Richten Sie OSSEC und OpenVAS für die IDS / IPS-Sicherheit ein - Wie Man

Richten Sie OSSEC und OpenVAS für die IDS / IPS-Sicherheit ein

Ich musste ein System einrichten, auf dem Windows Server 2008 R2 mit IIS 7.5 ausgeführt wurde, um das webbasierte Arbeitszeitblatt meines Unternehmens zu hosten. Während es sich hinter einer Cisco ASA 5505-Firewall mit einigen IDS befindet, wollte ich noch einen Schritt weiter gehen und Warnmeldungen über Bedrohungen sowie ein gewisses Maß an Antwort vom Server erhalten. Wie üblich habe ich kein Budget für irgendetwas. Ich brauchte eine Woche und viel Recherche, um alles einzurichten, so dass dieser Leitfaden zum Teil alles zusammenstellt, was ich getan habe. Alle schlechten / nutzlosen Informationen, die ich gefunden habe, und die Verwendung des Guten, und einige Korrekturen, die ich gemacht habe, weggelassen.

Wir werden OSSEC (ein Host-basiertes IDS) und OpenVAS (einen Schwachstellenscanner; den Open-Source-Zweig von Nessus) verwenden. Ich habe ein Ubuntu Server 10.04-System für OSSEC und einen Ubuntu 10.04-Desktop für OpenVAS verwendet.

7 Schritte insgesamt

Schritt 1: Richten Sie Windows Server und die Firewall ein

Ich verwende ESXi, also habe ich einen Computer mit den Spezifikationen erstellt, die ich für Server 2008 R2 benötige. Dieses wurde in einer DMZ auf der ASA platziert. Ich werde hier nicht auf viele Details eingehen, aber meine ACLs sind sehr eng - das interne Netzwerk kann nur über bestimmte Ports auf den Server zugreifen, die DMZ verfügt über eine ausgehende ACL, die nur Web und DNS zulässt, und die Windows-Firewall ist ebenfalls konfiguriert Nur zulassen, was ich brauche.

Schritt 2: Installieren und aktualisieren Sie Ubuntu

In meinem Fall habe ich zwei virtuelle Ubuntu-Maschinen verwendet - eine mit Ubuntu Server 10.04 64-Bit in der DMZ und eine mit 10.04 Desktop 64-Bit im internen LAN. Dies liegt daran, dass der OSSEC-Agent direkten Zugriff auf den Manager benötigt und ich den Datenverkehr von der DMZ nach innen nicht zulassen wollte. Daher habe ich den Server zu einer separaten Maschine gemacht. Sie könnten die gleiche Maschine sein, obwohl OpenVAS mit einer GUI (die Ubuntu Server fehlt) wahrscheinlich einfacher ist.

Wenn Ubuntu installiert ist, führen Sie ein "sudo apt-get Update" und "sudo apt-get dist-upgrade" aus, um alle Updates zu erhalten.

Schritt 3: Installieren Sie OSSEC und den Agenten

OSSEC läuft unter Linux für den Manager, der Client kann jedoch Linux oder Windows sein. Sie benötigen einen Compiler - auf Ubuntu finde ich es am einfachsten, das Build-Essential-Paket zu packen:

sudo apt-get install build-essential

Um OSSEC zu erhalten, gehen Sie zu http://www.ossec.net/main/downloads/ und laden Sie die Linux-Version für den Server herunter (dies ist auch was Sie für Linux-Clients benötigen). Besorgen Sie sich den Windows-Agenten, wenn Sie ihn benötigen.

Extrahieren Sie unter Linux die komprimierte Datei:

tar -xzvf ossec-hids-2.4.1.tar.gz

Geben Sie das Verzeichnis ein und machen Sie:

Sudo ./install.sh

Sie sollten es als Serverinstallation festlegen und eine E-Mail-Adresse angeben, wenn Sie Warnmeldungen erhalten möchten. Die meisten anderen Standardeinstellungen sollten jedoch funktionieren.

OSSEC verfügt über eine optionale (aber nützliche) Webschnittstelle.

sudo apt-get install apache2 libapache2-mod-php5

Für die Installation der Weboberfläche ist es am einfachsten, die Anweisungen von OSSEC zu verwenden: http://www.ossec.net/main/manual/wui-ubuntu/

Sobald der Manager installiert ist, führen Sie folgende Schritte aus:

sudo / var / ossec / bin / manage_agents

Wählen Sie "Agenten hinzufügen", benennen Sie ihn entsprechend und wählen Sie eine ID aus (was auch immer Sie möchten, der Standardwert ist in Ordnung). Starten Sie den Dienst neu (/etc/init.d/ossec restart). Dann extrahieren Sie den Agentenschlüssel und kopieren Sie ihn. Installieren Sie unter Windows den Agenten, geben Sie die IP-Adresse und den Schlüssel des Managerservers ein, und starten Sie den Dienst neu. An diesem Punkt sollten sich Kunde und Manager unterhalten. Wenn Sie die Webschnittstelle verwendet haben, sollte der Windows-Agent aufgeführt werden. Wenn Port 25 Outbound geöffnet ist, erhalten Sie auch E-Mail-Benachrichtigungen zu Ereignissen, die einem ausreichend hohen Level entsprechen.

