Minun viimeinen viesti asensimme Logwatch sekä OSSEC. Nyt on aika saada Logwatch ja OSSEC pelissä samassa hiekkalaatikossa. Tässä post tulen keskustelemaan, miten saada Logwatch yhteenvedon tiedot ovat tuottaman OSSEC.

Asennusvaihtoehdot

Meillä on kaksi polkuja voimme seurata teet asetukset:

1. Onko Logwatch jäsentää OSSEC lokit suoraan.
2. Onko OSSEC lähettää hälytyksiä Syslog tyyppi palvelimeen, suorita Logwatch siitä lokipalvelin.

Hyötyä optio # 1 on, että tarvitsemme vain yksi järjestelmä. Logwatch ajetaan järjestelmässä hosting OSSEC palvelimelle. Ongelma aiomme törmätä kuitenkin liittyy OSSEC hälytys tiedosto. Kirjaudu merkinnät eivät saa normalisoitunut. Tämä tarkoittaa muoto voi muuttua pääse pääsy, ja se voi jopa jakaa usealle riville. Se tulee olemaan todellinen painajainen luoda Logwatch komentosarjan, joka suodattaa ja yhteenveto ilmoituksilla.

Jos me mennä optio # 2, vaadimme toinen laatikko toimimaan Keskitettyjen kirjautumalla palvelimelle. Jotta OSSEC palvelin hyväksy lokitiedot ei-agentti järjestelmiä, se on kuuntelemaan UDP/514. Tämä on sama käyttämä portti keskitetysti kirjautumalla palvelimelle, ja et voi olla kaksi hakemusta sama portti (paitsi Windows, mutta socket-yhteys on erittäin sotkuinen). Hyvänä puolena, hälytys merkinnät saavat normalisoitui, kun ne siirretään lokipalvelin näin ollen syntyy Logwatch yhteenveto skripti on paljon helpompaa. Lisäksi Logwatch jo tietää standardin Syslog tiedostoja, joten meillä on vähemmän räätälöintiä työtä.

Lopuksi mainitsin aiemmin viesti, joka OSSEC ei ole suunniteltu SIM. Tämä johtuu siitä ei tallenna kaikkea, vain tapahtumia, jotka tuottavat hälytys. Joten olemme luultavasti menossa halua keskitetylle palvelimelle joka tapauksessa, ja on järkevää olla se tallentaa tiedot ovat tuottaman OSSEC.

Joten jos se kuulostaa Olen ohjausryhmän sinua kohti optio # 2 Olet täysin oikeassa. Tämän sanoi, olen todella tulee kattaa optio # 1, koska se on paljon monimutkaisempi setup.

Suhtautuminen pvm / aikaleimat

Tutustu tärkein OSSEC lokitiedostoon ja sinun pitäisi nähdä seuraavanlainen:

[Root @ Fubar lokit] # tail -3 / var / ossec / logs / ossec.log

18.02.2010 12:32:05 ossec-rootcheck: INFO: Ending rootcheck skannata.

18.02.2010 14:27:06 ossec-syscheckd: INFO: Starting syscheck skannata.

18.02.2010 14:39:21 ossec-syscheckd: INFO: Ending syscheck skannata.

Huomaa miten päivämäärä / aikaleima on alustettu. Tämä on erilainen kuin useimmat sovellukset, joten ensimmäinen asia, joka meidän tulee tehdä, on kertoa Logwatch miten käsitellä tätä muotoa. Meidän täytyy luoda skriptin, että voimme soittaa tarvittaessa joka ymmärtää muodossa yllä.

Aloita siirtymällä jaettu scripts hakemistossa:

cd / usr / share / logwatch / scripts / jaettu

Käyttämällä mielimuokkaimellasi, luo tiedosto nimeltä "applylongdate":

vi applylongdate

Tässä on mitä tarvitset sisällä kyseisen tiedoston. Voit vapaasti kopioida / liittää tältä sivulta:

käyttää Logwatch ": päivämäärät";

my $ Debug = $ ENV {'LOGWATCH_DEBUG "} | | 0;

$ SearchDate = TimeFilter ('% Y /% m /% d% H:% M:% S ");

if ($ Debug> 5) {

Tulosta stderr "DEBUG: Inside ApplyLongDate ... \ n";

Tulosta stderr "DEBUG: Looking For:". $ SearchDate. "\ N";

}

while (määritelty ($ ThisLine = <STDIN>)) {

if ($ ThisLine = ~ m / ^ $ SearchDate / o) {

print $ ThisLine = ~ s / ^ .... \ / .. \ / .. ..:..:.. / /;

print $ ThisLine;

}

}

# VI: shiftwidth = 3 syntaksi = perl tabstop = 3 et

Kun olet tallentanut tiedoston, meidän täytyy nyt asettaa käyttöoikeudet:

chmod 755 applylongdate

Määritä Lokitiedostot

Seuraavaksi meidän täytyy kertoa Logwatch jossa OSSEC lokitiedostot sijaitsevat. Aina kun lisäät uusia lokitiedostot tai luoda uusia palveluja seuraamaan Logwatch, sinun tulee tehdä muutoksia alla / etc / logwatch hakemistosta. Aiomme luoda kaksi asetustiedostoja. Ensimmäinen käsittelee OSSEC viestejä, ja toinen käsittelee OSSEC hälytykset ja aktiivinen vaste muuttuu.

