Dans mon dernier post, nous avons installé Logwatch ainsi que OSSEC. Il est maintenant temps de se Logwatch et OSSEC jouer ensemble dans le même sandbox. Dans ce post, je vais discuter de la façon d'obtenir Logwatch pour résumer l'information générée par OSSEC.

Options de déploiement

Nous avons deux chemins que l'on peut suivre pour le mettre en place:

1. Avez-Logwatch analyser les logs OSSEC directement.
2. Avez-OSSEC envoyer ses alertes à un serveur de type Syslog, puis exécutez Logwatch sur le serveur Syslog.

L'avantage pour l'option # 1, c'est que nous avons seulement besoin d'un système. Logwatch sera exécuté sur le système hébergeant le serveur OSSEC. Le problème que nous allons courir en implique cependant la OSSEC fichier d'alerte. Les entrées du journal ne sont pas normalisées. Cela signifie que le format peut varier d'entrée à l'entrée, et peut même répartis sur plusieurs lignes. Il va être un véritable cauchemar pour créer un script Logwatch qui filtre et résumer les informations d'alerte.

Si nous optons pour l'option # 2, nous aurons besoin une autre boîte pour agir comme serveur de journalisation centralisée. Afin d'avoir le serveur OSSEC accepter des entrées de journal à partir de systèmes non-agent, il doit écouter sur UDP/514. C'est le même port utilisé par un serveur centralisé l'exploitation forestière, et vous ne pouvez pas avoir deux applications partagent le même port (sauf avec Windows, mais l'accès est extrêmement salissant socket). Sur le plan positif, les entrées d'alerte obtiendrez normalisée quand ils sont transmis au serveur Syslog afin de créer un script sommaire Logwatch sera beaucoup plus facile. En outre, Logwatch sait déjà sur les fichiers Syslog, alors nous aurons moins de travail de personnalisation à faire.

Enfin, je l'ai mentionné dans un précédent post que OSSEC n'est pas conçu pour être une carte SIM. C'est parce qu'il n'a pas tout ce dossier, seulement les événements qui génèrent une alerte. Donc, nous allons probablement vouloir un serveur centralisé de toute façon, et il est logique d'avoir le stocker les informations générées par OSSEC.

Donc, si ça sonne comme je vous orienter vers l'option # 2, vous avez absolument raison. Cela dit, je suis passe réellement à couvrir l'option # 1 car il s'agit d'une configuration beaucoup plus complexe.

Traiter avec horodatages

Jetez un oeil sur le fichier journal principal OSSEC et vous devriez voir semblable au suivant:

[root @ fubar journaux] # tail -3 / var / OSSEC / logs / ossec.log

2010/02/18 12:32:05 OSSEC-rootcheck: INFO: fin rootcheck scan.

2010/02/18 14:27:06 OSSEC-syscheckd: INFO: A partir syscheck scan.

2010/02/18 14:39:21 OSSEC-syscheckd: INFO: fin syscheck scan.

Notez la façon dont la date / heure est formaté. Ceci est différent de la plupart des applications, la première chose que nous devrons faire est de dire Logwatch la façon de traiter avec ce format. Nous aurons besoin de créer un script que nous pouvons appeler en cas de besoin qui comprend le format indiqué ci-dessus.

Commencez par passer dans le répertoire partagé scripts:

cd / usr / share / logwatch / scripts / partagé

En utilisant votre éditeur favori, créez un fichier nommé "applylongdate":

vi applylongdate

Voici ce dont vous avez besoin à l'intérieur de ce fichier. N'hésitez pas à copier / coller à partir de cette page:

utilisation Logwatch: dates;

my $ Debug = $ ENV ('LOGWATCH_DEBUG') | | 0;

H = $ SearchDate TimeFilter ('% Y% m / /% d%:% M:% S');

if ($ Debug> 5) (

print STDERR "DEBUG: N à l'intérieur ApplyLongDate ... \";

print STDERR "DEBUG: Looking For". SearchDate $. "\ N";

)

while (defined ($ = thisline <STDIN>)) (

if ($ thisline = ~ m / $ ^ SearchDate / o) (

Imprimer thisline $ = ~ s / ^ .... \ / .. \ / .. ..:..:.. / /;

Imprimer thisline $;

)

)

# Vi: shiftwidth = 3 syntaxe tabstop = perl = 3 et

Une fois que vous enregistrez le fichier, il nous faut maintenant configurer les permissions:

chmod 755 applylongdate

Configurer le journal des fichiers

Ensuite, nous devons dire à Logwatch où les fichiers journaux sont situés OSSEC. Chaque fois que vous ajoutez de nouveaux fichiers journaux ou de créer de nouveaux services à suivre dans Logwatch, vous devez placer vos modifications sous le répertoire / etc logwatch /. Nous allons créer deux fichiers de configuration. La première sera de gérer les messages OSSEC, et le second gérer les alertes et les changements OSSEC réponse active.

