Überwachen von OSSEC-Agenten mit einem OSSEC-Server unter Ubuntu 14.04

OSSEC ist ein Open-Source-Host-basiertes Intrusion-Detection-System (HIDS), das Protokollanalysen, Integritätsprüfungen, die Überwachung der Windows-Registrierung, die Erkennung von Rootkits, zeitbasierte Warnungen und aktive Reaktionen durchführt. Es ist die Anwendung, die auf Ihrem Server installiert werden muss, wenn Sie ein Auge darauf haben möchten, was darin geschieht. OSSEC wird unter Windows und allen Unix-ähnlichen Betriebssystemen unterstützt. Auf den in diesem Tutorial verwendeten Droplets wird jedoch Ubuntu 14.04 ausgeführt.

OSSEC kann so installiert werden, dass nur der Server überwacht wird, auf dem es installiert ist. Dies ist eine lokale Installation in OSSEC. Die beiden vorherigen Tutorials zu OSSEC sind Beispiele für lokale OSSEC-Installationen: https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-ossec-security-notifications-on-ubuntu-14-04 [So installieren und konfigurieren Sie OSSEC-Sicherheitsbenachrichtigungen unter Ubuntu 14.04] und How To Installieren und konfigurieren Sie OSSEC unter FreeBSD 10.1.

OSSEC kann auch verwendet werden, um Tausende anderer Server zu überwachen, die als OSSEC * Agenten * bezeichnet werden. OSSEC-Agenten werden von einer anderen Art von OSSEC-Installation überwacht, die als OSSEC * -Server * bezeichnet wird. Nachdem ein OSSEC-Server zur Überwachung eines oder mehrerer Agenten konfiguriert wurde, können jederzeit weitere Agenten hinzugefügt oder entfernt werden. Die Überwachung von OSSEC-Agenten kann über auf den Agenten installierte Agentensoftware oder über einen agentenlosen Modus erfolgen. In diesem Lernprogramm wird der Agentenmodus verwendet, bei dem die OSSEC-Agentensoftware auf den Agenten installiert wird.

In diesem Lernprogramm erfahren Sie, wie Sie einen OSSEC-Server und einen OSSEC-Agenten installieren und dann den Server und den Agenten so konfigurieren, dass der Server den Agenten überwacht und der Server Warnmeldungen an Ihre E-Mail sendet.

Um dieses Lernprogramm abzuschließen, benötigen Sie Folgendes.

Wir beginnen mit dem Herunterladen und Überprüfen von OSSEC auf beiden Droplets (dem Server und dem Agenten). Alle Befehle in diesem Schritt sollten auf beiden Droplets ausgeführt werden, sofern nicht anders angegeben.

OSSEC wird als komprimierter Tarball ausgeliefert. In diesem Abschnitt laden Sie OSSEC und die zugehörige Prüfsummendatei herunter, mit der überprüft wird, ob der Tarball manipuliert wurde. Melden Sie sich zunächst wie gewohnt beim Server an und aktualisieren Sie dann die Paketdatenbank.

Installieren Sie alle verfügbaren Updates.

Installieren Sie abschließend die erforderlichen Pakete.

Auf dem * Server * sollten Sie Folgendes installieren:

Auf dem * Agent * sollten Sie Folgendes installieren:

Laden Sie anschließend auf beiden Droplets OSSEC und die zugehörige Prüfsummendatei herunter. Sie können auf der Website projects nach der neuesten Version suchen. Die folgenden Versionen sind jedoch zum Zeitpunkt des Schreibens aktuell.

Überprüfen Sie nach dem Herunterladen beider Dateien die MD5-Summe des komprimierten Tarballs.

Die Ausgabe sollte sein:

Überprüfen Sie anschließend die SHA1-Prüfsumme.

Seine Ausgabe sollte sein:

Ignorieren Sie in jedem Fall die Zeile * WARNING *. Die Zeile * OK * bestätigt, dass die Datei fehlerfrei ist.