Dieser Schritt kann wählerisch sein. Wenn Sie auf Fehler stoßen, entfernen Sie den Agenten vom Server, erstellen Sie ihn mit einer neuen ID erneut, ändern Sie die ID auf dem Agenten und starten Sie alle Dienste neu.

Schritt 4: Aktivieren Sie die aktive Antwort


Um aktive Antworten für OSSEC zu erhalten, verwenden Sie Folgendes: http://www.ossec.net/main/manual/manual-active-response-on-windows/

Beachten Sie jedoch, dass das Skript route-null.cmd einige Korrekturen enthält (in C: Programme (x86) ossec-agent active-response bin).

Informationen zu Server 2008 finden Sie hier: http://www.mail-archive.com/[email protected]/msg07175.html Sie können auch das neueste Snapshot-Release verwenden, da es darin behoben ist.

Bei Server 2008 R2 wurde der Snapshot nicht behoben. Ich habe es geschafft, es zum Laufen zu bringen, siehe hier: http://community.spiceworks.com/topic/107207?page=1#entry-482856

Auf dem Manager-Server sollte "sudo / var / ossec / bin / agent_control -b 1.2.3.4 -f win_nullroute600 -u 001" (wobei 001 die Agenten-ID ist) die Adresse 1.2.3.4 zehn Minuten lang weiterleiten.

Schritt 5: Installieren Sie OpenVAS


Für OpenVAS gibt es ein Paket in den Ubuntu-Repositorys, sodass kein Kompilieren erforderlich ist. Sie müssen tun:

sudo apt-get install libopenvas2-dev libopenvasnasl2 libopenvasnasl2-dev openvas-server-dev libgnutls-dev libpcap0.8-dev bison libgtk2.0-dev libglib2.0-dev libgpgmell-dev libssl-dev htmldoc openvas-server openvas-client

Führen Sie nach der Installation "sudo openvas-adduser" aus und erstellen Sie einen Benutzernamen und ein Kennwort für OpenVAS. Ich habe es bei der Passwortauthentifizierung gelassen. Gehen Sie nun in Ubuntu zu Applications - Accessories und wählen Sie OpenVAS Client.

Schritt 6: Scannen Sie mit OpenVAS


Sobald der Client geöffnet ist, stellen Sie eine Verbindung zu Ihrem Server her (dies kann ein separater Computer sein, in diesem Handbuch wird jedoch davon ausgegangen, dass sich alles OpenVAS auf einem Computer befindet). Verwenden Sie den Benutzernamen und das Kennwort, das Sie mit openvas-adduser erstellt haben. Gehen Sie nach dem Herstellen der Verbindung zu Datei - Scan-Assistent. Es führt Sie durch das Einrichten eines einfachen Scans, den Sie wiederholen können, und fragt nach einem Ziel. Geben Sie am Ende Ihre Server-Anmeldeinformationen erneut ein und führen Sie sie aus. Es wird einige Zeit dauern. Wenn Sie den Windows Server mit dem Agenten scannen, sollten Sie Warnmeldungen erhalten. Ich habe eine E-Mail mit mehreren Warnmeldungen der Stufe 10 erhalten. Nach Abschluss eines Berichts werden alle gefundenen Informationen detailliert beschrieben und Vorschläge gemacht.

Schritt 7: Lernen Sie!

Diese Anleitung reicht aus, um alles zum Laufen zu bringen, aber ich weiß, dass die Oberfläche zerkratzt wird. Das ist viel, und es ist alles Neuland für mich. Die einfache Tatsache, dass es Bücher zu diesen Suiten gibt, sagt mir, dass ich kaum angefangen habe;) Sie werden wahrscheinlich Regeln anpassen, damit Sie keine Unwetterwarnungen über Fehlalarme erhalten und regelmäßig nach Schwachstellen (sowie nach Sicherheitslücken) suchen damit weitere Optionen suchen).

Es gibt viele Schritte, aber wenn alles in der richtigen Reihenfolge erledigt ist, ist es ziemlich einfach einzurichten und sehr nützlich, ohne Geld, um etwas zu kaufen. Dies ist keinesfalls die ultimative Lösung, aber in Kombination mit einer guten Firewall und anderen Best Practices fühle ich mich immer sicherer hinsichtlich der Sicherheit meines Servers. Hoffentlich ist das auch für andere von Nutzen.