OSSEC es un Host IDS opensource que incluye características que lo convierten en una herramienta muy interesante para asegurar un sistema, ya sea de la familia Unix o Windows.
Nace como sistema de detención de intrusos basado en logs (LIDS o Log-based Intrusion Detection System) pero en la actualidad ha evolucionado incluyendo otras funciones, entre ellas:
- Control de integridad de ficheros: verifica que los ficheros relevantes del sistema no sean alterados de forma no gestionada.
- Control de integridad del registro: igual al anterior, pero para claves del registro. De esta forma se puede monitorizar si se añade un nuevo servicio, y se conecta un dispositivo USB, si se agrega una aplicación para que arranque al inicio de windows, etcéterra.
- Detección de rootkits: está basado en firmas y es un poco básico. No es tan completo como algunas soluciones específicas como unhide, rkhunter o chkrootkit.
- Respuesta activa: actuando como IPS, puede añadir reglas al firewall para bloquear hosts que generen eventos determinados.
Aunque la parte más relevante es el análisis y sistema de alertas basado en los logs, para los que dispone de decenas de decodificadores que los procesará con lógica.
Existen dos métodos de instalación, uno local, para un único servidor y otro con orientación cliente-servidor, donde los Agentes desplegados mandan las alertas a un servidor central con funciones de Manager.
El manager recibe y se comunica con los agentes mediante el puerto 1514/udp, por el que se transmiten los registros de forma cifrada (blowfish) y comprimida (zlib).
La aplicación se compone de varios servicios con distintas funciones cada uno de ellos y que serán usados según la configuración. Los más importantes son:
La instalación por defecto se realiza en el directorio /var/ossec. Del que cuelga la configuración en el archivo /var/ossec/etc/ossec.conf.
Los decoders de cada uno de los logs se encuentran en formato XML en el directorio /var/ossec/rules/ y tienen el siguiente aspecto:
Las alertas se almacenan por defecto en /var/ossec/logs/alerts.log, aunque está desplegado un gran número de agentes, es recomendable guardarlas en base de datos. De la que podrán ser procesados con alguna de las consolas existentes.
La aplicación se compone de varios servicios con distintas funciones cada uno de ellos y que serán usados según la configuración. Los más importantes son:
- syscheckd: se encarga de ejecutar los análisis de integridad.
- logcollector: recoge todos los logs del sistema, ya sean de syslog, ficheros planos, eventos de windows, etc.
- agentd: envía los registros al manager remoto.
- execd: ejecuta las respuestas activas (bloqueo de direcciones IP)
- remoted: recibe los logs de los agentes remotos.
- analysisd: proceso principal, se encarga de todo el análisis.
- maild: manda correos electrónicos con las alertas.
La instalación por defecto se realiza en el directorio /var/ossec. Del que cuelga la configuración en el archivo /var/ossec/etc/ossec.conf.
Los decoders de cada uno de los logs se encuentran en formato XML en el directorio /var/ossec/rules/ y tienen el siguiente aspecto:
Las alertas se almacenan por defecto en /var/ossec/logs/alerts.log, aunque está desplegado un gran número de agentes, es recomendable guardarlas en base de datos. De la que podrán ser procesados con alguna de las consolas existentes.
6 comments :
Buenos dias!
Esta guapo el programa, aunque me recuerda mucho a Fail2ban. Si bien su estructura es diferente, a nivel de estudio y reacción de logs, cual crees que es más eficaz?
Muy interesante, habra que probarlo XD
En mi proyecto de grado, lo hicimos reportar contra Prelude que operaba como consola central.
Es interesante, dado que existen agentes para Windows y Linux, pudiéndose tener un amplio panorama de situación.
Muy bueno su blog!
Me gustaria ver sus publicaciones en Hogar del Ocio.
Saludos
Integrado en OSSIM Alienvault funciona bastante bien, http://www.alienvault.com/ un SIEM recomendadisimo.
Ossec es una passada.... Muchas empresas grandes de Barcelona lo tienen
Publicar un comentario en la entrada