In diesem Schritt installieren wir den OSSEC * Server *, daher sollten diese Befehle nur auf einem Droplet ausgeführt werden. Entpacken Sie den Server, bevor Sie mit der Installation beginnen.

Es wird in ein Verzeichnis mit dem Namen "+ ossec-hids-2.8.1 +" entpackt. Wechseln Sie in dieses Verzeichnis.

Starten Sie dann die Installation.

Während des gesamten Installationsvorgangs werden Sie aufgefordert, Eingaben zu machen. In den meisten Fällen müssen Sie nur * ENTER * drücken, um die Standardwerte zu akzeptieren.

Die erste Wahl, zu der Sie aufgefordert werden, ist die Auswahl der Installationssprache. Standardmäßig ist es Englisch (en). Drücken Sie daher * ENTER *, wenn dies Ihre bevorzugte Sprache ist. Andernfalls geben Sie die 2 Buchstaben aus der Liste der unterstützten Sprachen ein.

In der nächsten Frage werden Sie gefragt, welche Art von Installation Sie wünschen. Hier geben Sie * server * ein.

Für den Rest der folgenden Fragen können Sie die Standardeinstellungen übernehmen, dh nur * ENTER * drücken. Geben Sie für die Frage per E-Mail eine gültige E-Mail-Adresse ein. Benachrichtigungen werden an diese gesendet.

Wenn die Installation erfolgreich ist, sollten Sie diese Ausgabe erhalten:

Drücken Sie dann * ENTER * und Sie sollten folgendes sehen:

Da der Agent noch nicht installiert ist, müssen Sie ihn später zum Server hinzufügen. Konfigurieren Sie zunächst den Server, um sicherzustellen, dass Warnungen gesendet werden können.

Hier konfigurieren wir die E-Mail-Einstellungen des OSSEC-Servers und stellen sicher, dass dieser Benachrichtigungen an die angegebene E-Mail senden kann. Um auf die Dateien und Verzeichnisse von OSSEC zuzugreifen und diese zu ändern, müssen Sie zum Root-Benutzer wechseln.

Nun, da Sie root sind, geben Sie "+ cd +" in das Verzeichnis ein, in dem sich die OSSEC-Konfigurationsdatei befindet.

Die Konfigurationsdatei lautet "+ ossec.conf +". Erstellen Sie zunächst eine Sicherungskopie.

Dann öffnen Sie das Original. Hier verwenden wir den Texteditor "+ nano +", aber Sie können verwenden, was Sie bevorzugen.

Die E-Mail-Einstellungen befinden sich oben in der Datei. Hier finden Sie Beschreibungen der zu ändernden Felder, gefolgt von einer Beispieldatei + ossec.conf +.

Beachten Sie, dass * <email_to \> * und * <email_from \> * identisch sein können. So sieht dieser Abschnitt aus, wenn Sie fertig sind. Ersetzen Sie die Variablen in Rot durch Ihre eigenen.

Speichern und schließen Sie die Datei, nachdem Sie die E-Mail-Einstellungen geändert haben. Dann starten Sie OSSEC.

Überprüfen Sie Ihren Posteingang auf eine E-Mail, die besagt, dass OSSEC gestartet wurde. Überprüfen Sie Ihren Spam-Ordner, wenn Sie die E-Mail nicht sehen.

In diesem Abschnitt erfahren Sie, wie Sie den OSSEC * Agent * auf Ihrem zweiten Droplet installieren. Dies ähnelt der Installation des Servers. Bevor Sie mit der Installation des Agenten beginnen, entpacken Sie ihn.

Es wird in ein Verzeichnis mit dem Namen "+ ossec-hids-2.8.1 +" entpackt. Wechseln Sie in dieses Verzeichnis.

Starten Sie dann die Installation.

Die meisten Eingabeaufforderungen sind dieselben wie zuvor, einige unterscheiden sich jedoch. Auf die Frage:

Die Antwort sollte * agent * sein. Und wenn gefragt:

Geben Sie die IP-Adresse des OSSEC-Servers ein, die Sie zuvor erhalten haben. Dies ist die IP-Adresse des anderen Droplets (diejenige, auf der der OSSEC-Server installiert wurde).