Commençons par créer le fichier de configuration pour le journal principal OSSEC fichier:

cd / etc / logwatch / conf / fichiers de log

vi ossec.conf

Le contenu du fichier doit être la plus suivie:

LogFile = / var / OSSEC / logs / ossec.log

* = ApplyLongDate

Vous pouvez maintenant sauvegarder et quitter le fichier. Ensuite, nous allons créer le fichier de configuration pour les fichiers journaux restants:

vi OSSEC-alert.conf

Le contenu de ce fichier doit être la plus suivie:

LogFile = / var / OSSEC / logs / actif responses.log

LogFile = / var / OSSEC / logs / alertes / alerts.log

LogFile = / var / OSSEC / logs / firewall / firewall.log

Une fois terminé, sauvegarder et quitter. Les autorisations par défaut devrait être acceptable pour notre installation.

Configurer les services OSSEC

Ensuite, nous avons besoin de définir les services OSSEC et d'identifier ce que nous voulons utiliser comme un titre lorsque les rapports sont générés. Voici comment créer le premier fichier:

cd / etc / logwatch / conf / services

vi ossec.conf

Le contenu de ce fichier est assez simple:

Titre = "Messages OSSEC"

LogFile = OSSEC

Une fois terminée, vous pouvez sauvegarder et quitter. Nous avons besoin de créer un autre fichier dans ce répertoire:

vi OSSEC-alert.conf

Le contenu de ce fichier doit être:

Titre = "OSSEC Alertes"

LogFile = OSSEC d'alerte

Une fois terminé, sauvegarder et quitter, comme d'habitude.

Analyse Les entrées

Ensuite, nous devons dire à Logwatch comment mettre en forme les entrées du journal dans le rapport. Nous aurons besoin de créer un script de personnalisation pour chaque ensemble de services. Nous allons commencer par l'aide d'un script de test fournis Logwatch; juste pour s'assurer que tout fonctionne.

Commencez par passer dans le répertoire approprié:

cd / etc / logwatch / scripts / services

Utilisez votre éditeur préféré pour créer votre premier script:

vi OSSEC

Le contenu du script devrait être aussi suivies:

#! / Bin / bash

# Ce script est aussi agréable qui va vous montrer les lignes que vous

# Être le traitement et les rapports sur. Il sera d'abord afficher les

# Les variables d'environnement standard et puis il faut STDIN et

# Dump-il juste de retour vers STDOUT.

# Ce sont les variables d'environnement standard. Vous pouvez définir

# Plus dans votre fichier de configuration du service (voir ci-dessus).

echo "Date Range: LOGWATCH_DATE_RANGE $"

echo "Niveau de détail: $ LOGWATCH_DETAIL_LEVEL"

echo "Temp dir: $ LOGWATCH_TEMP_DIR"

echo "Debug Level: $ LOGWATCH_DEBUG"

# Maintenant, prenez STDIN et STDOUT vidage

chat

Maintenant, créez votre second script:

vi OSSEC d'alerte

et notamment le contenu exact même:

#! / Bin / bash

# Ce script est aussi agréable qui va vous montrer les lignes que vous

# Être le traitement et les rapports sur. Il sera d'abord afficher les

# Les variables d'environnement standard et puis il faut STDIN et

# Dump-il juste de retour vers STDOUT.

# Ce sont les variables d'environnement standard. Vous pouvez définir

# Plus dans votre fichier de configuration du service (voir ci-dessus).

echo "Date Range: LOGWATCH_DATE_RANGE $"

echo "Niveau de détail: $ LOGWATCH_DETAIL_LEVEL"

echo "Temp dir: $ LOGWATCH_TEMP_DIR"

echo "Debug Level: $ LOGWATCH_DEBUG"

# Maintenant, prenez STDIN et STDOUT vidage

chat

Enfin, nous devons définir les autorisations appropriées:

chmod 755 OSSEC *

Tester la configuration

La meilleure façon de tester notre nouvelle installation consiste à exécuter la commande:

| Logwatch moins

Si vous voulez seulement voir vos modifications, vous pouvez exécuter un rapport sur chaque service, un à la fois:

OSSEC logwatch-service | less

| Logwatch service OSSEC d'alerte moins

Une personnalisation plus poussée

Une fois que vous obtenez tous les travail-dessus, vous pouvez vous concentrer sur l'obtention Logwatch de filtrer et de résumer les entrées du journal. Logwatch est assez flexible, et vous pouvez personnaliser la sortie comme vous le souhaitez. Une des belles choses sur le script de test ci-dessus ci-dessus, c'est qu'il vous montre exactement ce que vous avez à travailler avec. Ainsi, avec une expression régulière magie peu vous pouvez résumer les entrées que vous jugerez appropriées. Pour quelques idées, consultez les fichiers qui se trouvent sous:

/ Usr / share / logwatch / scripts / services

Ce sont les scripts de synthèse par défaut fourni avec Logwatch. Plus précisément, ont un regard sur les fichiers «pam» et «sshd». Ils sont d'excellents exemples de la fois simple et un ensemble complexe de filtres de synthèse.

