» OSSEC HIDS - Host Intrusion Detection System

OSSEC

Домашняя страница

OSSEC-HIDS (Open Source Host-based Intrusion Detection System) –хостовая система обнаружения атак в которой для определения атак используется несколько методов – анализ журналов систем и сервисов, проверка целостности файлов и реестра Windows, обнаружение rootkit, имеющая функциональность SIM (Security Information Management, Управление информацией безопасности)


Статьи
Установка и настройка OSSEC-HIDS

Родственные темы
Программы для проверки целостности файлов

Добавлено:
Общая схема такова:
1. Ставим OSSEC Server на Linux
2. Ставим Web GUI + Apache на том же Linux
3. На OSSEC Server добавляем агента - т.е. создаём на сервере запись что у нас будет агент.
4. Устанавливаем приложение агента на ОС которую будем отслеживать, т.е. на Windows или на Linux.
5. Настраиваем в агенте key для подключения к серверу и указываем IP или имя сервера.

Далее остаются настройки в конфигах под свои нужды.
Есть возможность конфиги настраивать центрилизовано на стороне сервера.

Есть возможность удалённой настройки агентов - Centralized agent configuration
WoO Day 3 : Meet the agent
Выполняем на стороне сервера
1. На стороне агента указываем куда смотреть на сервер
Все остальные действия выполняем на стороне сервера
2. На сервере создаём файлик, например такого содержания

Код: vi /var/ossec/etc/shared/agent.conf

Словил на 2-ух серверах 2k8 x64.

Цитата:

2012/01/05 15:04:53 ossec-rootcheck: INFO: Started (pid: 10012).
2012/01/05 15:04:53 ossec-agent: INFO: Started (pid: 10012).
2012/01/05 15:05:03 ossec-agent: WARN: Process locked. Waiting for permission...
2012/01/05 15:05:14 ossec-agent(4101): WARN: Waiting for server reply (not started). Tried: 'ossec/192.168.0.1'.
2012/01/05 15:05:16 ossec-agent: INFO: Trying to connect to server (ossec/192.168.0.1:1514).
2012/01/05 15:05:16 ossec-agent: INFO: Using IPv4 for: 192.168.0.1 .
2012/01/05 15:05:37 ossec-agent(4101): WARN: Waiting for server reply (not started). Tried: 'ossec/192.168.0.1'.

решение пока найти не удалось.

Добавлено:
Со второым из этих серверов проблема решилась.
Оказалось что при добавлении первого я ошибся с IP и указал IP второго.
В итоге у меня получилось 2 сервера с одним и тем же IP.
Удалил первый - что с неверным IP и добавил его заново с верным IP.
Перегрузил менеджера, перегрузил агента.
В результате второй агент через некоторое время подключился к серверу.

Первый агент (удалённый и пересозданный) пока никак не хочет подклбчаться к серверу.

Проблема судя по всему оказалась на строне клиента.
На нём было 2 IP и почему-то он пробовал подкючаться к серверу со второго.

Все IP-адреса, регистрируются на DNS-серверах при назначении IP-адресов для одного сетевого адаптера на компьютере под управлением Windows Server 2008 с пакетом обновления 2 или Windows Vista с пакетом обновления 2

Windows 2008 R2

Код:
netsh int ipv4 show ipaddresses level=verbose
::
netsh int ipv4 delete address "Local Area Connection" addr=192.168.0.2
::
netsh int ipv4 add address "Local Area Connection" 192.168.0.2 skipassource=true
::
netsh int ipv4 show ipaddresses level=verbose

подключил нового агента к серверу, через не которое время агент в админке становится как Inactive, а в логах агента следующее сообщение:

ossec-logcollector(2301): ERROR: Definition not found for: 'logcollector.remote_commands'.

нужна помощь

redson
OSSEC error 'remote_commands'...

slech

Цитата:

OSSEC error 'remote_commands'...

