jueves, 26 de marzo de 2015

OSSIM 23. Conectar un OSSIM sensor externo a nuestro servidor por VPN

Estimados amigos de Inseguros.

Después de iniciarnos en el mundo del SIEM con OSSIM (1234567 , 89 101112 1314.,15, 16 ,17 18, 19,20,21 22 )

Vamos a configurar una sencilla operación. Instalar un sensor OSSIM en un VPS externo a nuestra red, y conectarlo con nuestro actual despliegue de OSSIM de manera segura por VPN.

De esta manera podemos usar los plugins de los sistemas que tengamos en esa ubicación, y enviar los eventos al servidor central.

Tenemos que descargar una imagen ISO, que nos sirve tanto para instalar el servidor como el sensor. Si tu VPS no trabaja con virtualización, tu me contarás como vas a instalar la ISO :-). Una vez solventado este concepto, procedemos con las pantallas de instalación.


Una vez configurados los datos de red, hemos terminado !!

Ahora viene el proceso. El resumen es que en el servidor Ossim tenemos que acceder por ssh puerto 22 al sensor. En mi caso estaba en un vps, detrás de un firewall, por lo que he tenido que natear en el sensor el puerto 22. El servidor se conecta al sensor, configura el cliente vpn copiando la configuración en /etc/openvpn/ip.conf. El problema es que cuando Ossim copia los datos al cliente, en ese fichero .conf indica la dirección ip de OSSIM server, la interna, por lo que el cliente vpn del sensor intenta conectar a una ip privada... Yo he tenido que cambiar el fichero citado y poner la dirección ip publica de mi server OSSIM, y hacer un nat en el firewall hacia el puerto TCP 33800.

Vamos a ello !!!
En el servidor principal Ossim, en la consola de administración ejecutamos:

Esta es la red virtual del servidor vpn. el equpo será .1
Ahora seguimos desde el servidor OSSIM y configuramos el VPN client.

Esta ip es la local del sensor OSSIM
Ahora nos conectamos con el sensor Ossim que acabamos de instalar, y seleccionamos:


Esta IP es la del extremo virtual de la vpn del servidor OSSIM. Coincide con la red vpn que hemos configurado unos pasos atrás. Hacemos lo mismo con framework IP. Ahora aplicamos los cambios.


Por último, desde el gui de Ossim añadimos un sensor nuevo, bajo la rama despliegue, e indicamos los datos de ip, que será la interface de túnel del equipo sensor.


El resumen es:

SEDE PRINCIPAL:
ip publica--->fw/nat 33800-->ossim server.
SEDE REMOTA:
ip publica-->fw/nat 22 ->> ossim sensor.

EN OSSIM SERVER: configurar la opcion vpn server y cliente. ( por defecto 10.67.68)
EN OSSIM SENSOR: configurar las direcciones de server y framework con la ip del tunel. (por defecto 10.67.68.1)
Editar el fichero /etc/openvpn/ip.conf con la dirección ip pública del servidor OSSIM.
/etc/init.d/openvpn restart.
EN OSSIM SERVER GUI: añadir el sensor con la ip del túnel, del extremo del sensor. ( por defecto 10.67.68.12)

Como siempre espero que os sirva de ayuda, y gracias por leerme !!!

Recuerda que puedes buscar entre mis libros de hacking en español en en recopilatorio de libros sobre hacking