Aloitetaan luomalla konfigurointitiedostoa tärkein OSSEC lokitiedosto:

cd / etc / logwatch / conf / lokitiedostot

vi ossec.conf

Tiedoston sisältö pitäisi olla seuraa:

Logfile = / var / ossec / logs / ossec.log

* ApplyLongDate =

Voit nyt tallentaa ja poistua tiedosto. Seuraavaksi luomme config tiedostosta jäljellä lokitiedostot:

VI ossec-alert.conf

Tämän tiedoston sisällön pitäisi olla seuraa:

Logfile = / var / ossec / logs / aktiivinen-responses.log

Logfile = / var / ossec / logs / ilmoitukset / alerts.log

Logfile = / var / ossec / logs / palomuuri / firewall.log

Kun olet valmis, tallenna ja poistu. Oletuskäyttöoikeuksia pitäisi hyväksyä meidän setup.

Konfigurointi OSSEC Palvelut

Seuraavaksi meidän on määriteltävä OSSEC palvelut ja selvittää, mitä haluamme käyttää nimenä, kun raportteja syntyy. Näin voit luoda ensimmäisen tiedoston:

cd / etc / logwatch / conf / palvelut

vi ossec.conf

Tämän tiedoston sisällön on melko yksinkertainen:

Title = "OSSEC viestit"

Logfile = ossec

Kun olet valmis voit tallentaa ja poistua. Meidän on luotava yksi tiedosto tähän hakemistoon:

VI ossec-alert.conf

Tämän tiedoston sisällön pitäisi olla:

Title = "OSSEC hälytykset"

Logfile = ossec-hälytys

Kun olet valmis, tallenna ja poistu normaalisti.

Jäsennys Merkinnät

Seuraavaksi meidän täytyy kertoa Logwatch kuinka muotoilla lokitiedot sisällä raportti. Meidän on luotava räätälöinnin käsikirjoitus kullekin laajemman palveluvalikoiman. Aiomme aloittaa käyttämällä Logwatch mukana testikoodi, vain varmista, kaikki toimii.

Aloita siirtymällä asianmukainen hakemisto:

cd / etc / logwatch / scripts / palvelut

Käytä mielimuokkaimellasi luomaan ensimmäinen käsikirjoitus:

vi ossec

Sisältö käsikirjoituksen pitäisi olla seuraa:

#! / Bin / bash

# Tämä on niin mukavaa skripti, joka näyttää sinulle linjat tulet

# Voidaan käsittely ja raportointi. Se ensimmäinen näyttö

# Vakio ympäristömuuttujat ja kestää STDIN ja

# Dumpata sen takaisin ulos STDOUT.

# Nämä ovat standardin ympäristömuuttujat. Voit määritellä

# Enemmän palveluksessasi config tiedosto (ks. edellä).

echo "Ajanjakso: $ LOGWATCH_DATE_RANGE"

echo "Detail Level: $ LOGWATCH_DETAIL_LEVEL"

echo "Temp Dir: $ LOGWATCH_TEMP_DIR"

echo "Debug Level: $ LOGWATCH_DEBUG"

# Nyt ottaa STDIN ja dumpata se STDOUT

kissa

Nyt Luo Toisella koodilla:

VI ossec-hälytys

ja sisältää täsmälleen sama sisältö:

#! / Bin / bash

# Tämä on niin mukavaa skripti, joka näyttää sinulle linjat tulet

# Voidaan käsittely ja raportointi. Se ensimmäinen näyttö

# Vakio ympäristömuuttujat ja kestää STDIN ja

# Dumpata sen takaisin ulos STDOUT.

# Nämä ovat standardin ympäristömuuttujat. Voit määritellä

# Enemmän palveluksessasi config tiedosto (ks. edellä).

echo "Ajanjakso: $ LOGWATCH_DATE_RANGE"

echo "Detail Level: $ LOGWATCH_DETAIL_LEVEL"

echo "Temp Dir: $ LOGWATCH_TEMP_DIR"

echo "Debug Level: $ LOGWATCH_DEBUG"

# Nyt ottaa STDIN ja dumpata se STDOUT

kissa

Lopuksi meidän on asetettava tarvittavat oikeudet:

chmod 755 ossec *

Testaus Setup

Helpoin tapa testata uuden asennuksen on ajaa komento:

logwatch | less

Jos haluat vain nähdä muutokset, voit suorittaa raportin kunkin palvelun, yksi kerrallaan:

logwatch-palvelu ossec | less

logwatch-palvelun ossec-hälytys | less

Muokata edelleen

Kun saat kaikki edellä toimii, voit keskittyä saamaan Logwatch suodattaa ja tiivistää lokitiedot. Logwatch on melko joustava, ja voit muokata lähtö haluamallasi tavalla. Yksi mukavia asioita edellä testikoodi yläpuolella on, että se näyttää sinulle täsmälleen, mitä sinun täytyy työskennellä. Joten hieman säännöllinen lauseke magic voit tehdä yhteenvetoja merkinnät kun pitävät asianmukaisina. Joillekin ideoita, tutustu tiedostojen alla:

/ Usr / share / logwatch / scripts / palvelut

Nämä ovat oletuksena yhteenveto skriptejä mukana Logwatch. Erityisesti on tarkasteltava tiedostot "pam" ja "sshd". Ne ovat erinomaisia ​​esimerkkejä sekä yksinkertaisia ​​ja monimutkaisia ​​yhteenveto suodattimia.

