Persediaan OSSEC dan OpenVAS untuk keselamatan IDS / IPS - Bagaimana Untuk

Persediaan OSSEC dan OpenVAS untuk keselamatan IDS / IPS

Saya terpaksa menyiapkan sistem yang menjalankan Windows Server 2008 R2 dengan IIS 7.5 untuk menjadi tuan rumah laman web syarikat saya. Walaupun ia berada di belakang firewall Cisco ASA 5505 dengan beberapa IDS, saya ingin pergi satu langkah lebih jauh dan mendapatkan makluman ancaman serta beberapa tahap respons dari pelayan. Seperti biasa, saya tidak mempunyai bajet untuk apa-apa. Saya mengambil masa seminggu, dan banyak mencari, untuk mendapatkan semua setup, jadi panduan ini sebahagiannya menyusun semua yang saya lakukan, meninggalkan semua maklumat buruk / tidak berguna yang saya dapati dan menggunakan yang baik, dan beberapa penetapan yang saya lakukan.

Kami akan menggunakan OSSEC (IDS berasaskan tuan rumah) dan OpenVAS (pengimbas kelemahan; garisan sumber terbuka Nessus). Saya menggunakan sistem Ubuntu Server 10.04 untuk OSSEC, dan desktop Ubuntu 10.04 untuk OpenVAS.

7 langkah total

Langkah 1: Persediaan Windows Server dan firewall

Saya menggunakan ESXi, jadi saya mencipta mesin dengan spesifikasi yang saya perlukan untuk Server 2008 R2. Ini diletakkan di DMZ di ASA. Saya tidak akan pergi ke banyak butiran di sana, tetapi ACL saya sangat ketat - rangkaian dalaman hanya boleh mengakses pelayan pada port tertentu, DMZ mempunyai ACL keluar yang hanya membenarkan web dan DNS, dan Windows Firewall juga dikonfigurasi untuk hanya membenarkan apa yang saya perlukan.

Langkah 2: Pasang dan kemas kini Ubuntu

Dalam kes saya, saya menggunakan dua mesin maya Ubuntu - satu yang menjalankan Ubuntu Server 10.04 64-bit dalam DMZ, dan satu yang menjalankan 10.04 Desktop 64-bit pada LAN dalaman. Ini kerana ejen OSSEC memerlukan akses langsung kepada pengurus, dan saya tidak mahu membenarkan trafik dari DMZ ke bahagian dalam, jadi saya membuat pelayan mesin yang berasingan. Mereka boleh menjadi mesin yang sama, walaupun OpenVAS mungkin lebih mudah dengan GUI (yang kurang Ubuntu Server).

Apabila Ubuntu dipasang, lakukan kemas kini "sudo apt-get" dan "sudo apt-get dist-upgrade" untuk mendapatkan semua kemas kini.

Langkah 3: Pasang OSSEC dan ejennya

OSSEC berjalan di Linux untuk pengurus, tetapi pelanggan boleh menjadi Linux atau Windows. Anda perlu pengkompil - di Ubuntu saya dapati ia paling mudah untuk merebut pakej penting:

sudo apt-get install build-essential

Untuk mendapatkan OSSEC, pergi ke http://www.ossec.net/main/downloads/ dan muat turun versi Linux untuk pelayan (ini juga apa yang anda perlukan untuk pelanggan Linux). Dapatkan agen Windows jika anda memerlukannya.

Di Linux, ekstrak fail dimampatkan:

tar -xzvf ossec-hids-2.4.1.tar.gz

Masukkan direktori dan lakukan:

sudo ./install.sh

Anda akan mahu menetapkannya sebagai pemasangan pelayan, berikan alamat e-mel jika anda mahu makluman, tetapi kebanyakan lalai lain harus berfungsi.

OSSEC mempunyai antara muka web pilihan (tetapi berguna), untuk menggunakannya:

sudo apt-get install apache2 libapache2-mod-php5

Untuk pemasangan antara muka web, ia adalah paling mudah untuk menggunakan arahan OSSEC: http://www.ossec.net/main/manual/wui-ubuntu/

Setelah pengurus dipasang, lakukan:

sudo / var / ossec / bin / manage_agents

Pilih 'tambah ejen', namakan sewajarnya, dan pilih ID (apa sahaja yang anda mahu, lalai adalah baik). Mulakan semula perkhidmatan (/etc/init.d/ossec restart). Kemudian Ekstrak kunci ejen, dan salinnya. Lebih dari pada Windows, pasang ejen itu, dan masukkan IP pelayan pengurus dan kunci, dan mulakan semula perkhidmatan. Pada ketika ini, pelanggan dan pengurus harus bercakap. Jika anda menggunakan antara muka web, ejen Windows harus disenaraikan. Sekiranya port 25 outbound dibuka, anda juga akan mendapat makluman e-mel mengenai peristiwa yang sepadan dengan tahap yang cukup teruk.