Comme vous développer vos scripts, une attention particulière à l'$ LOGWATCH_DETAIL_LEVEL variable ". Cela vous permettra de personnaliser le niveau de sortie du rapport en fonction de la quantité de verbosité de l'utilisateur est à la recherche. Par exemple, si vous êtes encore dans le répertoire ci-dessus services, exécutez la commande suivante:

moins sshd

Lorsque la première page de contenu du fichier est affiché, tapez:

/ Key> <Enter Détails

La barre oblique inverse nous permet de rechercher le fichier pour une chaîne de texte particulier. Dans ce cas, nous sommes à la recherche pour le mot «détail». Une fois que vous appuyez sur Entrée à la recherche va sauter dans le fichier jusqu'à ce qu'il trouve la première instance de la chaîne de texte. Il mettra également en évidence la chaîne de recherche. Dans le premier match, vous remarquerez que l'auteur attribué à la variable "$ Détails» pour être le même que la variable $ LOGWATCH_DETAIL_LEVEL ". Il s'agit de sauver les quelques frappes.

Maintenant, appuyez sur la touche barre oblique inverse a été suivie par la touche Entrée. Cela sauter à travers le dossier à l'instance suivante de «détail». Vous devriez voir:

if ($> Détails = 20) (

$ ($ Utilisateur Utilisateur) ($ host)) ($ Méthode + +;

) Else (

if ($ host! ~ / $ IgnoreHost /) (

$ ($ Utilisateur Utilisateur) ($ host) ("(tous les )"}++;

Note de l'auteur fournit de plus amples informations, si le niveau de détail est fixé à 20 (mi-chemin entre basse et moyenne) ou plus. Gardez le saut dans le fichier et vous verrez d'autres exemples où l'auteur à effet de levier de cette technique.

Maintenant, la page jusqu'à la fin du fichier et vous devriez voir cette déclaration:

if (keys% autreliste) (

print "\ n ** Entrées inégalée ** \ n";

print "$ _: $ autreliste ($ _) heure (s) \ n" foreach touches% autreliste;

)

Cette section est très importante, car elle est un fourre-tout final. Pensez à une politique de pare-feu pour un moment. La plupart d'entre nous de créer une règle finale qui dit: «Si je n'avais pas expressément permis un modèle de trafic par le biais, le nier". En d'autres termes, si quelque chose d'inattendu se produit, c'est ainsi que je veux que vous pour y faire face.

La déclaration ci-dessus a le même objectif lors de l'analyse du fichier journal. Tous les précédents "if" tenter de faire correspondre une chaîne de texte spécifique dans l'entrée du journal pour mettre en forme correctement. Cet article dit: «Si vous n'avez pas appariées et une entrée de journal imprimé spécifique encore, de l'imprimer dans une section intitulée« Entrées ** ** inégalée ". Cette étape est extrêmement important parce que sans elle nous ne verrons jamais entrées inattendues. Il est des entrées inattendues qui sont probablement les plus importants et les plus intéressants.

Résumé Exec

Les deux OSSEC et Logwatch sont d'excellents outils complémentaires. OSSEC excelle à vous avertir si un motif d'attaque connus a lieu. Logwatch est un outil formidable pour résumer une bonne partie du temps des journaux pour que les personnages peuvent effectivement donner un sens à ce qui se passe. En combinant les deux outils que vous pouvez créer une défense beaucoup plus robustes posture en profondeur. L'ensemble devient supérieure à la somme des parties.

Dans mes deux derniers postes, j'ai discuté Logwatch et OSSEC, ainsi que la façon dont ils peuvent être un levier pour augmenter votre sécurité. Dans cette tranche, je vais discuter de la façon d'installer ces deux outils.

Installation Logwatch

Logwatch est assez facile à installer. En fait, il est installé par défaut sur de nombreuses distributions Linux si vous avez déjà une copie sur votre système. Pour vérifier, ouvrez une session en tant que root et essayez d'exécuter Logwatch avec le "-v". Si vous voyez:

[root @] logwatch fubar logwatch #-v

Logwatch 7.3.6 (sortie 05/19/07)

Logwatch est installé et vous avez une copie de la dernière version. Si vous n'avez pas la dernière version, vous pouvez le saisir de la page de téléchargement Logwatch .

Il ya trois saveurs de Logwatch qui peut être téléchargé; binaires au format RPM, source au format RPM, ou de la source dans une boule de goudron. Si votre système prend en charge la gestion de paquets RPM, le RPM binaire est votre meilleur choix. Il est simple à installer et RPM mettra automatiquement à jour le logiciel quand de nouvelles versions sont disponibles.

Logwatch l'installation des RPM

Pour installer la version binaire du RPM, il suffit d'ouverture de session en tant que root et allez dans le répertoire où vous avez téléchargé le fichier RPM. Maintenant, exécutez la commande:

logwatch rpm-U-7.3.6-1.noarch.rpm

N'oubliez pas que vous pouvez utiliser la touche de tabulation pour compléter automatiquement le nom de fichier plutôt que d'avoir à taper dans le tout.

