22 noviembre 2012

OSSEC: Introducción


OSSEC es un Host IDS opensource que incluye características que lo convierten en una herramienta muy interesante para asegurar un sistema, ya sea de la familia Unix o Windows.

Nace como sistema de detención de intrusos basado en logs (LIDS o Log-based Intrusion Detection System)  pero en la actualidad ha evolucionado incluyendo otras funciones, entre ellas:
  • Control de integridad de ficheros: verifica que los ficheros relevantes del sistema no sean alterados de forma no gestionada.
  • Control de integridad del registro: igual al anterior, pero para claves del registro. De esta forma se puede monitorizar si se añade un nuevo servicio, y se conecta un dispositivo USB, si se agrega una aplicación para que arranque al inicio de windows, etcéterra.
  • Detección de rootkits: está basado en firmas y es un poco básico. No es tan completo como algunas soluciones específicas como unhide, rkhunter o chkrootkit.
  • Respuesta activa: actuando como IPS, puede añadir reglas al firewall para bloquear hosts que generen eventos determinados.
Aunque la parte más relevante es el análisis y sistema de alertas basado en los logs, para los que dispone de decenas de decodificadores que los procesará con lógica.

Existen dos métodos de instalación, uno local, para un único servidor y otro con orientación cliente-servidor, donde los Agentes desplegados mandan las alertas a un servidor central con funciones de Manager.

El manager recibe y se comunica con los agentes mediante el puerto 1514/udp, por el que se transmiten los registros de forma cifrada (blowfish) y comprimida (zlib).

La aplicación se compone de varios servicios con distintas funciones cada uno de ellos y que serán usados según la configuración. Los más importantes son:
  • syscheckd: se encarga de ejecutar los análisis de integridad.
  • logcollector: recoge todos los logs del sistema, ya sean de syslog, ficheros planos, eventos de windows, etc.
  • agentd: envía los registros al manager remoto.
  • execd: ejecuta las respuestas activas (bloqueo de direcciones IP)
  • remoted: recibe los logs de los agentes remotos.
  • analysisd: proceso principal, se encarga de todo el análisis.
  • maild: manda correos electrónicos con las alertas.

La instalación por defecto se realiza en el directorio /var/ossec. Del que cuelga la configuración en el archivo /var/ossec/etc/ossec.conf.

Los decoders de cada uno de los logs se encuentran en formato XML en el directorio /var/ossec/rules/ y tienen el siguiente aspecto:


Las alertas se almacenan por defecto en /var/ossec/logs/alerts.log, aunque está desplegado un gran número de agentes, es recomendable guardarlas en base de datos. De la que podrán ser procesados con alguna de las consolas existentes.

9 comments :

Ignasi dijo...

Buenos dias!


Esta guapo el programa, aunque me recuerda mucho a Fail2ban. Si bien su estructura es diferente, a nivel de estudio y reacción de logs, cual crees que es más eficaz?

Angel Alvarez Nuñez dijo...

Muy interesante, habra que probarlo XD

Waldemar Pera dijo...

En mi proyecto de grado, lo hicimos reportar contra Prelude que operaba como consola central.
Es interesante, dado que existen agentes para Windows y Linux, pudiéndose tener un amplio panorama de situación.

Hogar del Ocio dijo...

Muy bueno su blog!

Me gustaria ver sus publicaciones en Hogar del Ocio.

Saludos

_Ozwald dijo...

Integrado en OSSIM Alienvault funciona bastante bien, http://www.alienvault.com/ un SIEM recomendadisimo.

alguien_de_bcn dijo...

Ossec es una passada.... Muchas empresas grandes de Barcelona lo tienen

John Luther dijo...

si usted necesita un préstamo urgente y genuina para pagar sus facturas a volver a nosotros a través de correo electrónico como johnlutherloanfirm1@outlook.com y podemos ayudarle con un préstamo
¡gracias
saludos

Alex Moore dijo...

Este mensaje está dirigido a las personas , a los pobres , o para todos aquellos que están en necesidad de un préstamo en particular para reconstruir sus vidas. Usted está buscando préstamos para reactivar sus actividades , ya sea para un proyecto, ya sea para comprar un apartamento, pero se le prohíbe Banco o en la carpeta en verano rechazaron Bank. Soy un particular, I ofrece préstamos que van desde 3.000 a 50.000.000 personas capaces de cumplir con las condiciones . Yo no soy un banco y yo no requiere muchos documentos para confiar en ti, pero tienes que ser una persona justa, honesta , inteligente y confiable. I otorga préstamos a personas con vida en toda Europa y en todo el mundo ( Francia, Bélgica, Suiza , Rumania , Italia, España , Canadá, Portugal , India , Mauricio, ... ) . Mi tasa de interés es el año del 2%. Si usted necesita el dinero por otras razones , no dude en ponerse en contacto conmigo para obtener más información. Estoy a su disposición para satisfacer a mis clientes en una duración de hasta 5 días del recibo de su formulario de solicitud. Si usted está interesado , por favor póngase en contacto con nosotros por correo electrónico para obtener más información (am.credito@blumail.org)

Gracias

Paul Zunckel dijo...

Si usted está cansado de Préstamos e Hipotecas bancos y otras instituciones financieras están buscando, o han sido rechazadas constantemente por el esquema de micro-finanzas. Esta es la tasa de interés de 5,000 Mensual Mínimo y máximo 500,000.00 que oscila entre el 2% de crédito Deliver es para informarle que con 100% de garantía. Damos CRÉDITOS para mejorar el negocio. a / expansión de los negocios una ventaja competitiva. Contamos con la certificación de confianza, fiable, eficiente, dinámico rápido y asegúrese de descansar. Cooperación es el financiero de bienes raíces y todos los tipos de financiación, tenemos un préstamo a largo plazo por lo menos cinco a cincuenta años y que damos todo el interés y permiten calcular y se pagará anualmente. Tenemos los siguientes tipos de préstamos que se ofrecen y muchos más; * Préstamos Personales (sin garantía de préstamo) * Préstamos Comerciales (préstamo sin garantía) * Préstamo de Consolidación * Combinación de Préstamo * Promoción de Obra Para buscar puntos de contacto e-mail Nombre: Paul Zunckel E-mail: asdafinance@outlook.com.com