IDS/Ossec

De TartareFR
Aller à la navigation Aller à la recherche

Installation locale

OSSEC est un HIDS de niveau système, qui s'installe sur quasiment n'importe quelle distribution Linux du moment qu'un administrateur dispose d'un compilateur C sur la machine adéquate. Cet HIDS peut s'installer seul (il ne vérifie que ce qui se passe sur la machine) ou en tant que serveur/agent (c'est-à-dire qu'on l'installe sur une machine centrale ou serveur, qui contrôle tout un réseau de machines sur lesquelles on installe des agents ossec). Je décrirai ici l'installation dite "locale", à savoir qu'on ne surveille que son propre serveur.

Installation d'OSSEC

cd /home
wget http://www.ossec.net/files/ossec-hids-2.6.tar.gz
tar -xzf ossec-hids-2.6.tar.gz
cd ossec-hids-2.6
./install.sh

Vérifiez qu'il s'agit bien de la dernière version. Et sinon c'est tout ce qu'il y a à faire, à la réserve près de répondre aux questions de l'installateur. Cela suffira pour un serveur web isolé. Il est possible d'avoir aussi un serveur surveillant plusieurs autres (appelés agents)

Choisir le type d'installation et la langue

1- Choisir le type d'installation (local)
...
** Za instalaciju na srpskom, izaberi [sr].
** Türkçe kurulum için seçin [tr].
(en/br/cn/de/el/es/fr/it/jp/pl/ru/sr/tr) [en]: fr
1- Quel type d'installation voulez-vous (serveur, agent, local ou aide) ? local
- Installation en local choisie.

Définition de l'environnement d'installation

2- Définition de l'environnement d'installation.
- Choisissez votre répertoire d'installation de OSSEC HIDS [/var/ossec]: (garder la valeur par défaut comme indiqué)
- L'installation sera faite sur /var/ossec .

Configuration de OSSEC HIDS

3- Configuration de OSSEC HIDS.
3.1- Voulez-vous une alerte par email ? (o/n) [o]: n
--- Alerte par email désactivée.
3.2- Voulez-vous démarrer le démon de vérification d'intégrité ? (o/n) [o]: o
- Lancement de syscheck (démon de vérification d'intégrité).
3.3- Voulez-vous démarrer le moteur de détection de rootkit ? (o/n) [o]: o
- Lancement de rootcheck (détection de rootkit).
3.4- La réponse active vous permet d'éxécuter des commandes spécifiques
en fonction d'évènement. Par exemple,
vous pouvez bloquer une adresse IP ou interdire
l'accès à un utilisateur spécifique.
Plus d'information sur : http://www.ossec.net/en/manual.html#active-response
- voulez-vous démarrer la réponse active ? (o/n) [o]: o
- Réponse active activée.
- Par défaut, nous pouvons activer le contrôle d'hôte
et le pare-feu (firewall-drop). Le premier ajoute
un hôte dans /etc/hosts.deny et le second bloquera
l'hôte dans iptables (sous linux) ou dans ipfilter
(sous Solaris, FreeBSD ou NetSBD).
- Ils peuvent aussi être utilisés pour arrêter les scans
en force brute de SSHD, les scans de ports ou d'autres
formes d'attaques. Vous pouvez aussi les bloquer par
rapport à des évènements snort, par exemple.
- Voulez-vous activer la réponse pare-feu (firewall-drop) ? (o/n) [o]: o
- pare-feu (firewall-drop) activé (local) pour les levels >= 6
- liste blanche (white list) par défaut pour la réponse active :
- 212.27.54.252
- 212.27.53.252
- Voulez-vous d'autres adresses IP dans votre liste (white list) ? (o/n)? [n]: o
- IPs (séparées par des espaces) : votre-ip

Puis lancez ossec via la commande indiquée en résultat /var/ossec/bin/ossec-control start, le programme sera également lancé à chaque redémarrage du serveur.

Mode Server / Agents

  1. Lancement de la commande <app>manage_agents</app> sur le serveur OSSEC.
  2. Ajout d'un agent.
  3. Extraction de la clé pour l'agent.
  4. Lancement de la commande <app>manage_agents</app> sur le client.
  5. Import de la clé.
  6. Re-démarrage du serveur OSSEC.
  7. Démarrage de l'agent.

Page de manuel Ossec sur la configuration client/server[1]

Configuration sur le serveur

Lancement de l'utilitaire de gestion des agents <app>/var/ossec/bin/manage_agents</app> 

****************************************
* OSSEC HIDS v2.7 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q:

Ajout

Cela se fait en sélectionnant a. Il faudra renseigné le nom de l'agent. Cela peut-être le hostname (fqdn). 

- Adding a new agent (use '\q' to return to the main menu).
  Please provide the following:
   * A name for the new agent: wsr1.b2pweb.com

Puis il faudra renseigner l'adresse IP. On peut mettre une fourchette, et cela est même vivement conseillé si cet agent n'a pas d'IP fixe. 

* The IP Address of the new agent: 192.168.0.100
Idea.png
Adresse ou réseau ?
On peut spécifier un réseau plutôt qu'une adresse, et cela est même vivement conseillé si cet agent n'a pas d'IP fixe. 
* The IP Address of the new agent: 192.168.0.0/24

La dernière information a renseigner est l'identifiant pour cet agent. La suggestion peut être acceptée en appuyant simplement sur la touche ENTER. 

* An ID for the new agent[001]:

Extraction de la clé pour cette agent

Toujours avec l'utilitaire <app>/var/ossec/bin/manage_agents</app>, mais en sélectionnant e 

****************************************
* OSSEC HIDS v2.7 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: e

Available agents: 
   ID: 001, Name: wsr1.b2pweb.com, IP: 192.168.0.100
Provide the ID of the agent to extract the key (or '\q' to quit): 001

Agent key information for '001' is: 
MDAxIHdzcjEuYjJwd2ViLmNvbSAxOTIuMTY4LjAuMTAwIGJlZjY0MGIwMjcyMjRjNTcyYzM4ZGRiYTI5NGYwODQ1YWU2OTdhYWI3MDFlOGI0MTYzZGQ5ZmRkNWI1NDQ3YTg=

Configuration sur le client

Cette fois ci, c'est l'utilitaire de gestion de client qui est utilisé: <app>/var/ossec/bin/manage_client</app>. On copiera la ligne données par IDS/Ossec#Extraction_de_la_cl.C3.A9_pour_cette_agent l'extraction de la clé. 

****************************************
* OSSEC HIDS v2.7 Agent manager.     *
* The following options are available: *
****************************************
   (I)mport key from the server (I).
   (Q)uit.
Choose your action: I or Q: i

* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit): MDAxIHdzcjEuYjJwd2ViLmNvbSAxOTIuMTY4LjAuMTAwIGJlZjY0MGIwMjcyMjRjNTcyYzM4ZGRiYTI5NGYwODQ1YWU2OTdhYWI3MDFlOGI0MTYzZGQ5ZmRkNWI1NDQ3YTg=

Agent information:
   ID:001
   Name:wsr1.b2pweb.com
   IP Address:192.168.0.100

Confirm adding it?(y/n): y
Added.

On renseignera l'adresse du server dans le fichier <path>/var/ossec/etc/ossec.conf</path> 

  <client>
    <server-ip>192.168.0.15</server-ip>
  </client>

références

  1. http://www.ossec.net/doc/manual/agent/agent-management.html
Récupérée de « https://wikiold.home.tartarefr.eu/index.php?title=IDS/Ossec&oldid=1860 »