lunes, 26 de mayo de 2014

4.-Agente OSSEC en sistemas Debian Based

En el capítulo de Inseguros de hoy seguimos con la serie sobre el mundo SIEM y el uso de la aplicación OSSIM. Parte 1234567 , 89 10

Vamos a realizar un procedimiento similar al empleado en el despliegue de agentes OSSEC en Windows salvo que lo vamos a hacer sobre un sistema basado en Debian como es Kali Linux.


Para retomar un poco el hilo, hablamos de OSSEC como un sistema de detección de intrusos a nivel de host (HIDS). Podemos configurar que tipo de logs del sistema queremos monitorizar, así como establecer niveles de integridad en los ficheros para detectar cambios. También se implementa una tecnología para la detección de Rootkits. Monitoriza claves de registro en sistemas Windows. Todo ello lo enviaremos a nuestro servidor OSSIM para realizar nuestro análisis de eventos.

El primer paso es configurar en OSSIM que vamos a usar un nuevo agente OSSEC ( que instalaremos en nuestro sistema debian) con un nombre y una dirección IP. Es recomendable realizar la anotación CIDR (P.E. 192.168.1.1/24). Generamos la clave para autenticar a nuestro cliente.



En nuestro equipo Debian descargamos el agente.
wget http://www.ossec.net/files/ossec-hids-2.7.1.tar.gz
tar -zxvf ossec-hids-2.7.1.tar.gz

Ejecutamos el instalador que nos presenta un menú muy sencillo en donde seleccionamos el tipo de OSSEC que vamos a instalar, servidor o agente. La dirección ip del servidor y alguna cosita mas.





Una vez instalado configuramos el agente con la clave que hemos exportado desde OSSIM.


Una vez completado el proceso iniciamos el agente.


Podemos comprobar en OSSIM que ya tenemos conexión con el agente desplegado.


Espero que os haya servidor de ayuda.

Como siempre, gracias por leerme.