Langkah ini boleh menjadi halus. Jika anda menghadapi kesilapan, keluarkan ejen dari pelayan, buat semula dengan ID baru, ubah ID pada ejen, dan mulakan semula semua perkhidmatan.

Langkah 4: Aktifkan respons aktif


Untuk mendapatkan respons aktif untuk OSSEC, gunakan yang berikut: http://www.ossec.net/main/manual/manual-active-response-on-windows/

Perhatikan, bagaimanapun, terdapat beberapa perbaikan untuk skrip null.cmd laluan (dalam C: Program Files (x86) ossec-agent respon-aktif bin).

Untuk Server 2008, lihat di sini: http://www.mail-archive.com/[email protected]/msg07175.html Anda juga boleh menggunakan pelepasan syot kilat terkini, kerana ia tetap di dalamnya.

Untuk Server 2008 R2, snapshot itu tidak membaikinya. Saya berjaya mendapatkannya, lihat di sini: http://community.spiceworks.com/topic/107207?page=1#entry-482856

Pada pelayan pengurus, "sudo / var / ossec / bin / agent_control -b 1.2.3.4 -f win_nullroute600 -u 001" (di mana 001 ialah ID ejen) harus membatalkan laluan alamat 1.2.3.4 selama sepuluh minit.

Langkah 5: Pasang OpenVAS


Untuk OpenVAS, terdapat satu pakej dalam repositori Ubuntu, jadi tidak ada kompilasi yang diperlukan. Anda perlu lakukan:

sudo apt-get install libopenvas2-dev libopenvasnasl2 libopenvasnasl2-dev openvas-server-dev libgnutls-dev libpcap0.8-dev bison libgtk2.0-dev libglib2.0-dev libgpgmell-dev libssl-dev htmldoc openvas-

Setelah dipasang, lakukan "sudo openvas-adduser" dan buat nama pengguna dan kata laluan untuk OpenVAS. Saya meninggalkannya pada pengesahan kata laluan. Kini, di Ubuntu, pergi ke Applications - Accessories dan pilih OpenVAS Client.

Langkah 6: Imbas dengan OpenVAS


Setelah Pelanggan terbuka, sambungkan ke pelayan anda (ia boleh menjadi mesin yang berasingan, tetapi panduan ini menganggap semua barangan OpenVAS berada pada satu mesin). Gunakan nama pengguna dan kata laluan yang anda buat dengan openvas-adduser. Sebaik sahaja disambungkan, pergi ke Bantuan Fail - Imbas. Ia akan membimbing anda melalui menyediakan imbasan mudah yang boleh anda ulangi, meminta sasaran. Pada akhirnya, masukkan kembali kelayakan pelayan anda dan laksanakan. Ia akan mengambil sedikit masa. Dengan mengandaikan anda mengimbas Server Windows dengan ejen, anda harus mula mendapatkan makluman - Saya mendapat e-mel dengan beberapa tahap 10 peringatan. Apabila laporan itu dilakukan, akan terperinci semua yang ditemui, serta membuat beberapa cadangan.

Langkah 7: Ketahui!

Panduan ini sudah cukup untuk mendapatkan semuanya berjalan, tetapi saya tahu ia menggaru permukaannya. Ada banyak perkara ini, dan ini semua wilayah baru untuk saya. Fakta mudah bahawa terdapat buku-buku tentang suite ini memberitahu saya saya tidak pernah bermula;) Anda mungkin akan menyesuaikan peraturan supaya anda tidak mendapat banyak amaran tentang positif palsu, dan mengimbas secara berkala untuk kelemahan (serta menggali ke lebih banyak pilihan dengan itu).

Terdapat banyak langkah, tetapi apabila segala-galanya dilakukan dalam susunan yang betul, ia cukup mudah untuk persediaan, dan sangat berguna tanpa wang untuk membeli apa-apa. Ini bukan penyelesaian utama, tetapi digabungkan dengan firewall yang baik dan amalan terbaik yang lain, saya berasa lebih yakin mengenai keselamatan pelayan saya. Mudah-mudahan ini semua digunakan untuk orang lain juga.