прочитал, но так и не понял, может обьясните?

redson
похоже автор пишет о файле internal_options.conf
По логике это не должно мешать агенту подключаться к серверу, а только указывает - выполнять или нет определённые действия указанные на сервере.

Вот тут говорят так же, что это вроде не должно влиять и советуют перепроверить IP и порт на агенте.
Пишут что на 2.6 всё работает, а вот на 2.7 нет. И что проблема на Windows агентах.

slech

у меня агенты установлены на debian 7, а серверная часть тоже на debian. Ставил сразу версию 2.7. Агенты соединяются с сервером и где то через 1 час примерно, не доступны. В админке они как - Inactive. В консоли сервера OSSEC проверяю агента:

/var/ossec/bin/agent_control -i 001

OSSEC HIDS agent_control. Agent information:
Agent ID: 001
Agent Name: srv01
IP address: 192.168.202.4
Status: Disconnected

а после рестарта агента он доступен на сервере ?

да, после рестарта он доступен и через некоторое время около 1 часа, он обратно неюоступен

Добавлено:
вот лог рестарта:

root@srv01:/var/ossec/bin/ossec-control restart

ossec-logcollector not running ..
ossec-syscheckd not running ..
Killing ossec-agentd ..
Killing ossec-execd ..
OSSEC HIDS v2.7 Stopped
Starting OSSEC HIDS v2.7 (by Trend Micro Inc.)...
Started ossec-execd...
Started ossec-agentd...
2013/07/25 14:43:31 ossec-logcollector(2301): ERROR: Definition not found for: 'logcollector.remote_commands'.

Решил данную проблему. Добавил в файл /var/ossec/etc/internal_options.conf, следующий параметр:

# Logcollector - If it should accept remote commands from the manager
logcollector.remote_commands=0

его почему то не было в конфиге. Может кому то поможет)

redson

Код: logcollector.remote_commands=0

Allow the agents to run commands defined in agent.conf.

Allowed: 0,1

Default: 0

slech

Цитата:

Хорошо, что помогло, но странно оно как-то - вроде умолчательно значение и есть 0.

дело в том, что на контролируемые сервера я ставил скомпилироанный под ubuntu deb пакет, брал отсюда launchpad.net. А там файл internal_options.conf, был почему то от версии 2.6, где как раз нет строчки logcollector.remote_commands=0.

Добавлено:
slech

вопрос:

№1 - можно как нибудь в ossec отключить все функции кроме, проверки хеша файлов. Мне как раз нужно мониторинг только изменения контрольных сумм файлов. Остальные сообщение от встроенной IDS, засоряют экран.

№2 - есть возможность интеграции с системой zabbix ?

redson
Уже давно отошёл от этого приложения и к сожалению не подскажу точно, что и где подправить.

1. Точно возможно - нужно смотреть как. Я использовал централизованное управление с конфига на сервере.
2. Смотрите Syscheck
3. Я вроде тоже задачался этим вопросом, но так и не решил его. Вот, что есть в сети: http://blog.zzservers.com/2010/04/zabbix-ossec-open-source-compliance-and-security-monitoring/

а какое приложение используете, сейчас?

отключаем все функции кроме, проверки хеша файлов. Может кому поможет. Вот мое решение:

будет работать только Syscheck (проверка хеша файлов):

правим файл /var/ossec/etc/ossec.conf

находим блок rules:

закоментировать все правила кроме rules_config.xml и ossec_rules.xml, вот таким вот символом <!-- include>навзвание_правила.xml</include> -->

пример:

<rules>
<include>rules_config.xml</include>
.......
<!-- include>solaris_bsm_rules.xml</include> -->
<!-- include>vmware_rules.xml</include> -->
<!-- include>ms_dhcp_rules.xml</include> -->
<!-- include>asterisk_rules.xml</include> -->
.......
<include>ossec_rules.xml</include>

</rules>