jueves, 26 de marzo de 2015

OSSIM 23. Conectar un OSSIM sensor externo a nuestro servidor por VPN

Estimados amigos de Inseguros.

Después de iniciarnos en el mundo del SIEM con OSSIM (1234567 , 89 101112 1314.,15, 16 ,17 18, 19,20,21 22 )

Vamos a configurar una sencilla operación. Instalar un sensor OSSIM en un VPS externo a nuestra red, y conectarlo con nuestro actual despliegue de OSSIM de manera segura por VPN.

De esta manera podemos usar los plugins de los sistemas que tengamos en esa ubicación, y enviar los eventos al servidor central.

Tenemos que descargar una imagen ISO, que nos sirve tanto para instalar el servidor como el sensor. Si tu VPS no trabaja con virtualización, tu me contarás como vas a instalar la ISO :-). Una vez solventado este concepto, procedemos con las pantallas de instalación.


Una vez configurados los datos de red, hemos terminado !!

Ahora viene el proceso. El resumen es que en el servidor Ossim tenemos que acceder por ssh puerto 22 al sensor. En mi caso estaba en un vps, detrás de un firewall, por lo que he tenido que natear en el sensor el puerto 22. El servidor se conecta al sensor, configura el cliente vpn copiando la configuración en /etc/openvpn/ip.conf. El problema es que cuando Ossim copia los datos al cliente, en ese fichero .conf indica la dirección ip de OSSIM server, la interna, por lo que el cliente vpn del sensor intenta conectar a una ip privada... Yo he tenido que cambiar el fichero citado y poner la dirección ip publica de mi server OSSIM, y hacer un nat en el firewall hacia el puerto TCP 33800.

Vamos a ello !!!
En el servidor principal Ossim, en la consola de administración ejecutamos:

Esta es la red virtual del servidor vpn. el equpo será .1
Ahora seguimos desde el servidor OSSIM y configuramos el VPN client.

Esta ip es la local del sensor OSSIM
Ahora nos conectamos con el sensor Ossim que acabamos de instalar, y seleccionamos:


Esta IP es la del extremo virtual de la vpn del servidor OSSIM. Coincide con la red vpn que hemos configurado unos pasos atrás. Hacemos lo mismo con framework IP. Ahora aplicamos los cambios.


Por último, desde el gui de Ossim añadimos un sensor nuevo, bajo la rama despliegue, e indicamos los datos de ip, que será la interface de túnel del equipo sensor.


El resumen es:

SEDE PRINCIPAL:
ip publica--->fw/nat 33800-->ossim server.
SEDE REMOTA:
ip publica-->fw/nat 22 ->> ossim sensor.

EN OSSIM SERVER: configurar la opcion vpn server y cliente. ( por defecto 10.67.68)
EN OSSIM SENSOR: configurar las direcciones de server y framework con la ip del tunel. (por defecto 10.67.68.1)
Editar el fichero /etc/openvpn/ip.conf con la dirección ip pública del servidor OSSIM.
/etc/init.d/openvpn restart.
EN OSSIM SERVER GUI: añadir el sensor con la ip del túnel, del extremo del sensor. ( por defecto 10.67.68.12)

Como siempre espero que os sirva de ayuda, y gracias por leerme !!!

Recuerda que puedes buscar entre mis libros de hacking en español en en recopilatorio de libros sobre hacking 




4 comentarios:

  1. Hola, me gusto mucho tu publicación. Te felicito mucho.
    Quiero preguntarte algo,
    1. Poner un sensor, por ejemplo a un cliente, es mejor que poner un servidor completo del OSSIM?
    2. Al ultimo en el resumen, vos decis que tienes 3 servidores de OSIIM, OSSIM SERVER, OSSIM SENSOR Y OSSIM SERVER GUY, si es asi vos lo recomiendas tenerlo por separados?

    Gracias de antemano.

    Saludos

    ResponderEliminar
  2. Gracias a ti RUD por tu apoyo.

    A ver la opción 1. Has dicho cliente. Si piensas en usar OSSIM para monitorizar eventos de varios clientes vas a tener problemas, porque internamente seguro que varios clientes usan la misma IP interna. Aparte, entraría la correlación de eventos entre clientes, lo que te daría alarmas sin sentido. Claramente en los clientes debes montar un servidor OSSIM completo, y hacer un forward de alarmas interesantes a otro OSSIM o algo asi,

    2.-No hace falta separarlos, pero se puede.

    ResponderEliminar
  3. Gracias kino por tu ayuda y por ayudar en la comunidad. Saludos.

    ResponderEliminar
  4. Buenos dias, gracias por el aporte.. En mi caso tengo un problema... Instale el ossim server y funciona perfectamente sin embargo instale el ossim sensor a otro segmento de red y lo conecte al server pero este ultimo no veo que hace nada y no se si porque sea la versión sensor pero no puedo llegarle vía http. Cualquier duda se agradece. Gracias

    ResponderEliminar

Gracias por comentar !!

Related Posts Plugin for WordPress, Blogger...