22 noviembre 2012

OSSEC: Introducción


OSSEC es un Host IDS opensource que incluye características que lo convierten en una herramienta muy interesante para asegurar un sistema, ya sea de la familia Unix o Windows.

Nace como sistema de detención de intrusos basado en logs (LIDS o Log-based Intrusion Detection System)  pero en la actualidad ha evolucionado incluyendo otras funciones, entre ellas:
  • Control de integridad de ficheros: verifica que los ficheros relevantes del sistema no sean alterados de forma no gestionada.
  • Control de integridad del registro: igual al anterior, pero para claves del registro. De esta forma se puede monitorizar si se añade un nuevo servicio, y se conecta un dispositivo USB, si se agrega una aplicación para que arranque al inicio de windows, etcéterra.
  • Detección de rootkits: está basado en firmas y es un poco básico. No es tan completo como algunas soluciones específicas como unhide, rkhunter o chkrootkit.
  • Respuesta activa: actuando como IPS, puede añadir reglas al firewall para bloquear hosts que generen eventos determinados.
Aunque la parte más relevante es el análisis y sistema de alertas basado en los logs, para los que dispone de decenas de decodificadores que los procesará con lógica.

Existen dos métodos de instalación, uno local, para un único servidor y otro con orientación cliente-servidor, donde los Agentes desplegados mandan las alertas a un servidor central con funciones de Manager.

El manager recibe y se comunica con los agentes mediante el puerto 1514/udp, por el que se transmiten los registros de forma cifrada (blowfish) y comprimida (zlib).

La aplicación se compone de varios servicios con distintas funciones cada uno de ellos y que serán usados según la configuración. Los más importantes son:
  • syscheckd: se encarga de ejecutar los análisis de integridad.
  • logcollector: recoge todos los logs del sistema, ya sean de syslog, ficheros planos, eventos de windows, etc.
  • agentd: envía los registros al manager remoto.
  • execd: ejecuta las respuestas activas (bloqueo de direcciones IP)
  • remoted: recibe los logs de los agentes remotos.
  • analysisd: proceso principal, se encarga de todo el análisis.
  • maild: manda correos electrónicos con las alertas.

La instalación por defecto se realiza en el directorio /var/ossec. Del que cuelga la configuración en el archivo /var/ossec/etc/ossec.conf.

Los decoders de cada uno de los logs se encuentran en formato XML en el directorio /var/ossec/rules/ y tienen el siguiente aspecto:


Las alertas se almacenan por defecto en /var/ossec/logs/alerts.log, aunque está desplegado un gran número de agentes, es recomendable guardarlas en base de datos. De la que podrán ser procesados con alguna de las consolas existentes.

13 comments :

Ignasi dijo...

Buenos dias!


Esta guapo el programa, aunque me recuerda mucho a Fail2ban. Si bien su estructura es diferente, a nivel de estudio y reacción de logs, cual crees que es más eficaz?

Angel Alvarez Nuñez dijo...

Muy interesante, habra que probarlo XD

Waldemar Pera dijo...

En mi proyecto de grado, lo hicimos reportar contra Prelude que operaba como consola central.
Es interesante, dado que existen agentes para Windows y Linux, pudiéndose tener un amplio panorama de situación.

Hogar del Ocio dijo...

Muy bueno su blog!

Me gustaria ver sus publicaciones en Hogar del Ocio.

Saludos

_Ozwald dijo...

Integrado en OSSIM Alienvault funciona bastante bien, http://www.alienvault.com/ un SIEM recomendadisimo.

alguien_de_bcn dijo...

Ossec es una passada.... Muchas empresas grandes de Barcelona lo tienen

John Luther dijo...

si usted necesita un préstamo urgente y genuina para pagar sus facturas a volver a nosotros a través de correo electrónico como johnlutherloanfirm1@outlook.com y podemos ayudarle con un préstamo
¡gracias
saludos

Alex Moore dijo...

Este mensaje está dirigido a las personas , a los pobres , o para todos aquellos que están en necesidad de un préstamo en particular para reconstruir sus vidas. Usted está buscando préstamos para reactivar sus actividades , ya sea para un proyecto, ya sea para comprar un apartamento, pero se le prohíbe Banco o en la carpeta en verano rechazaron Bank. Soy un particular, I ofrece préstamos que van desde 3.000 a 50.000.000 personas capaces de cumplir con las condiciones . Yo no soy un banco y yo no requiere muchos documentos para confiar en ti, pero tienes que ser una persona justa, honesta , inteligente y confiable. I otorga préstamos a personas con vida en toda Europa y en todo el mundo ( Francia, Bélgica, Suiza , Rumania , Italia, España , Canadá, Portugal , India , Mauricio, ... ) . Mi tasa de interés es el año del 2%. Si usted necesita el dinero por otras razones , no dude en ponerse en contacto conmigo para obtener más información. Estoy a su disposición para satisfacer a mis clientes en una duración de hasta 5 días del recibo de su formulario de solicitud. Si usted está interesado , por favor póngase en contacto con nosotros por correo electrónico para obtener más información (am.credito@blumail.org)

Gracias

Paul Zunckel dijo...