Installation à partir Logwatch Source

Installation de la source est la consommation d'un peu plus de temps. N'oubliez pas que pour installer le code source, vous devez déjà avoir un compilateur (comme gcc) installé sur votre système. Logon en tant que root et allez dans le répertoire où vous avez téléchargé l'archive tar. Pour extraire l'archive, lancez la commande:

xvzf logwatch tar-7.3.6.tar.gz

Vous verrez une structure de répertoire ci-dessous votre position actuelle sont créées et beaucoup de fichiers copiés en jeu. Nous devons maintenant passer à la répertoire racine qui a été créé:

cd logwatch-7.3.6

Pour Logwatch à courir, il ya un tas de répertoires qui doivent être créés sur votre système. Elles sont documentées dans le fichier README dans le répertoire courant. Heureusement, Logwatch inclut un script d'installation qui peut faire tout le travail pour vous. Malheureusement, le script a les permissions mal réglé de telle manière qu'il ne sera pas lancé par défaut. C'est assez facile à corriger mais avec la commande chmod:

chmod 500 install_logwatch.sh

Maintenant, nous pouvons exécuter le script de configuration de notre système:

. / Install_logwatch.sh

N'oubliez pas la période au début de la ligne.

Test Logwatch

Pour tester votre configuration Logwatch, exécutez la commande:

| Logwatch moins

Vous verrez l'écran de votre terminal est-il vide, mais c'est normal. Vous finirez par voir un rapport Logwatch faire imprimer à l'écran que vous pouvez naviguer dans l'aide de la «Page Up» et «Page Down» clés. Comment journal qu'il faut pour que le rapport pour montrer à l'écran dépendra de la quantité d'informations journal a besoin d'obtenir analysé. Cela peut prendre quelques secondes ou quelques minutes. Quoi qu'il en soit, il vous donnera une chance de vous familiariser avec le format du rapport.

Installation OSSEC

Comme je le mentionnais dans mon dernier post, vous avez deux options d'installation avec OSSEC, local ou client / serveur. Dans ce post, je vais me concentrer sur le client d'installation / serveur, comme il est un peu plus complexe. Si vous effectuez une installation locale, sélectionnez simplement le "local" option lors de l'installation et passez la section sur la mise en place d'un canal sécurisé entre l'agent et le serveur.

Commencez avec le serveur

OSSEC utilise le cryptage Blowfish pour sécuriser les communications entre le client et le serveur. Blowfish est symétrique basé clés, afin que les deux parties doivent savoir ce que la valeur de clé à utiliser pour communiquer. Le serveur est chargé de générer la clé symétrique, nous devons donc installer le logiciel serveur en premier. Au cours de l'installation du client nous sera demandé pour une valeur de clé de toute évidence, nous aurons besoin d'avoir à portée de main que l'avance.

Voici une astuce gain de temps. La valeur de la clé est longue et presque impossible à retenir. La meilleure façon de déplacer la valeur de la clé du système de serveur pour le système de l'agent est d'utiliser SSH. Créer une connexion sécurisée vers le serveur OSSEC, et extraire la clé appropriée (directions ci-dessous). Dans une seconde fenêtre de terminal, de créer une session SSH sur le système où vous allez installer l'agent. Lorsque le client d'installation vous invite à la valeur de clé, il vous suffit de copier / coller entre les deux terminaux.

Installation du serveur OSSEC

Le logiciel serveur est disponible comme une boule de goudron, de sorte que vous pouvez obtenir une copie de la dernière version de la page de téléchargement OSSEC . Vous devrez ensuite pour extraire le contenu de la boule de goudron:

tar xvzf OSSEC-HIDS-2.3.tar.gz

Ensuite, déplacez dans la structure de répertoire que vous venez de créer:

cd OSSEC-HIDS-2.3

OSSEC fournit un script d'installation qui vous guidera dans le processus d'installation du serveur. Pour lancer le script, tapez:

. / Install.sh

N'oubliez pas la période au début de la commande. Vous allez maintenant être invité par un certain nombre d'options d'installation:

