Información blog

Linux, tutoriales, noticias, sistemas, redes y seguridad informática, entre otras cosas.

lunes, 14 de septiembre de 2015

Instalando un HIDS en Debian: OSSEC

La seguridad es un aspecto fundamental que tenemos que tener muy en cuenta nuestros sistemas, y si bien he hablado sobre muchos aspectos muy importantes que nos pueden ayudar a salvaguardar nuestro Linux, todavía no he mostrado ningún método para monitorizar con "comodidad" los intentos de intrusión que podamos estar sufriendo en nuestro sistema; intentos que siempre deberían quedarse en únicamente eso: intentos. Para ello se usan herramientas de HIDS (Host based Intrusion Detection System) que siempre estarán atentas a cualquier evento que pueda estar relacionado con intrusiones o simplemente con autenticaciones exitosas desde un host remoto; aunque existen diferentes herramientas de este tipo, me he decantado por una de ellas en particular por su facilidad de implementación y por la numerosa documentación que puede uno encontrar con respecto a ésta: OSSEC.
OSSEC_PORTADA

Este tipo de herramientas no están instaladas por defecto en ningún sistema de Linux, pero aún así es relativamente sencillo instalarlas y ponerlas en funcionamiento para ayudarnos a tener un poco más de control sobre lo que ocurre en nuestros equipos. Existen dos tipos de instalación: La del paquete a secas descargado desde la página oficial, o la instalación del software desde los repositorios. Desde mi experiencia personal recomiendo optar por la segunda opción siempre que se pueda, ya que el paquete en cuestión posee muchas dependencias que no suelen estar instaladas en el sistema; dependencias que habrían que ir instalando una a una...  Debido a lo laborioso de dicho proceso, nos centraremos en la segunda alternativa, la cual es más sencilla, veloz y eficaz.

Para ello, en este caso no es tan sencillo como usar apt-get install como solemos hacer siempre... En sí, sí que se recurre a este comando, pero antes de escribirlo es necesario realizar unos pequeños preparativos, pues OSSEC no está incluido en los repositorios oficiales... Así pues ¿Cómo podemos instalar el software desde los repositorios, si éste no existe en éstos? Agregando uno repositorio nuevo. Esta práctica es algo delicada en mi opinión, ya que todo repositorio que sea distinto a los oficiales ofrecidos por el sistema (en este caso Debian) debe de ser tratado con pies de plomo, pues en ocasiones éstos pueden incluir malware... Afortunadamente este repositorio que voy a agregar es propiedad del propio proyecto OSSEC, con lo que podríamos considerarlo como un repositorio confiable. Para agregar el repositorio recurriremos a estos dos comandos:

  1. apt-key adv --fetch-keys http://ossec.wazuh.com/repos/apt/conf/ossec-key.gpg.key
  2. echo 'deb http://ossec.wazuh.com/repos/apt/debian wheezy main' >> /etc/apt/sources.list

En la segunda línea vemos que se nombra la versión de Debian en uso... En este caso se nombra wheezy (Debian 7), pero dicho nombre puede ser sustituido por jessie(Debian 8) o sid(rama testing), dependiendo de la versión que usemos. Además en la primera línea se añade la clave referente al repositorio para que nuestro sistema dé por válido el repositorio añadido. Para actualizar nuestra base de datos de los repositorios habría que realizar el comando de actualización de ésta, que simplemente se trata del archiconocido apt-get update.

  1. apt-get update

Con todos los preparativos realizados AHORA SÍ que podemos usar nuestro querido apt-get para instalar OSSEC, lo cual es tan sencillo como escribir:

  1. apt-get install ossec-hids

Durante la instalación veremos un mensaje en el que se nos dará a escoger si deseamos recibir notificaciones por email sobre las posibles intrusiones que el servidor pueda recibir... Esto queda a elección de cada uno, pero en caso de querer activar dicha opción sería necesario poseer un servidor de correo instalado. En este caso en particular, no activaré dicha opción, al no ser éste el objetivo del post de hoy, si bien está presente dicha posibilidad.

Con este software instalado parecería que ya tenemos todo preparado, pero desgraciadamente el entorno que hemos preparado está basado en la consola y para cualquier cosa habría que revisar el fichero: /var/ossec/logs/alerts/alerts.log. Un log de lo más útil, pero que no es demasiado vistoso ni intuitivo; es por ello que para mejorar nuestra experiencia con esta herramienta recomiendo usar la WUI (Web User Interface), de este software, la cual se puede descargar también en la página oficial. El nombre del fichero en cuestión sería ossec-wui-0.8.tar.gz y los paquetes necesarios para poder usar esta interfaz serían apache2 y php5, cuya instalación explico en este post.

Imaginemos que tenemos todos los requisitos y que hemos podido descargar el paquete que contiene la WUI. Esta interfaz web es realmente sencilla de instalar. Para ello, lo primero que habría que hacer sería descomprimir el fichero obtenido y copiar la carpeta obtenida a la carpeta donde alojamos nuestra web; generalmente en /var/www/. Es recomendable que la carpeta alojada en esta ruta posea el nombre de ossec si bien no es obligatorio. Realizada dicha copia, habría que desplazarse dentro de ésta y dar permisos de ejecución al fichero setup.sh para poder proseguir con la instalación.

  1. tar -xvzf ossec-wui-0.8.tar.gz
  2. cp ossec-wui-0.8 /var/www/ossec
  3. cd /var/www/ossec
  4. chmod +x setup.sh

El fichero al que le hemos dado los permisos de ejecución, setup.sh, se encarga de instalar toda la interfaz web, si bien para ello pedirá una serie de credenciales y rutas que deberemos de especificar. Los datos que habría que introducir serían:

  • Usuario ossec: ossec
  • Password ossec: ossec
  • Usuario web: www-data (este suele ser el usuario por defecto)
  • Ruta carpeta web: /var/www/ossec

Con los datos introducidos, tendríamos casi todos los preparativos usar nuestra WUI, pero a veces podemos tener problemas con los permisos para revisar el contenido de la carpeta ossec. Para evitarnos cualquier problema de dicho tipo recomiendo asignar permisos de lectura y escritura a todo el mundo, excepto al propietario que le daríamos control total.

  1. chmod 755 /var/ossec

Por último, simplemente habría que escribir la ip_servidor/ossec y ya podríamos empezar a controlar mejor lo que ocurre en nuestro sistema.

ossec_wui

Espero que os resulte útil.

Saludos.

No hay comentarios :

Publicar un comentario