Kun kehität skriptejä, kiinnitä huomiota $ LOGWATCH_DETAIL_LEVEL "muuttuja. Tämän ansiosta voit muokata lähtötasoa raportin riippuen siitä kuinka paljon näyttötaso käyttäjä etsii. Esimerkiksi kun olet vielä edellä palveluiden hakemistoon, suorita seuraava komento:

vähemmän sshd

Kun ensimmäisen sivun tiedoston sisältö näytetään, kirjoita:

/ Detail <Anna Key>

Kenoviiva auttaa meitä etsiä tiedoston tietyn merkkijonon. Tässä tapauksessa Etsimme sana "Detail". Kun painat Enter haku hyppää läpi tiedosto kunnes se löytää ensimmäisen oikeusasteen merkkijono. Siinä korostuvat myös hakumerkkijonon. Ensimmäisessä ottelussa huomaat, että kirjailija määritetty muuttujaan "$ Detail" olla sama kuin muuttuja $ LOGWATCH_DETAIL_LEVEL ". Näin pyritään säästämään heille joitakin kirjoittamalla.

Paina nyt kenoviiva näppäintä uudelleen sen jälkeen Enter-näppäintä. Tämä hyppää läpi tiedosto seuraavaan esiintymään "Detail". Sinun pitäisi nähdä:

if ($ tietoja> = 20) {

$ Käyttäjät {$ user} {$ host} {$ Method} + +;

} Else {

if ($ isäntä! ~ / $ IgnoreHost /) {

$ Käyttäjät {$ user} {$ host} {"(kaikki )"}++;

Huom kirjailija saa lisää tietoa, jos yksityiskohtien määrä on asetettu 20 (välissä pieni ja keskisuuri) tai korkeampi. Pidä hyppäämällä läpi tiedoston ja näet muita esimerkkejä, joissa kirjailija velkarahalla tätä tekniikkaa.

Nyt sivu alas tiedoston loppuun ja sinun pitäisi nähdä tämä lausunto:

if (avaimet% OtherList) {

print "\ n ** Ylivertainen Entries ** \ n";

print "$ _: $ OtherList {$ _} Aika (s) \ n" foreach avaimet% OtherList;

}

Tämä osio on erittäin tärkeä, koska se on lopullinen Haavi. Ajattele palomuurin politiikan hetkeksi. Useimmat meistä luoda lopullinen sääntö, joka sanoo, "Jos en ole erikseen salli laskukierroksessa läpi, kieltää". Toisin sanoen, jos jotain yllättävää tapahtuu, näin minä haluan teidän käsitellä sitä.

Lausumassa palvelee samaa tarkoitusta jäsennettäessä lokitiedostoon. Kaikki aiemmat "jos" lausunnot yrittää sovittaa tietyn tekstin merkkijono lokimerkintä jotta alustaa sen kunnolla. Tämä artikkeli sanoo "Jos et ole sovitettu ja painettu erityinen lokitapahtuman vielä, tulosta se on osio" ** Ylivertainen Entries ** ". Tämä vaihe on erittäin tärkeä, koska ilman sitä emme koskaan näe odottamattomia merkinnät. Se on odottamaton merkinnät, jotka luultavasti tärkein ja kiinnostavin.

Exec Yhteenveto

Sekä OSSEC ja Logwatch ovat erinomaisia ​​ilmaisia ​​työkaluja. OSSEC kunnostautuu varoittaa, kun tunnettu hyökkäys kuvio tapahtuu. Logwatch on loistava työkalu yhteenvedon aika kimpale lokit jotta ihmiset voivat todella saada tolkkua, mitä tapahtuu. Yhdistämällä kaksi työkalua voit luoda paljon vakaampi puolustus syvällistä asennon. Koko tulee enemmän kuin osiensa summa.

Minun kaksi viimeistä viestiä Keskustelin Logwatch ja OSSEC sekä miten niitä voidaan hyödyntää laajentaa tietoturvaa ryhti. Tässä erä tulen keskustelemaan siitä, miten asentaa molemmat näistä työkaluista.

Asentaminen Logwatch

Logwatch on melko helppo asentaa. Itse asiassa se on asennettuna monien Linux-jakeluiden niin saatat jo kopioi järjestelmään. Voit tarkistaa, kirjautuminen pääkäyttäjänä ja yritä ajaa Logwatch kanssa "-v"-kytkin. Jos näet:

[Root @ Fubar logwatch] # logwatch-v

Logwatch 7.3.6 (julkaistu 19.5.07)

Logwatch on asennettu ja olet kopio uusimman version. Jos sinulla ei ole uusinta versiota, voit napata sen Logwatch lataussivulta .

On olemassa kolme makuja Logwatch jonka voi ladata, binäärejä, rpm-muodossa, lähde RPM-muodossa, tai lähde Tar pallo. Jos järjestelmä tukee RPM pakettien hallinnan, binary RPM on paras valinta. Se on yksinkertainen asentaa ja RPM automaattisesti päivittää ohjelmistoa, kun uudet versiot ovat saatavilla.

Asentaminen Logwatch alkaen RPM

Voit asentaa binary version RPM, yksinkertaisesti kirjautua pääkäyttäjänä ja siirry hakemistoon, johon latasit RPM-tiedoston. Nyt suorittaa komennon:

rpm-U logwatch-7.3.6-1.noarch.rpm

Älä unohda voit SARKAIMELLA automaattinen täydennys tiedoston nimi eikä tarvitse kirjoittaa koko jutun.