• Langue - La valeur par défaut est l'anglais. Changer au besoin.
• Confirmation de l'installation - Appuyez sur Entrée une fois que vous avez lu l'écran.
• type d'installation - Tapez "serveur" sans les guillemets et appuyez sur Entrée.
• Emplacement d'installation - Acceptez la valeur par défaut.
• notification par e-mail - par défaut est oui, choisissez si vous voulez alertes e-mail. Si vous sélectionnez oui, vous serez invité à entrer une adresse e-mail valide et le serveur mail.
• Contrôle d'intégrité - par défaut est oui. Sélectionnez si vous voulez que le système local vérifiés périodiquement pour les intrusions.
• détection de root kit - par défaut est oui. Bonne option, car nous avons besoin de maintenir un haut niveau d'intégrité de ce système.
• réponse active - par défaut est oui. Sélectionnez cette option si vous souhaitez être en mesure de réagir aux événements.
• baisse de pare-feu - permet au serveur OSSEC de la défendre soi si une attaque est détectée directement.
• Liste blanche - Cela vous permettra d'ajouter des adresses IP à partir de laquelle les attaques possibles seront ignorées. Soyez prudent avec cette option. Si vous n'avez pas accès à la console sur le serveur OSSEC, il pourrait être judicieux d'identifier une adresse IP qui peut toujours y entrer tout simplement à s'assurer de la source IP est un système fiable.
• Activer Syslog - par défaut est oui. Sélectionnez cette option si vous voulez collecter des journaux du système qui ne peut pas exécuter un agent OSSEC (comme les pare-feu, commutateurs, routeurs, points d'accès, etc.)
• Les fichiers journaux à surveiller - Cet écran indique tous les fichiers journal local OSSEC suivra. Il est purement d'informations, de sorte que tous vous pouvez faire est appuyez sur Entrée pour passer au travers. Si vous remarquez un ou plusieurs fichiers journaux absents de la liste, vous pouvez les ajouter plus tard pour le fichier ossec.conf.

À ce stade OSSEC auront accès au compilateur local et d'installer tous les fichiers nécessaires sur le système. Une fois terminée, vous pouvez démarrer le serveur OSSEC en exécutant la commande:

/ Var / OSSEC / bin / start-OSSEC de contrôle

Définition des agents OSSEC

Nous ne sommes pas faire avec le serveur OSSEC tout de suite. Ensuite, nous avons besoin de pré-définir tous les systèmes qui seront en cours d'exécution de l'agent OSSEC (client) de logiciels. Ceci est réalisé en utilisant la commande manage_agents. Première Cependant, nous devons faire un peu de devoirs. Faites une liste de tous les systèmes qui seront en cours d'exécution du logiciel agent OSSEC. Pour chaque système, vous aurez besoin d'un nom descriptif ainsi que l'adresse IP de ce système.

Maintenant, exécutez les points suivants de la ligne de commande:

/ Var / OSSEC / bin / manage_agents

Cela produira le menu Gestionnaire principal agent. Appuyez sur «A» suivie de la touche Entrée pour définir votre premier système. Entrez un nom descriptif pour le premier système, suivi de l'adresse IP du système. Ne vous inquiétez pas de l'agent numéro d'identification. Il suffit d'accepter la valeur par défaut et sera auto-OSSEC attribuer le numéro d'identification suivant disponible. Une fois que vous confirmer l'information que vous avez entré, vous serez renvoyé au menu Gestionnaire principal agent. Répétez le processus ci-dessus pour chaque système qui fait tourner un agent OSSEC.

La génération de clés

Une fois que vous avez ajoutés dans l'ensemble de vos systèmes, il est temps pour générer des clés de chiffrement. Cette étape est également réalisée avec l'utilitaire manage_agents. Si vous avez fermé l'outil après la dernière étape, il relance aujourd'hui.

Appuyez sur la touche "E" suivi par Enter pour sélectionner la touche "Extract pour un agent" option de menu. Vous serez alors invité à entrer le numéro d'identification de la clé que vous souhaitez extraire. Les noms descriptifs et les adresses IP sont répertoriés chaque numéro d'identification, de sorte qu'il devrait être trivial pour identifier celle qui vous voulez. Commencez avec le système que vous prévoyez d'installer le logiciel agent sur premier.

Agent OSSEC installer sur Linux

Lors de l'installation du logiciel agent sur un client Linux ou UNIX, vous utilisez l'exacte même boule de goudron, nous avons utilisé pour installer le logiciel serveur. Exécutez le même script d'installation, mais cette fois lorsque vous êtes invité pour le type d'installation que vous souhaitez effectuer, le type de «agent» suivie de la touche Entrée.

L'installation du client a souvent les mêmes que les invites d'installation du serveur. Utilisez les informations ci-dessus pour vous guider dans le processus. L'invite qui variera toutefois, c'est que vous serez invité à fournir l'adresse IP du serveur OSSEC. Une fois terminé, OSSEC auront accès au compilateur local et d'installer tous les fichiers requis sur le système.

Ensuite, nous devons importer la clé Blowfish à partir du serveur OSSEC. Alors qu'il était encore sur le système agent, exécutez la commande:

/ Var / OSSEC / bin / manage_agents

Lorsque le menu Agent Manager apparaît, sélectionnez "I" pour importer la clé Blowfish.

Lorsque l'invite suivante s'affiche, vous devez entrer manuellement la clé appropriée Blowfish. Encore une fois, si vous utilisez SSH pour les deux systèmes en même temps, vous pouvez simplement copier / coller entre les deux terminaux. Assurez-vous que la clé semble correct, appuyez sur la touche Entrée, puis sélectionnez "Y" pour confirmer que la clé semble correct. Vous serez renvoyé au menu Agent Manager. Sélectionnez "q" pour revenir à la ligne de commande.

Maintenant, nous avons simplement besoin de commencer à l'agent OSSEC. Vous pouvez le faire en exécutant la commande suivante:

/ Var / OSSEC / bin / start-OSSEC de contrôle

Vous devriez voir l'ensemble des composants de l'agent OSSEC démarrage, suivi d'un «Terminé» message.

Agent OSSEC installer sur Windows

OSSEC a un exécutable auto-extractible qui vous permettra d'installer le logiciel agent sur un système Windows. Il suffit de double cliquer sur l'exécutable pour démarrer le processus d'installation. Vous serez invité à accepter la licence ainsi que les composants que vous souhaitez installer. Il suffit de suivre les instructions jusqu'à la fenêtre OSSEC Agent Manager apparaît.

Le OSSEC Agent Manager fenêtre vous demandera l'adresse IP du serveur OSSEC. Il sera également vous invite à la valeur Blowfish clés à utiliser, afin d'extraire les clés appropriées sur le serveur et entrez la valeur dans ce domaine. Assurez-vous de supprimer l'invite dans ce domaine avant de coller dans la clé de Blowfish. Sinon, la communication avec le serveur peut échouer.

Ensuite, sélectionnez "Gérer" dans le menu OSSEC Agent Manager, suivi de "OSSEC Start". Vous devriez maintenant voir le statut ":" Le changement indicateur "En cours ...".

Test OSSEC

Une fois que vous avez le serveur et logiciel de l'agent installé, a commencé et les touches appropriées configuré, il est maintenant temps de vérifier notre configuration. Exécutez la commande suivante sur le serveur OSSEC:

cd / var / OSSEC / logs

Et extraire le fichier ossec.log:

moins ossec.log

Vérifiez le fichier journal des erreurs. Une erreur fréquente est que OSSEC rapports on ne peut pas envoyer un e-mail. Assurez-vous que le serveur de messagerie est en marche et qu'il accepte les connexions. Une fois que vous êtes satisfait de la configuration du serveur, il est maintenant temps de vérifier les agents. Déplacer vers le bas pour les alertes "répertoire:

alertes cd

Et extraire le fichier alerts.log:

moins alerts.log

Plus précisément, vous êtes à la recherche d'entrées semblables à ce qui suit:

17 février 2010 16:09:16 (bureau) 192.168.1.10-> OSSEC

Règle: 501 (niveau 3) - Nouvel agent OSSEC> 'connecté.

Src IP: (aucun)

Utilisateur: (aucun)

OSSEC: Agent commencé: «test_system-> 192.168.1.10.

Vous devriez voir une entrée pour chaque système sur lequel vous avez installé le logiciel agent.

D'autres à venir

Ouf! C'est plus que suffisant pour un poste! Dans mon prochain article je vais vous mettre à profit pour analyser Logwatch toutes les informations d'alerte générés par OSSEC.

Dans mon dernier message que j'ai décrit comment Logwatch pourraient être utilisés pour simplifier le processus d'examen du journal. Dans ce post nous allons voir OSSEC et ce qu'il apporte à la table.

Qu'est-ce que OSSEC?

OSSEC , abréviation de «Open Source de sécurité», est un hôte basé le système de détection d'intrusion (HIDS). En d'autres termes, il est conçu pour détecter les attaques ou les violations des politiques si et quand ils se produisent. Bien qu'il ne possède pas la capacité de protéger contre les attaques inconnues ou 0-Day (ce qui serait de prévention d'intrusion basés sur l'hôte), il comprend un large éventail d'outils qui peuvent vous aider à identifier une intrusion quand il se produit, ainsi que dans la mesure des dommages qui ont été causés.

Plates-formes supportées

Pour profiter de toutes les fonctionnalités OSSEC a à offrir, vous devez lancer un agent sur le système protégé. agents OSSEC peut fonctionner sur Windows, Mac OS X, Linux, et un large éventail de systèmes UNIX. Si vous souhaitez tout simplement dans la partie analyse de log Toutefois, un éventail encore plus large des systèmes peuvent être pris en charge. Cela comprend le matériel de Cisco et Juniper. Un certain nombre de produits spécifiques sont également pris en charge comme les firewalls Checkpoint, Symantec Anti-Virus, Snort, Squid, et Arpwatch, pour n'en nommer que quelques-uns.

Lorsque vous installez OSSEC vous avez deux options de configuration, local ou client / serveur. Une installation locale est utilisée lorsque vous devez tout faire sur un seul système. Le client d'installation du serveur / vous permet d'exécuter un environnement distribué la protection des systèmes multiples en même temps. Bien que la plupart des déploiements sont client / serveur, si vous voulez donner un spin OSSEC vous pouvez facilement tout faire sur un système de test unique à l'aide d'une installation locale.

