miércoles, 27 de abril de 2011

Tutorial: Configurando Ossec + Interfaz Web en Debian Squeeze

Ossec es un HIDS, es decir, un Host Intrusion Detection System, o lo que es lo mismo, un sistema de detección de intrusos. En inglés da más cague, en español suena como más relajado.

Este programilla, dicho fácilmente, nos protege el ordenador. Pero es distinto a un antivirus o firewall. El antivirus nos protege y borra virus, y los firewalls cortan conexiones no autorizadas. Sin embargo un HIDS lo que hace es detectar comportamientos extraños, tanto en el propio equipo o la red, y a partir de ahí tomar decisiones como avisar al administrador con un email o cortar una conexión.

Por ejemplo, si un usuario intenta loguearse en la máquina demasiadas veces puede banearlo unos minutos de la máquina, o si hay muchas conexiones de alguien que nos quiere tirar abajo el servidor con un ataque dDos, puede a partir de ese momento rechazar el tráfico de esa IP automáticamente y evitar que ese malandrín nos siga molestando.

Todo ello lo hace mirando los logs periódicamente, así que es importante que tengamos bien configurado nuestro rsyslog.

Además puede comprobar el sistema de archivos al estilo tripwire, y avisarnos de los cambios que se hacen, archivos que se borran, se añaden al sistema, es decir, el sueño de todo administrador de sistemas.

Para instalarlo(como root):

wget http://www.ossec.net/files/ossec-hids-latest.tar.gz
tar -zxvf ossec-hids-*.tar.gz
cd ossec-hids-*

./install.sh


Yo elegí la instalación local

/var/ossec/bin/ossec-control start

Ahora instalamos la interfaz web. Necesitamos apache2 y php5

apt-get install php5 apache2 php5-cgi
wget http://www.ossec.net/files/ui/ossec-wui-0.3.tar.gz
tar -zxvf ossec-wui-0.3.tar.gz
mv ossec-wui-0.3 /var/www/ossec-wui
cd /var/www/ossec-wui
./setup.sh


Añadimos el usuario al grupo ossec

vi /etc/group
..
De:
ossec:x:1001:
A:
ossec:x:1001:www-data


chmod 770 tmp/
chgrp www-data tmp/
/etc/init.d/apache2 restart


Abrimos con el explorador http://127.0.0.1/ossec-wui/

Para proteger dicho directorio con contraseña, hacemos:

vi /etc/apache2/httpd.conf

Y añadimos

<Directory /var/www/ossec-wui/>
AllowOverride All
</Directory>


Que hará que el .htaccess empiece a funcionar.

Espero que os haya sido útil, a mí me servirá de chuleta en el futuro.

Nos vemos.

4 comentarios:

  1. Hola, me ha parecido interesante el artículo, no tenía conocimiento de estos tipos de sistemas y me parecen más interesantes que un aivirus, sobre todo hablando de linux.
    Voy a ver el código a ver si veo algo más sobre su funcionamiento y también buscarle las cosquillas que algún bug tiene que haber por ahí. Un saludo!

    PD:Tu estuviste en la gsic de coruña no?¿

    ResponderEliminar
  2. Sí, es algo bastante poderoso la verdad.

    Hay muchos Uxíos sueltos por el mundo. xD

    Un saludo.

    ResponderEliminar
  3. Sí, es un tema muy interesante la verdad, aunque bueno, por ejemplo el NOD32 en Windows te detecta este tipo de cosas, así como también cambios en la integridad del sistema de ficheros, etc. (ESET SMART SECURITY, para ser más precisos).

    Solo que realmente en Linux sabes lo que estás haciendo y cómo.

    En cuanto a la GSIC, creo que hay muchos Uxíos por ahí sueltos...

    Salu2

    ResponderEliminar
  4. Si sí pero no que le den a la seguridad informática ;)

    ResponderEliminar