terça-feira, 28 de fevereiro de 2012

Configurando o agente do Ossec HIDS no Windows server

A instalação do Ossec no Windows é bastante intuitiva porém alguns ajustes são necessários para garantir sua total eficiência. Após conclui-la é necessário registrar o host no Ossec Server permitindo assim a comunicação entre ambos. No servidor execute os seguintes passos
 Execute o manage_agents

/var/ossec/bin/manage_agents
**************************************** *
OSSEC HIDS v2.6 Agent manager.
* *The following options are available:
* ****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit. Choose your action: A,E,L,R or Q: [ Digite A para adicionar um agente ] - Adding a new agent (use '\q' to return to the main menu).
Please provide the following:
* A name for the new agent: teste [ Digite o nome do agente ]
* The IP Address of the new agent: xxx.xxx.xxx.xxx [ Digite o IP do agente ]
* An ID for the new agent[001]: [ Pressione ENTER ou informe um ID ] Agent information: ID:001 Name:W2k3 IP Address:192.168.0.2
Confirm adding it?(y/n): y [ Digite 'y' ] Agent added.

**************************************** *
OSSEC HIDS v2.6 Agent manager.
* * The following options are available:
* ****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit. Choose your action: A,E,L,R or Q: E [ Digite 'E' para obter a chave do agente ]
Available agents: ID: 001, Name: teste, IP: 192.168.0.2
Provide the ID of the agent to extract the key (or '\q' to quit): 001 [ Informe o ID do agente ]

Agent key information for ’001′ is: [ Guarde esta chave para adicionar na configuração do agente ] MDAxIHRlc3RlIDE3Mi4xNi4wLjYgZmRkMDRiM2EyNThlYWM0ZWQ5ODU1NWZmNGY0NjM3YTVjMDI2MzA5NTg1Y2M5NjgyODczNjIxMTdiMzhlZWFlYw==

Reinicie o Ossec Server
/var/ossec/bin/ossec-control restart
Adicione no agente o ip do Ossec Server e a chave gerada anteriormente.
 Por padrão o agente do Windows faz a leitura dos logs do 1o virtual host ( W3SVC1 até W3SVC254 para WEB, MSFTPSVC1 até MSFTPSVC254 para FTP e SMTPSVC1 até SMTPSVC254 para SMTP). Está configuração padrão não atente na maioria dos casos, por isso é necessário ajustar tanto o IIS quanto o Ossec. NO IIS Execute os seguintes passos em todos o VHOSTS existentes tanto para WEB quanto para FTP 1 - Marque as opções 1 e 2 como mostra a tela abaixo:

img1
 Guarde o caminho do arquivo de log ( LOG FILE NAME ) que na imagem acima é W3SVC767321757\exyymmdd.log. Iremos adicionar está informação no arquivo de configuração do agente. 2 - Clique na aba AVANÇADO marcando todas as opções existentes.

  img2

  NO AGENTE DO OSSEC 1 - Inicie o Agent Manager e clique em VIEW -> VIEW CONFIG Adicione a seguinte XML TAG no final do arquivo informando os diretórios apresentados anteriormente pelo IIS. Repita toda a TAG para cada diretório.
<!-- IIS log file -->
<ossec_config>
  <localfile>
    <location>C:\WINDOWS\System32\LogFiles\W3SVC767321757\ex%y%m%d.log</location>
    <log_format>iis</log_format>
  </localfile>
</ossec_config>
Após executar os passos acima reinicie o agente acompanhando seu log e os alertas.

 -- Alexandro Silva (Alexos)

Um comentário:

  1. Muito boa sua postagem, ajudou muitíssimo no meu trabalho de Segurança de Redes.
    Tenho um blog onde costumo publicar alguma coisa também, como estudante.

    Sinta-se a vontade em fazer uma visita.

    http://capixabapensador.blogspot.com.br/

    ResponderExcluir