rokitoh@red-orbita:~#  tar xvf ossec-hids-2.7.1.tar.gz

Accedemos a la carpeta

rokitoh@red-orbita:~#  cd ossec-hids-2.7.1/

Ejecutamos instalador

rokitoh@red-orbita:~#  ./install.sh

** Para instalação em português, escolha [br].
** 要使用中文进行安装, 请选择 [cn].
** Fur eine deutsche Installation wohlen Sie [de].
** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
** For installation in English, choose [en].
** Para instalar en Español , eliga [es].
** Pour une installation en français, choisissez [fr]
** A Magyar nyelvű telepítéshez válassza [hu].
** Per l’installazione in Italiano, scegli [it].
** 日本語でインストールします.選択して下さい.[jp].
** Voor installatie in het Nederlands, kies [nl].
** Aby instalować w języku Polskim, wybierz [pl].
** Для инструкций по установке на русском ,введите [ru].
** Za instalaciju na srpskom, izaberi [sr].
** Türkçe kurulum için seçin [tr].
(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: es

 

OSSEC HIDS v2.7.1 Guión de instalación – http://www.ossec.net

Usted esta por comenzar el proceso de instalación del OSSEC HIDS.
Usted debe tener un compilador de C previamente instalado en el sistema.
Si usted tiene alguna pregunta o comentario, por favor envie un correo
electrónico a dcid@ossec.net <mailto:dcid@ossec.net> (daniel.cid@gmail.com
<mailto:daniel.cid@gmail.com> )
– Sistema: Linux lusy 3.12-1-amd64
– Usuario: root
– servidor: lusy
— Presione ENTER para continuar ó Ctrl-C para abortar. —
1- Que tipo de instalación Usted desea (servidor, agente, local ó ayuda)? local

– Usted eligió instalación Local.

2- Configurando las variables de entorno de la instalación.

– Eliga donde instalar OSSEC HIDS [/var/ossec]:

– La instalación se realizará en /var/ossec .

3- Configurando el sistema OSSEC HIDS.

3.1- Desea recibir notificación por correo electrónico? (s/n) [s]:
– Cuál es vuestra dirección de correo electrónico? XXXXXX@hotmail.com

– Hemos encontrado vuestro servidor de correo (SMTP): mx4.hotmail.com.
– Desea Usted usarlo? (s/n) [s]:

— Usando el servidor SMTP: mx4.hotmail.com.

3.2- Desea Usted agregar el servidor de integridad del sistema? (s/n) [s]:

– Ejecutando syscheck (servidor de integridad del sistema).

3.3- Desea Usted agregar el sistema de detección de rootkit? (s/n) [s]:

– Ejecutando rootcheck (sistema de detección de rootkit).

3.4- Respuestas activas le permitirán ejecutar un comando
específico en base a los eventos recibidos. Por ejemplo,
Usted podra bloquear una dirección IP ó deshabilitar el acceso
de un usuario específico.
Más información en:
http://www.ossec.net/en/manual.html#active-response

– Desea Usted habilitar respuesta activa? (s/n) [s]:
– Respuesta activa habilitada.

– Por omición, podemos habilitar el rechazo de servicio
o el abandono del paquete por medio del Firewall.
El rechazo agregara el ofendedor en el archivo etc/hosts.deny
y el abandono bloquara la comunicación con el ofendedor en iptables
(si el sistema fuera linux) ó ipfilter (si el sistema fuera
Solaris, FreeBSD or NetBSD).

– Las dos repuestas pueden ser utilizadas para detener un escaneo
de fuerza bruta contra SSHD, escaneo de puertos y otras formas
de ataque. Por ejemplo Usted podra tambien agregar los ofensores
de acuerdo a eventos registrados por medio de snort.
– Desea Usted habilitar la respuesta desechar en el Firewall? (s/n) [s]:

– Respuesta desechar en el Firewall habilitada (local) para niveles >= 6

– Lista blanca para respuesta activa por omisión:
– 62.81.16.213
– 62.81.29.254

– Desea Usted agregar más IPs a la lista blanca? (s/n)? [n]:

3.6- Estableciendo la configuración para analizar los siguientes registros:
— /var/log/messages
— /var/log/auth.log
— /var/log/syslog
— /var/log/mail.info
— /var/log/dpkg.log
– Si Usted deseara monitorear algún otro registro, solo
tendrá que editar el archivo ossec.conf y agregar una
nueva entrada de tipo localfile.
Cualquier otra pregunta de configuración podra ser
respondida visitandonos en linea en http://www.ossec.net .

 

Para iniciar/parar el servicio

rokitoh@red-orbita:~#   /var/ossec/bin/ossec-control start
rokitoh@red-orbita:~# /var/ossec/bin/ossec-control stop

 

Un saludo, rokitoh!

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *