Налаштування OSSEC і OpenVAS для безпеки IDS / IPS - Як

Налаштування OSSEC і OpenVAS для безпеки IDS / IPS

Мені довелося налаштувати систему під керуванням Windows Server 2008 R2 з IIS 7.5 для розміщення веб-розкладу моєї компанії. Хоча це за брандмауером Cisco ASA 5505 з деякими IDS, я хотів би піти ще один крок і отримати оповіщення про загрози, а також деякий рівень відповіді від сервера. Як завжди, у мене немає бюджету ні на що. Мені знадобилося тиждень, і багато пошуків, щоб отримати все налаштування, так що цей довідник частково компілює все, що я зробив, залишаючи всю погану / непотрібну інформацію, яку я знайшов і використовуючи хороше, і деякі фіксації я зробив.

Ми будемо використовувати OSSEC (хост-орієнтований IDS) і OpenVAS (сканер уразливостей; відкрите джерело Nessus). Я використовував Ubuntu Server 10.04 для OSSEC і Ubuntu 10.04 для OpenVAS.

Загалом 7 кроків

Крок 1. Налаштуйте Windows Server і брандмауер

Я використовую ESXi, тому я створив машину з специфікаціями, які мені потрібні для Server 2008 R2. Це було поміщено в DMZ на ASA. Я не буду вдаватися до багатьох деталей, але мої ACL дуже тісні - внутрішня мережа може отримати доступ тільки до сервера на конкретних портах, DMZ має вихідний ACL, який дозволяє лише веб і DNS, а також брандмауер Windows дозволяйте тільки те, що мені потрібно.

Крок 2: Встановлення та оновлення Ubuntu

У моєму випадку я використав дві віртуальні машини Ubuntu - одну з Ubuntu Server 10.04 64-бітної в DMZ, а одну - 10.04 Desktop 64-bit на внутрішній LAN. Це пов'язано з тим, що агент OSSEC потребує прямого доступу до менеджера, і я не хотів дозволяти трафік від DMZ всередину, тому я зробив сервер окремою машиною. Вони можуть бути однією машиною, хоча OpenVAS, ймовірно, простіше з графічним інтерфейсом (якого сервера Ubuntu немає).

Коли Ubuntu встановлено, виконайте "sudo apt-get update" та "sudo apt-get dist-upgrade", щоб отримати всі оновлення.

Крок 3: Встановіть OSSEC і агент

OSSEC працює на Linux для менеджера, але клієнт може бути Linux або Windows. Вам знадобиться компілятор - на Ubuntu я вважаю найпростішим захопити важливий для збирання пакет:

sudo apt-get install build-essential

Щоб отримати OSSEC, перейдіть на сторінку http://www.ossec.net/main/downloads/ і завантажте версію Linux для сервера (це теж потрібно для клієнтів Linux). Візьміть агента Windows, якщо вам це потрібно.

На Linux витягніть стиснутий файл:

tar -xzvf ossec-hids-2.4.1.tar.gz

Введіть каталог і виконайте такі дії:

sudo ./install.sh

Ви хочете встановити його як серверну інсталяцію, вкажіть адресу електронної пошти, якщо ви хочете оповіщення, але більшість інших параметрів за замовчуванням має працювати.

OSSEC має додатковий (але корисний) веб-інтерфейс для його використання:

sudo apt-get встановлює apache2 libapache2-mod-php5

Для встановлення веб-інтерфейсу найпростіше використовувати інструкції OSSEC: http://www.ossec.net/main/manual/wui-ubuntu/

Після встановлення менеджера виконайте такі дії:

sudo / var / ossec / bin / manage_agents

Виберіть "додати агента", назвіть відповідним чином, і оберіть ідентифікатор (що б ви не хотіли, за замовчуванням добре). Перезапустіть службу (/etc/init.d/ossec restart). Потім витягніть ключ агента та скопіюйте його. Над в Windows встановіть агент і введіть менеджер сервера IP і ключ, і перезапустіть службу. У цей момент клієнт і менеджер повинні говорити. Якщо ви використовували веб-інтерфейс, слід вказати агент Windows. Якщо вихідний порт 25 відкритий, ви також отримаєте повідомлення електронної пошти про події, які відповідають досить серйозному рівню.

Цей крок може бути вибагливим. Якщо ви зіткнетеся з помилками, видаліть агента з сервера, створіть новий ідентифікатор, змініть ідентифікатор агента і перезапустіть всі служби.

Крок 4. Увімкніть активну відповідь


Щоб отримати активні відповіді для OSSEC, використовуйте наступне: http://www.ossec.net/main/manual/manual-active-response-on-windows/

Зауважте, однак, існує кілька виправлень для сценарію route-null.cmd (у C: Програмні файли (x86), осек-агент, активний-відповідь).

Для Server 2008 див. Тут: http://www.mail-archive.com/[email protected]/msg07175.html Ви також можете використовувати останню версію знімка, оскільки вона виправлена.

Для Server 2008 R2 знімок не виправив. Мені вдалося змусити його працювати, див. Тут: http://community.spiceworks.com/topic/107207?page=1#entry-482856

На сервері менеджера, "sudo / var / ossec / bin / agent_control -b 1.2.3.4 -f win_nullroute600 -u 001" (де 001 є ідентифікатором агента) слід null маршруту адреса 1.2.3.4 протягом десяти хвилин.

Крок 5. Встановіть OpenVAS


Для OpenVAS є пакунок у сховищах Ubuntu, тому компіляція не потрібна. Вам потрібно виконати такі дії:

sudo apt-get встановити libopenvas2-dev libopenvasnasl2 libopenvasnasl2-dev open-сервер-dev libgnutls-dev libpcap0.8-dev бізон libgtk2.0-dev libglib2.0-dev libgpgmell-dev libssl-dev htmldoc openvas-server openvas-client

Після встановлення виконайте "sudo openvas-adduser" і створіть ім'я користувача та пароль для OpenVAS. Я залишив його на автентифікації паролем. Тепер, в Ubuntu, перейдіть до Applications - Accessories і оберіть OpenVAS Client.

Крок 6: Сканування за допомогою OpenVAS


Після того, як клієнт відкритий, підключіться до свого сервера (це може бути окрема машина, але цей посібник передбачає, що всі матеріали OpenVAS знаходяться на одній машині). Використовуйте ім’я користувача та пароль, створені за допомогою функції openvas-adduser. Після підключення перейдіть до File - Scan Assist. Це допоможе вам встановити просте сканування, яке можна повторити, запитуючи про ціль. Наприкінці повторно введіть облікові дані сервера та виконайте. Це займе деякий час. Припускаючи, що ви скануєте Windows Server з агентом, ви повинні почати отримувати оповіщення - я отримав повідомлення електронної пошти з кількома попередженнями рівня 10. t Коли це буде зроблено, у звіті буде детально описано все, що було знайдено, а також зроблено деякі пропозиції.

Крок 7: Дізнайтеся!

Цього довідника вистачить, щоб все працювало, але я знаю, що це подряпини. До цього багато чого, і це для мене нова територія. Простий факт, що є книги про ці люкси, говорить мені, що я ледве почав;) Ви, швидше за все, захочете налаштувати правила, щоб ви не отримали тон оповіщення про помилкові спрацьовування, а також періодично сканувати уразливості (а також копати в цьому більше варіантів).

Там є багато кроків, але як тільки все зроблено в правильному порядку, це досить просто налаштувати, і дуже корисно, без грошей, щоб купити що-небудь. Це далеко не остаточне рішення, але в поєднанні з хорошим брандмауером та іншими кращими практиками я відчуваю все більшу впевненість у безпеці мого сервера. Будемо сподіватися, що це буде корисним і для інших.