Asentaminen Logwatch From Source

Asennus lähde on vähän enemmän aikaa. Muista, että voidakseen asentaa lähdekoodin sinulla on jo kääntäjä (kuten GCC) asennettuna järjestelmään. Logon pääkäyttäjänä ja siirry hakemistoon, johon latasit Tar pallo. Voit purkaa arkiston, suorita komento:

terva xvzf logwatch-7.3.6.tar.gz

Näet hakemistorakenteen alle nykyisen sijainnin saada luotu ja paljon tiedostoja kopioidaan tuumaa Meillä on nyt siirtyä alkuun kaikkein hakemistoon luotu:

cd logwatch-7.3.6

Jotta Logwatch juosta, on olemassa joukko hakemistoja, jotka on luotu järjestelmä. Nämä on dokumentoitu README nykyiseen hakemistoon. Onneksi Logwatch sisältää asentaa skripti, joka voi tehdä kaiken työn puolestasi. Valitettavasti käsikirjoitus on väärä oikeudet asettaa niin se ei toimisi oletuksena. Tämä on melko helppo korjata kuitenkin kanssa chmod-komennolla:

chmod 500 install_logwatch.sh

Nyt voimme suorittaa komentosarjan setup järjestelmämme:

. / Install_logwatch.sh

Älä unohda kauden alussa linja.

Testaus Logwatch

Testaa Logwatch setup, suorita komento:

logwatch | less

Näet päätelaitteen näyttö pimeni, mutta se on normaalia. Tulet lopulta nähdä Logwatch raportin saada tulostuu näyttö, voit selata käyttämällä "Sivu ylös" ja "Page Down" näppäimiä. Miten loki kuluu raportin näy ruudulla riippuu siitä, kuinka paljon lokitietoja pitää saada jäsennetään. Se voi kestää muutaman sekunnin tai pari minuuttia. Joko niin, se antaa sinulle mahdollisuuden tutustua raportin muodossa.

Asentaminen OSSEC

Kuten mainitsin viime post, sinulla on kaksi asennusvaihtoehtoja kanssa OSSEC, paikallisten tai client / server. Tässä post aion keskittyä client / server setup, koska se on vähän monimutkaisempi. Jos olet suorittamassa paikallisen asentaa, valitse vain "paikallinen" vaihtoehto aikana asennuksesta ja ohittaa osio perustaa suojatun kanavan välillä agentti ja palvelin.

Aloita Server

OSSEC käyttää Blowfish salausta turvallisen viestinnän asiakkaan ja palvelimen. Blowfish on symmetrinen avain pohjainen, joten molempien osapuolten on tiedettävä, mitä avain arvo, jota käytetään, jotta kommunikoida. Palvelin vastaa tuottaa symmetrinen avain, joten meidän on asennettava palvelinohjelmisto ensin. Aikana asiakas asentaa me kysytään keskeinen arvo niin ilmeisesti meidän pitää olla, että kätevä etuajassa.

Tässä aikaa säästävä kärki. Tärkein arvo on pitkä ja lähes mahdoton muistaa. Helpoin tapa siirtää keskeinen arvo palvelimelta järjestelmän agentti järjestelmää on käyttää SSH. Luo turvallinen yhteys OSSEC palvelimelle, ja ote sopiva avain (Ajo alla). Toisessa pääteikkunaa luoda ssh-istunto järjestelmä, jossa sinua asennuksen agentti. Kun asiakas asentaa kysyy keskeinen arvo, voit yksinkertaisesti kopioi / liitä välillä kaksi terminaalia.

Asentaminen OSSEC Server

Palvelinohjelmisto on saatavilla Terva pallo, joten voit napata kopio uusin versio OSSEC lataussivulta . Tällöin sinun täytyy purkaa sisällön Tar pallo:

terva xvzf ossec-HIDS-2.3.tar.gz

Seuraavaksi siirrymme hakemiston rakenne juuri luomaasi:

cd ossec-HIDS-2.3

OSSEC tarjoaa asentaa script opastaa prosessin asentamista palvelimelle. Aloita käsikirjoitus, tyyppi:

. / Install.sh

Älä unohda kauden alussa komennon. Olet nyt kysytään monin asennusvaihtoehdot

• Kieli - Oletuksena on Englanti. Vaihda tarvittaessa.
• Vahvistus asennus - Paina Enter kun olet lukenut näytöllä.
• Asennustapa - Kirjoita "palvelin" ilman lainausmerkkejä ja paina Enter.
• Asennuspaikka - Hyväksy oletusnimi.
• Sähköposti-ilmoitus - Oletus on kyllä, valitse Jos haluat ilmoituksia sähköpostitse. Jos valitset Kyllä, sinulta kysytään kelvollinen sähköpostiosoite ja sähköpostipalvelin.
• Integrity Check - Oletus on kyllä. Valitse, haluatko paikallisen järjestelmän säännöllisesti tarkastetaan tunkeutumista.
• Root kit tunnistus - Oletus on kyllä. Hyvä vaihtoehto, sillä meidän täytyy ylläpitää korkeaa eheys tässä järjestelmässä.
• Active Response - Oletus on kyllä. Valitse tämä vaihtoehto, jos haluat pystyä reagoimaan tapahtumiin.
• Palomuuri pudota - Luvat OSSEC palvelin puolustamaan sitä itse, jos suora hyökkäys todetaan.
• Valkoinen lista - Tämän ansiosta voit lisätä IP-osoitteet, joista mahdolliset hyökkäykset ohitetaan. Ole varovainen tämän vaihtoehdon. Jos et ole Konsolin käytön OSSEC palvelimelle, saattaisi olla järkevää tunnistaa yhden IP-osoitteen, joka voi aina päästä sisään vain varmistaa lähde IP on luotettava järjestelmä.
• Ota Syslog - Oletus on kyllä. Valitse tämä vaihtoehto, jos haluat kerätä lokeja järjestelmä ei pysty ajamaan OSSEC agentin (kuten palomuurit, kytkimet, reitittimet, tukiasemat, jne.).
• Lokitiedostoja seurata - Tämä näyttö tunnistaa kaikki paikalliset lokitiedostot OSSEC seuraa. Se on puhtaasti tietoa, joten kaikki mitä voi tehdä on painaa Enter siirtää sen ohi. Jos huomaat yhden tai useamman lokitiedostot ole luettelossa, voit lisätä ne myöhemmin ossec.conf tiedostoon.

Tässä vaiheessa OSSEC pääsevät paikallisen kääntäjä ja asentaa kaikki tarvittavat tiedostot siirretään järjestelmään. Kun olet valmis, voit aloittaa OSSEC palvelimen suorittamalla komento:

/ Var / ossec / bin / ossec-ohjaus alkaa

Määrittely OSSEC Agents

Emme ole tehneet OSSEC palvelimen ihan vielä. Seuraavaksi meidän on ennalta määritellä mitään järjestelmiä, jotka ovat käynnissä OSSEC agentti (client) ohjelmisto. Tämä tehdään käyttäen manage_agents komentoa. Ensin meidän on kuitenkin tehdä hieman kotitehtäviä. Tee luettelo kaikista järjestelmien on käynnissä OSSEC Agent-ohjelma. Kunkin järjestelmän, tarvitset kuvaava nimi sekä tämän järjestelmän IP-osoite.

Nyt, suorita seuraava komentoriviltä:

/ Var / ossec / bin / manage_agents

Tämä tuottaa Agent Manager päävalikosta. Paina "" ja sen jälkeen Enter-näppäintä määritellä ensimmäinen järjestelmä. Anna kuvaava nimi ensimmäinen järjestelmä, jota seuraa järjestelmän IP-osoite. Älä ole huolissasi agentti tunnus. Yksinkertaisesti hyväksy oletusnimi ja OSSEC tulee automaattisesti määrittää seuraavan käytettävissä tunnus. Kun vahvistat syöttämäsi tiedot, sinut palautetaan Agent Manager päävalikosta. Toista edellä kuvattu prosessi kunkin järjestelmän, joka on käynnissä OSSEC agentti.

Generating Keys

Kun olet lisännyt kaikki teidän järjestelmissä, on aika tuottaa salausavaimia. Tämä vaihe on myös esiintynyt manage_agents apuohjelma. Jos suljetun työkalun jälkeen viimeinen vaihe, uudelleen se nyt.

Paina "E"-näppäintä ja sen jälkeen Enter Valitse "Poimi avain agentti"-valikko. Voit sitten kysytään ID-numero avain haluat poimia. Kuvaavia nimiä ja IP-osoitteet on lueteltu jokaisen tunnus, niin se olisi triviaalia tunnistaa, mitä haluat. Aloita järjestelmän aiot asentaa agentin ohjelmiston päälle ensin.

OSSEC Agent asentaa Linux

Asennettaessa agentin ohjelmiston Linux-tai UNIX asiakas, käytät täsmälleen sama Tar pallo käytimme asennettava palvelinohjelmisto. Suorita sama asentaa skripti, mutta tällä kertaa, kun sinulta kysytään tyyppi asentaa haluat suorittaa, kirjoita "agentti" jälkeen Enter-näppäintä.

Asiakas asentaa on monia samoja ohjeita kuin palvelimen asennus. Käytä info edellä opastaa sinut prosessin läpi. Kehotetta vaihtelevat kuitenkin on, että sinua pyydetään antamaan IP-osoite OSSEC palvelin. Kun olet valmis, OSSEC pääsevät paikallisen kääntäjä ja asentaa kaikki tarvittavat tiedostot siirretään järjestelmään.

Seuraavaksi meidän täytyy tuoda Blowfish avain OSSEC palvelimelle. Vaikka edelleen agentti järjestelmään, suorita komento:

/ Var / ossec / bin / manage_agents

Kun Agent Manager valikko avautuu, valitse "I" tuoda Blowfish avain.

Kun seuraava kehote tulee näkyviin, sinun täytyy manuaalisesti sopiva Blowfish avain. Jälleen, jos käytät SSH sekä järjestelmiin samanaikaisesti, voit yksinkertaisesti kopioi / liitä välillä kaksi terminaalia. Varmista avain näyttää oikein, paina Enter-näppäintä ja valitse "y" vahvistaa, että avain näyttävät oikeilta. Sinut palautetaan Agent Manager-valikkoa. Valitse "q", jotta palaa komentoriville.

Nyt täytyy vain aloittaa OSSEC agentti. Voit tehdä sen suorittamalla seuraava komento:

/ Var / ossec / bin / ossec-ohjaus alkaa

Sinun pitäisi nähdä kaikki OSSEC agentin komponentit alkavat, jota seuraa "Completed" viesti.

OSSEC Agent asentaa Windows

OSSEC on itsesuorittuva suoritettava joka sallii sinun asentaa agentin ohjelmiston Windows-järjestelmässä. Yksinkertaisesti kaksoisnapsauttamalla suoritettavaa aloittaa asennuksesta. Sinua pyydetään hyväksymään lisenssin sekä mitkä komponentit, jotka haluat asentaa. Seuraa vain ohjeita asti OSSEC Agent Manager-ikkuna avautuu.

OSSEC Agent Manager-ikkuna kysyy sinulta IP-osoite OSSEC palvelimelle. Se myös kysyy Blowfish keskeinen arvo käyttämään, niin ote sopiva avain palvelimelle ja anna arvo tällä alalla. Varmista, että poistat nopeasti tämän kentän ennen liitä Blowfish-näppäintä. Muuten tietoliikenne palvelimen kanssa voi epäonnistua.

Seuraavaksi valitse "Hallitse" From OSSEC Agent Manager-valikkoa ja sen jälkeen "Start OSSEC". Sinun pitäisi nyt nähdä "Tila:" ilmaisin muuttuu "Running ...".

Testaus OSSEC

Kun olet palvelin ja agentti asennettuna, alkoi ja sopiva avaimet määritetty, nyt on aika tarkistaa meidän setup. Suorita seuraava komento OSSEC palvelimessa:

cd / var / ossec / lokit

Ja tutustu ossec.log tiedosto:

vähemmän ossec.log

Tarkista lokitiedosto mahdollisista virheistä. Yleinen virhe on, että OSSEC raportteja se ei voi lähettää sähköpostia. Varmista postipalvelin on käynnissä ja että se on vastaanottamasta yhteyksiä. Kun olet tyytyväinen palvelimen asennuksen, nyt on aika tarkistaa tekijöille. Siirrä alas "hälytyksiä" hakemistoon:

cd hälytykset

Ja tutustu alerts.log tiedosto:

vähemmän alerts.log

Erityisesti etsit merkintöjä seuraavan kaltainen:

2010 17 helmikuu 16:09:16 (desktop) 192.168.1.10-> ossec

Sääntö: 501 (taso 3) -> 'Uusi ossec agentti kytketty. "

Src IP: (ei mitään)

Käyttäjä: (ei mitään)

ossec: Agent alkoi: "test_system-> 192.168.1.10".

Sinun pitäisi nähdä merkinnän jokaiseen järjestelmään, johon asensit Agent-ohjelma.

Lisää on tulossa

Vau! Se on enemmän kuin tarpeeksi yhdelle artikkeli! Minun Seuraava viesti Saan osaksi hyödyntämällä Logwatch jäsentää kaikki ilmoituksilla on tuottaman OSSEC.

Minun viimeinen viesti Olen esitellyt Logwatch voitaisiin käyttää yksinkertaistaa log arviointiprosessissa. Tässä postitse me tarkastelemme OSSEC ja mitä se tuo pöytään.

Mikä on OSSEC?

OSSEC , lyhenne sanoista "Open Source Security", on isäntä perustuu Intrusion Detection System (HIDS). Toisin sanoen, se on suunniteltu havaitsemaan hyökkäyksiä tai sääntörikkomusten jos ja kun niitä ilmenee. Vaikka sillä ei ole kykyä estääkseen tuntemattomia tai 0-Day hyökkäykset (se olisi isäntä tietomurtojen ehkäisyyn), se sisältää laajan valikoiman työkaluja, jotka auttavat tunnistamaan tunkeutumisen, kun se tapahtuu, sekä missä määrin vahingosta, joka on aiheuttanut.

Tuetut alustat

Voit hyödyntää kaikki ominaisuudet OSSEC on tarjota, sinun täytyy ajaa agentin järjestelmässä suojattu. OSSEC aineet voivat ajaa Windows-, Mac OS X, Linux, ja laaja UNIX-järjestelmissä. Jos olet vain kiinnostunut lokitiedostoanalyyseistä osa kuitenkin yhä useampia järjestelmiä voidaan tukea. Tämä sisältää laitteet sekä Cisco ja Juniper. Joitakin erityisiä tuotteita ovat myös tuettuja, kuten Checkpoint palomuurien, Symantec Anti-Virus, Snort, Squid, ja Arpwatch, vain muutamia mainitakseni.

Kun asennat OSSEC sinulla on kaksi asetuksia, paikallisen tai client / server. Paikallinen asentaa käytetään, kun haluat suorittaa kaiken yhteen järjestelmään. Client / server asennuksen avulla voit käyttää hajautetussa ympäristössä suojata useita järjestelmiä samanaikaisesti. Vaikka useimmat käyttöönotot ovat client / server perustuu, jos haluat antaa OSSEC spin voit helposti käyttää kaiken yhden testin, joka käyttää paikallista asentaa.

Log Analysis

OSSEC sisältää Log-pohjainen Intrusion Detection System (kannet). Tämä on kyky tarkastella lokitiedostoa lähes reaaliajassa, kun taas tarkastelua niitä tunnetaan hyökkäyskuviot. Kun loki on luotu on suojattu järjestelmä, agentti hoitaa turvallisesti välittää log (Blowfish-salaus ennalta jaettua salaista) takaisin palvelimelle. Palvelin huolehtii analyysilaboratorioiden.

Useimmat log analyysityökalut prosessi säännöksensä lineaarinen muodossa. Tarkoitan tällä sitä, jos meillä on 500 sääntöjä, sääntö yksi on valittu, niin yleensä kaksi, sitten sääntö kolme ja niin edelleen kunnes ottelu on löydetty tai pääsemme loppuun sääntöä. OSSEC toimii vähän eri tavalla kuin se toteuttaa hieratical rakenne sääntöjä. Lokitietoihin ensin luokitellaan ja tarkastetaan vain vastaan ​​kumpi säännöt ovat asianmukaisia. Tuloksena on, että sen sijaan tarvitse käsitellä kaikkia 500 sääntöjä, useimmat tapahtumat saavat verrataan 10 sääntöä tai vähemmän. Tämä dramaattisesti vähentää yleiskustannusten käsittelyssä tarvittavat sääntöä.

Integrity tarkistaminen

OSSEC sisältää työkalun nimeltään Syscheck suorittamaan tiedostojen ja hakemistojen eheyden tarkistamiseen. Jos käytät Windows agentti, voit myös erityisiä avaimet sisällä Windowsin rekisterin seurattava samoin. Tiedoston muutokset voidaan havaita sekä MD-5 ja SHA-1 algoritmeja. Järjestelmä on erittäin muokattavissa. Voit lisätä tai jättää pois yksittäisiä tiedostoja tai koko hakemistosta rakenteita. Voit jopa asettaa lippu tunnistaa uudet tiedostojen luominen.

Agent-ohjelma on suunniteltu käyttämään mahdollisimman vähän CPU aikana eheystarkistus. Vaikka tämä merkitsee Tarkista kestää kauemmin, se myös auttaa minimoimaan suorituskyky osuma järjestelmään. Hash tiedot lähetetään takaisin palvelimeen. Palvelin huolehtii Esittävän hash verrattuna nähdä, jos jokin järjestelmän kriittiset tiedostot on muuttunut. Palvelin myös tallentaa kopion eheystarkistus politiikkaa, niin että jos politiikan muutokset tehdään agentti, ne voidaan havaita ja raportoidaan samoin.

Poikkeamien ilmaisuun

OSSEC paljon muutakin kuin lokin tarkistus tarkistaa järjestelmän eheys. Käyttö politiikkaa voidaan hallita keskitetysti palvelimelle, ja sitten ulos sopivaan tekijöille. Esimerkiksi voit määrittää koskeva politiikka, joka Windows-sovelluksia voidaan käyttää (Office, Firefox, tms.) ja mitkä eivät (pikaviestiohjelma, Skype, jne.). Voit jopa määritellä hyväksyttävä asetuksia, kuten todentaa että NT hash käytetään salasanaa säilytetään mutta ei LanMan hajautustauluilta.

OSSEC sisältää useita muita herkkuja auttaakseen tarkistaa järjestelmän eheyden. Esimerkiksi OSSEC on kyky suorittaa komentoja agentista ja monitori ulostulo että saa syntyy. Esimerkiksi voit olla Linux agentti suorittaa "DF" komento säännöllisin väliajoin ja tuottaa hälytyksen, jos levyn käyttö ylittää 90%. Windows esimerkki voidaan saada OSSEC tuottaa hälytyksen kun kuvan tiedot kirjoitetaan varajäsen tietovirrat alue NTFS.

Active Response

Lopuksi OSSEC kuuluu kyky reagoida kun epäilyttävää toimintaa havaitaan. Vastaukset voidaan luoda palvelimelle tai agentti, joka koskaan voit määrittää. Vastaukset voi olla hyvänlaatuinen tuottavan sähköposti-ilmoituksen, olemaan niin aktiivinen kuin estää kauko IP-osoite rajallinen määrä aikaa. On olemassa useita mukana aktiivisia toimia skriptejä Voit piirtää, tai voit helposti kirjoittaa oman.

Secure Arkkitehtuuri

OSSEC kirjoittajat ovat menneet hyvin pitkälle varmistaa kaikki komponentit tuote. Tehtäviä, kuten rehellisyys tarkistus suoritetaan palvelimella, eikä agentti, joten luotettavuutta hash ei voi vaarantaa aikana hyökkäys. Prosessit ajetaan alhaisinta käyttöoikeuksia mahdollista, ja eri tilejä käytetään juosta jokaisen OSSEC komponentti. Tämä tarkoittaa, että kompromissi on ainoa hakemus sisällä OSSEC ei heti johda kompromissia koko paketin. Lisäksi useimmat suoritettavat osat sisällä chrooted vankilaan niin niiden pääsyä järjestelmään on vielä enemmän rajoituksia.

Loppusanat

Vaikka OSSEC on tehokas työkalu, on tärkeää muistaa, että se on HIDS eikä log hallintaratkaisun. OSSEC voi tarkistaa lokitiedot etsien epäilyttäviä kuvioita, mutta se vain pelastaa ilmoituksilla. Joten vaikka OSSEC ei korvaa Security Information Management (SIM) ratkaisu, se voi varmasti lisätä sitä. Voit määrittää helposti OSSEC sen eteenpäin kaikki hälytykset se tuottaa on keskeinen kirjautumalla palvelimelle .

Vaikka OSSEC on avoimen lähdekoodin ohjelmisto, Trend Micro on ensisijaisesti kehittää sitä. Jos tarvitset kaupallisen tuen, voit ostaa tukisopimusta läpi niitä kohtuullinen maksu.

Lisää on tulossa

Minun seuraavan erän tutustumme asentamista OSSEC ja Logwatch. Sen jälkeen me siirrymme yhdistämällä kaksi yhdessä.

Olen viime aikoina ollut opiskelija kysy minulta kysyttävää integrointi Logwatch kanssa OSSEC. Tunsin tämä oli monimutkainen ja vielä tarpeeksi viileä idea, jota asia edellytti useita virkoja peitellä sitä kokonaan. Joten tulevina päivinä minä puhua kaikkien näiden työkalujen, kuinka yhdistää ne yhteen, samoin kuin mitä lisäturvaa näkyvyyden voidaan saada, kun prosessi on valmis.

Mikä on Logwatch?

Logwatch on erinomainen avoimen lähdekoodin työkalu tuottaa päivittäin luettava log raportit. Lokitiedot yleensä jakaa kolmeen luokkaan:

• Stuff tiedät on paha
• Stuff tiedät on normaalia ja voi turvallisesti jättää
• Kaikki muu

On, että "kaikki muu" luokka, jossa Logwatch todella loistaa. Sillä tavaraa tiedämme on paha, me setup jonkinlaista varoitusjärjestelmään. Esimerkiksi voimme kirjoittaa varoittaa allekirjoitus, joka varoittaa turvallisuus analyytikko, kun tilisi on raa'alla pakko. Mutta entä hyökkäyksiä emme tiedä tai ole varma, mitä ne näyttävät? Tämä olisi selkeä esimerkki, että "kaikki muu" luokka. Liikenne ei ole normaalia, mutta emme ole nähneet sitä ennen saada allekirjoitusta odottamassa tuottaa hälytyksen. Koska emme voi ottaa kiinni hyökkäystä reaaliajassa, meidän on kiinni sen aikana päivittäin kirjaa uudelleen.

Tietenkin ongelma tekee päivittäin kirjaa katsauksissa on, että se on työläs ja aikaa vievä. Siis olkaamme rehellisiä, kuka todella haluaa viettää päivänsä tarkistamalla miljoona plus lokitiedot? Vaikka et, oletko varma todella kiinni tavallisesta liikennettä?

How It Works

What Logwatch does very well is permit you to reorganize your data into a format that is easier for humans to follow. Its real strength is that it permits you to move the stuff you understand out of the way (normal or evil), so that the unexpected log entries stand out like a sore thumb. In other words, Logwatch lets you summarize your log entries so the unusual stuff is easier to spot.

What I really love about Logwatch is that you don't lose anything. Many log review tools will only show you the stuff that has been pre-defined as being evil. The problem they all share is that when something evil but unexpected happens, it flies right under the wire. Because Logwatch lets you see everything, you no longer miss the unexpected.

Logwatch In Action

Lets discuss how Logwatch works using the SSH server service as an example. The scripts to deal with SSH have already been defined within Logwatch, so you do not need to do any tweaking to receive the features we are going to discuss.

When reviewing a log file, the first thing Logwatch does is reorganize log entries based on their message types. For example all Successful SSH logons are grouped together, as well as too many logon failures, refused connections, locked accounts, accounts without a proper shell, protocol mis-matches, etc. etc. etc. Once all the SSH messages are grouped by their type, the data is then summarized to reduce the amount of information being reported.

For example, the default is to summarize failed logon attempts by account and source IP. So a typical failed logon report section might look like this:

Failed logins from these:

bsmith/password from 1.2.3.4: 637 time(s)

jsmith/password from 1.2.3.5: 2 time(s)

So rather than having to review 639 log entries reporting a bad logon attempt, we have all the pertinent information summarized into three lines (if you include the title). Continue this process for all of the other SSH messages, and we have dramatically reduced the amount of time required to review our logs.

But what if something happens that Logwatch is not pre-programmed to recognize? When an unexpected log entry is found, Logwatch adds a section to the end of the service report called “Unmatched Entries”. So if we see this title in the SSH server section, we know some event has occurred that is either abnormal or unexpected for the SSH service. This could very well be some form of attack that we are not aware is making the rounds.

By focusing in on the unmatched entries section, we can quickly identify unexpected activity. As I stated earlier, this is really the main goal of doing daily log reviews. To find the stuff we don't expect which will sneak past our alerting system. Logwatch makes this process as quick and as painless as possible.

Feature Summary

In the above example I talked about doing daily log reviews, but to be honest Logwatch is highly customizable. You can specify any range you wish to use down to an interval of one second. For example let's say I'm investigating an intrusion rather than performing a daily log review. I could specify a range such as “2010/02/14 17:05:00 for that hour” to focus right in on the information that interest me. I can also focus in on one specific log file or service.

The detail level of the report is also customizable. Typically when you deal with security you get in the habit of always wanting the highest detail level of reporting. To be honest, with Logwatch a high level of detail is probably more than you will ever need. Personally I typically stick with “med” for medium and that works out nicely. You can also specify the reporting level as “low” or “high” or use a numeric range of 0-10 for a higher level of granularity (low =0, med=5, high=10).

Logwatch can be run automatically or as a manual process. Typically you will want to set it up to run automatically each day and summarize one day's worth of log entries. If you ever need to expand or focus the report, you can always run Logwatch from the command line while specifying exactly what you want to see. You can then use the “–save” option to specify a report name and directory location for storage.

More To Come

The above should give you a good idea as to the features Logwatch can bring to the table. In the next post I'll discuss OSSEC in the same level of detail. After that, I'll get into how to install each tool as well as how to integrate them together.