Asenna OSSEC ja OpenVAS IDS / IPS-suojausta varten - Miten

Asenna OSSEC ja OpenVAS IDS / IPS-suojausta varten

Minun oli asetettava järjestelmä, jossa on käytössä Windows Server 2008 R2 ja IIS 7.5, jotta voin isännöidä yrityksen web-pohjaisen aikaleiman. Vaikka se on Cisco ASA 5505 -palomuurin takana joidenkin IDS-järjestelmien kanssa, halusin mennä askeleen pidemmälle ja saada hälytyksiä uhkista sekä jonkin verran vastausta palvelimelta. Kuten tavallista, minulla ei ole mitään budjettia. Se vei viikon, ja paljon etsittiin, saadakseni kaiken asennuksen, joten tämä opas koostuu osittain kaikesta, mitä tein, jättäen pois kaikki huono / hyödytön tieto, jonka löysin ja käytin hyvää, ja jotkut korjaukset.

Käytämme OSSEC: ää (isäntäpohjainen IDS) ja OpenVAS (haavoittuvuuden skanneri; Nessuksen avoimen lähdekoodin haarukka). OSSEC: lle käytin Ubuntu Server 10.04 -järjestelmää ja OpenVAS: lle Ubuntu 10.04 -työpöytä.

7 vaihetta yhteensä

Vaihe 1: Asenna Windows Server ja palomuuri

Käytän ESXiä, joten luotin koneen, jossa on tarvittavat tiedot Server 2008 R2: lle. Tämä sijoitettiin ASZ: n DMZ: hen. En mene sinne moniin yksityiskohtiin, mutta ACL: t ovat hyvin tiukkoja - sisäinen verkko pääsee vain palvelimelle tietyissä satamissa, DMZ: ssä on lähtevä ACL, joka sallii vain web- ja DNS-asetukset, ja Windowsin palomuuri on myös konfiguroitu salli vain mitä tarvitsen.

Vaihe 2: Asenna ja päivitä Ubuntu

Minun tapauksessani käytin kahta Ubuntu-virtuaalikoneita, joista yksi on käynnissä Ubuntu Server 10.04 64-bittinen DMZ: ssä ja toinen 10.04 Desktop 64-bittinen sisäisessä LAN-verkossa. Tämä johtuu siitä, että OSSEC-agentti tarvitsee suoraa pääsyä johtajaan, enkä halunnut sallia liikennettä DMZ: stä sisäpuolelle, joten teen palvelimen erilliseksi koneeksi. Ne voivat olla sama kone, vaikka OpenVAS on luultavasti helpompi GUI: lla (jota Ubuntu-palvelimella ei ole).

Kun Ubuntu on asennettu, tee "sudo apt-get update" ja "sudo apt-get dist-upgrade" saadaksesi kaikki päivitykset.

Vaihe 3: Asenna OSSEC ja agentti

OSSEC toimii Linuxissa johtajalle, mutta asiakas voi olla Linux tai Windows. Tarvitset kääntäjän - Ubuntu on mielestäni helpoin tarttua rakentaa välttämättömään pakettiin:

sudo apt-get install rakentaa välttämätöntä

OSSEC: n saamiseksi siirry osoitteeseen http://www.ossec.net/main/downloads/ ja lataa palvelimen Linux-versio (tämä on myös Linux-asiakkaille). Tartu Windows-agenttiin, jos tarvitset sitä.

Poimi pakattu tiedosto Linuxissa:

tar-xzvf ossec-hids-2.4.1.tar.gz

Anna hakemisto ja tee:

sudo ./install.sh

Haluat asettaa sen palvelimen asennukseksi, anna sähköpostiosoitteen, jos haluat hälytyksen, mutta useimmat muut oletusasetukset toimivat.

OSSEC: llä on valinnainen (mutta hyödyllinen) web-käyttöliittymä.

sudo apt-get asenna apache2 libapache2-mod-php5

Web-käyttöliittymän asennusta varten on helpoin käyttää OSSECin ohjeita: http://www.ossec.net/main/manual/wui-ubuntu/

Kun johtaja on asennettu, tee:

sudo / var / ossec / bin / manager_agents

Valitse 'lisää agentti', nimeä vastaavasti ja valitse tunnus (mitä haluat, oletusarvo on hieno). Käynnistä palvelu uudelleen (/etc/init.d/ossec restart). Poista sitten agentin avain ja kopioi se. Asenna agentti Windows-käyttöjärjestelmään ja kirjoita hallintapalvelimen IP ja avain ja käynnistä palvelu uudelleen. Tässä vaiheessa asiakkaan ja johtajan pitäisi puhua. Jos käytit web-käyttöliittymää, Windows-agentti on lueteltava. Jos portti 25 on lähtevä, saat myös sähköpostihälytykset tapahtumista, jotka vastaavat tarpeeksi vakavaa tasoa.