Log Analysis

OSSEC comprend un journal basé Intrusion Detection System (paupières). Cela a la possibilité de consulter les fichiers journaux en temps quasi réel, tout en les examinant de schémas d'attaque connus. Quand un journal est généré sur un système protégé, l'agent se charge de transmettre en toute sécurité le journal (Cryptage Blowfish avec un secret pré-partagé) sur le serveur. Le serveur se charge alors d'exécuter l'analyse.

La plupart des outils d'analyse de log processus de leurs règles dans un format linéaire. J'entends par là que si nous avons 500 règles, la règle on est cochée, l'article deux, puis la règle de trois et ainsi de suite jusqu'à ce qu'une correspondance est trouvée ou nous arrivons à la fin de la règle fixée. OSSEC fonctionne un peu différemment car il met en œuvre une hiératique structure aux règles. Les entrées du journal sont d'abord classées et ensuite vérifié que l'encontre des règles selon celles qui sont appropriées. Le résultat est que plutôt que de devoir traiter l'ensemble des 500 règles, la plupart des événements auront vérifié contre 10 règles ou moins. Cela réduit considérablement le montant des frais généraux nécessaires au traitement de la règle fixée.

Vérification de l'intégrité

OSSEC inclut un outil appelé SysCheck pour effectuer la vérification d'intégrité de fichier et répertoire. Si vous exécutez un agent de Windows, vous pouvez également inclure des touches spécifiques dans le Registre Windows pour être contrôlés. les modifications de fichier peuvent être détectées en utilisant les deux MD-5 et des algorithmes de hachage SHA-1. Le système est extrêmement personnalisable. Vous pouvez inclure ou exclure des fichiers uniques, ou des structures de répertoire. Vous pouvez même définir un indicateur pour détecter la création d'un nouveau fichier.

Le logiciel de l'agent est conçu pour utiliser une quantité minimale du processeur au cours de la vérification de l'intégrité. Même si cela signifie le contrôle prendra plus de temps, il contribue également à minimiser la performance atteint dans le système. Hash information est transmise au serveur. Le serveur se charge alors d'effectuer la comparaison de hachage pour voir si des fichiers critiques du système ont été modifiés. Le serveur stocke également une copie de la politique de contrôle d'intégrité, de sorte que si des changements de politique sont faites sur l'agent, ils peuvent être détectés et signalés ainsi.

détection des anomalies

OSSEC va bien au-delà journal de contrôle pour vérifier l'intégrité du système. les politiques d'utilisation peut être gérée de façon centralisée à partir du serveur, puis repoussé aux agents appropriés. Par exemple vous pouvez définir une politique concernant les applications Windows qui sont acceptables (Office, Firefox, etc) et ceux qui ne sont pas (client de messagerie instantanée, Skype, etc.) Vous pouvez même définir des options de configuration acceptable comme vérifier que les tables de hachage NT sont utilisés pour mot de passe stocké mais pas hachages LanMan.

OSSEC comprend un certain nombre de goodies d'autres afin d'aider à vérifier l'intégrité d'un système. Par exemple OSSEC a la capacité d'exécuter des commandes de l'agent et de surveiller la sortie qui se produit. Par exemple vous pourriez avoir l'agent Linux exécuter le "df" commande à intervalles réguliers et générer une alerte si l'utilisation du disque dépasse 90%. Un exemple Windows peut être d'avoir OSSEC générer une alerte chaque fois que des informations de fichier est écrit dans le flux de données différents domaine de NTFS.

Active Response

Enfin, OSSEC comprend la capacité de réagir lorsque l'activité suspecte est détectée. Les réponses peuvent être générés par le serveur ou l'agent, qui jamais vous spécifiez. Les réponses peuvent être aussi bénignes que générer une alerte e-mail, d'être aussi dynamique que le blocage d'une adresse IP distante pour un temps limité. Il ya un certain nombre de scripts inclus réponse active, vous pouvez dessiner, ou vous pouvez facilement écrire votre propre.

Secure Architecture

Les auteurs ont OSSEC ménagé aucun effort pour assurer l'ensemble des composants dans le produit. Des tâches comme le contrôle d'intégrité sont effectués sur le serveur, plutôt que l'agent, de sorte que la fiabilité des hachages ne peut être compromise lors d'une attaque. Les processus sont exécutés avec le plus bas niveau d'autorisation possible, et différents comptes sont utilisés pour faire fonctionner chaque composant OSSEC. Cela signifie qu'un compromis d'une seule demande dans OSSEC ne sera pas immédiatement conduire à un compromis de l'ensemble du paquet. En outre, la plupart des composants sont exécutés dans un prison chroot de sorte que leur accès au système est encore plus restreinte.

Un dernier mot

Bien que OSSEC est un outil puissant, il est important de se rappeler qu'il s'agit d'un HIDS et non une solution de gestion des logs. OSSEC pouvez consulter les entrées de journal à la recherche d'comportements suspects, mais il ne sauvegarde que les informations d'alerte. Ainsi, alors que OSSEC ne remplacera pas votre Security Information Management (SIM) de solution, il peut très certainement l'augmenter. Vous pouvez configurer facilement OSSEC à transmettre toutes les alertes qu'il génère à une exploitation serveur central .