Akzeptieren Sie bei den anderen Fragen die Standardeinstellungen, indem Sie * ENTER * drücken, wie Sie es während der Installation des OSSEC-Servers getan haben. Nach der Installation sollten Sie diese Ausgabe erhalten:

Und nachdem Sie * ENTER * erneut gedrückt haben, sollten Sie Folgendes sehen:

Jetzt wurden der Agent und der Server installiert, sie können jedoch noch nicht kommunizieren.

Starten Sie auf dem OSSEC-Server den Prozess zum Hinzufügen des Agenten.

Daraufhin werden die unten gezeigten Optionen angezeigt. Wählen Sie * a *, um einen Agenten hinzuzufügen.

Anschließend werden Sie aufgefordert, einen Namen für den Agenten, seine IP-Adresse und eine ID anzugeben. Stellen Sie den Namen eindeutig ein, da dies beim Filtern der vom Server empfangenen Warnungen hilfreich ist. Für die ID können Sie die Standardeinstellung übernehmen, indem Sie * ENTER * drücken.

Wenn Sie alle drei Felder eingegeben haben, geben Sie zur Bestätigung * y * ein.

Danach kehren Sie zum Hauptmenü zurück. Nun müssen Sie den Schlüssel des Agenten extrahieren, der auf dem Bildschirm wiedergegeben wird. (Es unterscheidet sich von dem im folgenden Beispiel.) Vergewissern Sie sich, dass Sie es kopieren, da Sie es für den Agenten eingeben müssen.

Nach dem Drücken von * ENTER * kehren Sie wieder zum Hauptmenü zurück. Geben Sie zum Beenden * q * ein.

Dieser Abschnitt muss auf dem Agenten ausgefüllt werden. Dabei wird der auf dem Server extrahierte Schlüssel des Agenten importiert (kopiert) und auf dem Terminal des Agenten eingefügt. Wechseln Sie zu root, indem Sie Folgendes eingeben:

Dann tippe:

Folgende Optionen werden angezeigt:

Befolgen Sie nach der Eingabe der richtigen Option die Anweisungen zum Kopieren und Einfügen des vom Server generierten Schlüssels.

Zum Verlassen des Hauptmenüs geben Sie * q * ein:

Die Kommunikation zwischen Agent und Server erfolgt über den UDP-Port 1514, daher müssen Sie iptables auf beiden Seiten eine Regel hinzufügen, um den Datenverkehr über diesen Port zuzulassen.

Entfernen Sie zunächst vorübergehend die Drop-Regel sowohl auf dem Agenten als auch auf dem Server.

Geben Sie Folgendes ein, um die Regel dem OSSEC * -Server * hinzuzufügen, und verwenden Sie dabei die IP-Adresse Ihres OSSEC-Agenten.

Geben Sie dann auf dem * Agenten * Folgendes unter Verwendung der IP Ihres OSSEC-Servers ein.

Lassen Sie als Nächstes den gesamten ausgehenden Datenverkehr durch die Firewall sowohl auf dem Agenten als auch auf dem Server zu.

Fügen Sie abschließend die Drop-Regel erneut zu beiden hinzu.

Diese Regeln sollten nach einem Neustart aufgrund von "+ iptables-persistant +", das Sie während der Voraussetzungen installiert haben, bestehen bleiben.

Nachdem der Server und der Agent für die Kommunikation konfiguriert wurden, starten Sie beide neu, um die Änderungen zu übernehmen. Verwenden Sie dazu:

Abgesehen davon, dass Sie den OSSEC-Agenten vom Agenten selbst aus neu starten können, können Sie ihn auch mit + / var / ossec / bin / agent_control -R + vom OSSEC-Server aus neu starten, wobei * 001 * die ID des Agenten ist.

Auf dem OSSEC-Server können Sie die aktiven Agenten auflisten, indem Sie Folgendes eingeben:

Wenn Sie eine Ausgabe wie die folgende erhalten, wissen Sie, dass der Server und der Agent miteinander kommunizieren.