Tämä vaihe voi olla hieno. Jos käytät virheitä, poista agentti palvelimesta, luo uusi tunnus uudelleen, muuta agentin tunnusta ja käynnistä kaikki palvelut uudelleen.

Vaihe 4: Aktivoi aktiivinen vastaus


Jos haluat saada aktiivisia vastauksia OSSEC: lle, käytä seuraavaa: http://www.ossec.net/main/manual/manual-active-response-on-windows/

Huomaa kuitenkin, että reitin null.cmd-komentosarjalle on muutamia korjauksia (C: Tiedostojen (x86) oss-agentin aktiivinen vastaus).

Server 2008: lle, katso täältä: http://www.mail-archive.com/[email protected]/msg07175.html Voit myös käyttää viimeisintä tilannekuvan julkaisua, koska se on korjattu siinä.

Server 2008 R2: n tilannekuva ei korjattu. Onnistuin saamaan sen toimimaan, katso täältä: http://community.spiceworks.com/topic/107207?page=1#entry-482856

Johtopalvelimessa "sudo / var / ossec / bin / agent_control -b 1.2.3.4 -f win_nullroute600 -u 001" (jossa 001 on edustajan tunnus) ei pitäisi reitittää osoitetta 1.2.3.4 kymmenen minuutin ajan.

Vaihe 5: Asenna OpenVAS


OpenVAS: lle on olemassa paketti Ubuntu-arkistoissa, joten ei tarvita kääntämistä. Sinun täytyy tehdä:

sudo apt-get install libopenvas2-dev libopenvasnas2 libopenvasnasl2-dev open-server-dev libgnutls-dev libpcap0.8-dev bison libssl-dev htmldoc openvas-server openvas-client

Kun olet asentanut, tee "sudo openvas-adduser" ja luo käyttäjätunnus ja salasana OpenVAS: lle. Jätin sen salasanan todentamiseen. Siirry nyt Ubuntuissa sovelluksiin - Tarvikkeet ja valitse OpenVAS Client.

Vaihe 6: Skannaa OpenVAS-ohjelmalla


Kun asiakas on auki, muodosta yhteys palvelimeen (se voi olla erillinen kone, mutta tässä oppaassa oletetaan, että kaikki OpenVAS-asiat ovat yhdellä koneella). Käytä käyttäjätunnusta ja salasanaa, jonka olet luonut Openvas-adduser-ohjelmalla. Kun yhteys on muodostettu, siirry kohtaan File - Scan Assist. Sen avulla voit luoda yksinkertaisen skannauksen, jonka voit toistaa ja pyytää tavoitetta. Syötä lopuksi palvelimen käyttöoikeudet ja suorita. Se vie jonkin aikaa. Olettaen, että skannaat Windows Serverin agentin kanssa, sinun pitäisi aloittaa hälytysten saaminen - sain sähköpostiviestin, jossa on useita tason 10 hälytyksiä. Kun se on tehty, raportti kertoo yksityiskohtaisesti kaiken, mitä se löysi, sekä tehdä joitakin ehdotuksia.

Vaihe 7: Opi!

Tämä opas riittää saamaan kaiken käyntiin, mutta tiedän, että se naarmuttaa pintaa. Tähän on paljon, ja se on minulle uusi alue. Yksinkertainen tosiasia, että näissä sviiteissä on kirjoja, kertoo, että olen tuskin päässyt alkuun;) Haluat todennäköisesti säätää sääntöjä, jotta et saa tonnia hälytyksiä vääriä positiivisia ja säännöllisesti haavoittuvuuksia (samoin kuin kaivaa lisää vaihtoehtoja).

Siellä on paljon askelia, mutta kun kaikki on tehty oikeassa järjestyksessä, se on melko helppo asentaa ja erittäin hyödyllinen ilman rahaa ostaa mitään. Tämä ei ole mitenkään paras ratkaisu, mutta yhdessä hyvän palomuurin ja muiden parhaiden käytäntöjen kanssa tunnen yhä luottavaisemman palvelimen turvallisuudesta. Toivottavasti tämä on myös jonkin verran hyötyä muille.