Bien que OSSEC est un logiciel open source, Trend Micro est principalement le développer. Si vous avez besoin d'un support commercial, vous pouvez acheter un contrat de support à travers eux à un prix raisonnable.

D'autres à venir

Dans mon prochain versement, nous allons voir l'installation et OSSEC Logwatch. Après cela, nous allons passer en intégrant les deux ensemble.

I recently had a student ask me a question regarding the integration of Logwatch with OSSEC. I felt like this was a complex and yet cool enough idea that it warranted a series of posts to cover it in full. So over the next few days I'll talk about each of these tools, how to integrate them together, as well as what additional security visibility can be gained once the process is complete.

What Is Logwatch?

Logwatch is an excellent open source tool for generating daily human readable log reports. Log entries tend to fall into one of three categories:

• Stuff you know is evil
• Stuff you know is normal and can be safely ignored
• Everything else

It is that “everything else” category where Logwatch really shines. For the stuff we know is evil, we will setup some form of alerting system. For example we may write an alert signature that warns the security analyst when an account is being brute forced. But what about the attacks we don't know about or are not sure what they look like? This would be a clear example of that “everything else” category. The traffic is not normal, but we have not seen it before to have a signature waiting to generate an alert. Since we will be unable to catch the attack in real time, we will need to catch it during a daily log review.

Of course the problem with doing daily log reviews is that it is tedious and time consuming. I mean let's be honest, who really wants to spend their day reviewing one million plus log entries? Even if you did, are you sure you would actually catch the out of the ordinary traffic?

Comment ça marche?

What Logwatch does very well is permit you to reorganize your data into a format that is easier for humans to follow. Its real strength is that it permits you to move the stuff you understand out of the way (normal or evil), so that the unexpected log entries stand out like a sore thumb. In other words, Logwatch lets you summarize your log entries so the unusual stuff is easier to spot.

What I really love about Logwatch is that you don't lose anything. Many log review tools will only show you the stuff that has been pre-defined as being evil. The problem they all share is that when something evil but unexpected happens, it flies right under the wire. Because Logwatch lets you see everything, you no longer miss the unexpected.

Logwatch In Action

Lets discuss how Logwatch works using the SSH server service as an example. The scripts to deal with SSH have already been defined within Logwatch, so you do not need to do any tweaking to receive the features we are going to discuss.

When reviewing a log file, the first thing Logwatch does is reorganize log entries based on their message types. For example all Successful SSH logons are grouped together, as well as too many logon failures, refused connections, locked accounts, accounts without a proper shell, protocol mis-matches, etc. etc. etc. Once all the SSH messages are grouped by their type, the data is then summarized to reduce the amount of information being reported.

For example, the default is to summarize failed logon attempts by account and source IP. So a typical failed logon report section might look like this:

Failed logins from these:

bsmith/password from 1.2.3.4: 637 time(s)

jsmith/password from 1.2.3.5: 2 time(s)

So rather than having to review 639 log entries reporting a bad logon attempt, we have all the pertinent information summarized into three lines (if you include the title). Continue this process for all of the other SSH messages, and we have dramatically reduced the amount of time required to review our logs.

But what if something happens that Logwatch is not pre-programmed to recognize? When an unexpected log entry is found, Logwatch adds a section to the end of the service report called “Unmatched Entries”. So if we see this title in the SSH server section, we know some event has occurred that is either abnormal or unexpected for the SSH service. This could very well be some form of attack that we are not aware is making the rounds.

By focusing in on the unmatched entries section, we can quickly identify unexpected activity. As I stated earlier, this is really the main goal of doing daily log reviews. To find the stuff we don't expect which will sneak past our alerting system. Logwatch makes this process as quick and as painless as possible.

Feature Summary

In the above example I talked about doing daily log reviews, but to be honest Logwatch is highly customizable. You can specify any range you wish to use down to an interval of one second. For example let's say I'm investigating an intrusion rather than performing a daily log review. I could specify a range such as “2010/02/14 17:05:00 for that hour” to focus right in on the information that interest me. I can also focus in on one specific log file or service.

The detail level of the report is also customizable. Typically when you deal with security you get in the habit of always wanting the highest detail level of reporting. To be honest, with Logwatch a high level of detail is probably more than you will ever need. Personally I typically stick with “med” for medium and that works out nicely. You can also specify the reporting level as “low” or “high” or use a numeric range of 0-10 for a higher level of granularity (low =0, med=5, high=10).

Logwatch can be run automatically or as a manual process. Typically you will want to set it up to run automatically each day and summarize one day's worth of log entries. If you ever need to expand or focus the report, you can always run Logwatch from the command line while specifying exactly what you want to see. You can then use the “–save” option to specify a report name and directory location for storage.

D'autres à venir

The above should give you a good idea as to the features Logwatch can bring to the table. In the next post I'll discuss OSSEC in the same level of detail. After that, I'll get into how to install each tool as well as how to integrate them together.