Si usted está cansado de Préstamos e Hipotecas bancos y otras instituciones financieras están buscando, o han sido rechazadas constantemente por el esquema de micro-finanzas. Esta es la tasa de interés de 5,000 Mensual Mínimo y máximo 500,000.00 que oscila entre el 2% de crédito Deliver es para informarle que con 100% de garantía. Damos CRÉDITOS para mejorar el negocio. a / expansión de los negocios una ventaja competitiva. Contamos con la certificación de confianza, fiable, eficiente, dinámico rápido y asegúrese de descansar. Cooperación es el financiero de bienes raíces y todos los tipos de financiación, tenemos un préstamo a largo plazo por lo menos cinco a cincuenta años y que damos todo el interés y permiten calcular y se pagará anualmente. Tenemos los siguientes tipos de préstamos que se ofrecen y muchos más; * Préstamos Personales (sin garantía de préstamo) * Préstamos Comerciales (préstamo sin garantía) * Préstamo de Consolidación * Combinación de Préstamo * Promoción de Obra Para buscar puntos de contacto e-mail Nombre: Paul Zunckel E-mail: asdafinance@outlook.com.com

laura frank dijo...

hola,

Este es el público en general que la señora Laura Frank, un prestamista hipotecario privado hace una oportunidad financiera para todo el mundo para informar a la necesidad de ayuda financiera. Damos préstamos a tipo de interés del 2% a los individuos, las empresas y las empresas bajo un términos y condiciones claras y comprensibles. póngase en contacto con nosotros hoy por e-mail a: laurafrankloanfirm@gmail.com

Sr. Mark Steven dijo...

Hola,

¿Necesita un préstamo legítimo en la tasa de interés del 3% ?, Mark Steven Préstamo Firma ofrecen préstamos a los individuos y las organizaciones, Damos préstamos desde el rango de $ 5.000 a $ 10.000.000. Nuestros préstamos están bien asegurados y la máxima seguridad es nuestra prioridad, préstamos disponibles que ofrecemos son,

* Préstamos Personales (Secure y ordinarios)
* Préstamos Comerciales (Secure y ordinarios)
* Préstamo de Combinación
* Préstamo de Consolidación y muchos más:

Si usted está interesado consigue de nuevo a nosotros en la recepción de este correo electrónico habilita a proceder en la transacción, se puede llegar a través del correo electrónico: marksteven123@hotmail.com

Cordial Saludo,fffff
Sr. Mark Steven,
Consultor C.E.O / General.
FIRMA Mark Steven PRÉSTAMO.
marksteven123@hotmail.com

Smith Valentino dijo...

¿Necesita un préstamo urgente para resolver su problema financiero y también para poner en marcha su negocio o para aumentar sus instalaciones de negocios? si el contacto sí Barclays Loan Company,

por correo electrónico: barclaysnationwideloancompany@gmail.com o barclaysnationwideloan@hotmail.com

Cathrin Adams dijo...

.PARA SU RAPIDA ASEQUIBLE, PRÉSTAMO EMAIL calvinloancompany@yahoo.com

Hola, soy Cathrin Adams, que actualmente vive en Nueva Jersey City, EE.UU.. Soy una viuda en el momento con dos niños y me he quedado atrapado en una situación financiera en junio de 2015 y que necesitaba para refinanciar y pagar mis cuentas. Traté de búsqueda de préstamos de varias firmas de préstamos privados y corporativos, pero nunca con éxito, y la mayoría de los bancos decliné mi crédito. Pero como Dios quiso que me presentaron a un hombre de Dios un prestamista préstamo privado que me dio un préstamo de $ 105,000USD y hoy soy dueño de un negocio y mis hijos están haciendo bien en este momento, si tiene que ponerse en contacto con cualquier empresa con referencia a la obtención de un préstamo sin garantía, sin verificación de crédito, sin fiador con tasa de interés de sólo el 2% y mejores planes de pago y el horario, por favor póngase en contacto con el Sr. Calvin Scott. Él no sabe que estoy haciendo esto, pero soy tan feliz ahora y yo decidimos que la gente sepa más sobre él y también quiero que Dios lo bendiga more.You puede ponerse en contacto con él a través de su correo electrónico: (calvinloancompany@yahoo.com) O Tel: (313) 307-0835