PDF de programación - Sistemas detección de intrusos

IES Gonzalo Nazareno

Sistemas detección
de intrusos

Juan Javier Rodríguez Guisado



Sistemas detección de intrusos

Juan Javier Rodríguez Guisado


1.Introducción
Los sistemas de detección de intrusos o IDS (Intrusion Detection System) son programas que
monitorizan la actividad del sistema con el fin de detectar accesos o acciones no autorizados a
una máquina o a una red.

A la hora de implantar un sistema de detección de intrusos se deben tener en cuenta dos
posibilidades, hardware o software (siendo posible una combinación de los dos) La opción de
optar por hardware es más usual cuando el tráfico de red es muy alto.

Podemos diferenciar dos tipos de IDS, HIDS y NIDS

 HIDS – Host Intrusion Detection System: Está basado en el propio host donde está
instalado, busca actividad sospechosa en la propia máquina analizando el sistema
constantemente.

 NIDS – Network Instrusion Detection System: Está basado en una red, busca actividad

sospechosa analizando el tráfico de red (Incluído el tráfico local)

Estos sistemas, en caso de encontrar anomalías pueden tomar medidas o sólo conservar la
informacíon del sistema, a esto se les llaman sistemas pasivos o sistemas reactivos:

 Sistemas pasivos: Cuando detectan una actividad similar a un acción o acceso no

autorizado lo registra en una base de datos.

 Sistemas activos: Cuando detectan una actividad similar a una acción o acceso no
autorizado el sistema responde bloqueando la posible intrusión y guardándolo en la
base de datos.



2. Instalación de Ossec

Ossec es un HIDS muy potente, además es Open Source, para
instalarlo no tenemos más que ir a su página oficial y
descargar la última versión disponible, la 2.4 en mi caso. Este
HIDS está disponible para GNU/Linux, Windows(sólo agente),
* BSD, Solaris, Mac OS...



Página de descargas de Ossec:
http://www.ossec.net/main/downloads

Requisitos previos para instalar Ossec:

 Tener instalado un compilador de C
 Tener instalado un servidor de correo o disponer de uno.

2



Sistemas detección de intrusos

Juan Javier Rodríguez Guisado


Para instalarlo en nuestra máquina linux (Debian o derivados), tenemos que hacer los
siguientes pasos. (Hay una forma más manual de instalarlo, pero usaremos el script que
automatiza toda la instalación)

#tar -xvf ossec-hids-2.4.tar.gz -C /opt

#cd /opt/ossec-hids-2.4/

#./install.sh

Lo que acabamos de hacer es descomprimir el archivo, entrar en la carpeta donde lo
descomprimimos y ejecutar el script de instalación. Este script nos preguntará el idioma en el
que deseamos instalar ossec, tendremos que introducir el código de idioma, que en nuestro
caso es “es” que pertenece a “español”.

A continuación nos preguntará que tipo de instalación deseamos hacer, en nuestro caso vamos
a hacer la instalación de servidor. Escribimos ‘servidor’ y seguimos con la instalación. La
instalación de ossec en tipo servidor sólo se puede hacer en sistemas operativos GNU/Linux.

Nota: El modo local hace que el host se protega a el mismo únicamente, se diferencia del
modo servidor porque el servidor puede gestionar todo el proceso de los agentes (clientes)
centralizandolo y descargando actividad de las demás máquinas de las cuales recibe los logs y
eventos de sistema

Tras esto, la instalación configurará las variables de entorno del sistema que usará y te
preguntará el directorio de instalación de Ossec (y muestra uno por defecto “/var/ossec”)
podemos introducir uno manualmente o dejar el que esta por defecto.

Ahora la instalación empezará a configurar el sistema ossec y nos hará algunas preguntas:

 Si deseamos recibir notificaciones por email (necesitariamos usar un servidor de

correo electrónico, puedes instalar uno en la misma máquina por ejemplo postfix)

 Si queremos hacer uso del servidor de integridad del sistema, obviamente es una parte
importante del HIDS y es recomendable hacer uso del mismo, este demonio es el
encargado de monitorizar y reportar cambios en los archivos de sistema.

 Si queremos activar el sistema de detección de rootkits, un rootkits es un malware con

el objetivo de ganar privilegios en el sistema, por lo tanto deberíamos de activarla.

 Si deseamos activar la respuesta activa del HIDS, las respuestas activas nos permiten
definir unas acciones que se ejecutarán de forma automática para evitar una posible
intrusión o ataque tanto usando el /etc/host.deny o iptables (o ipfilter en caso de BSD
o Solaris)
Ips a la lista blanca, la “lista blanca” es un archivo donde se definimos unas IP en las
que “confíamos”, por defecto se agrega la puerta de enlace de la máquina, y te
pregunta si deseas añadir alguna IP más a “lista blanca”.



 Si deseas activar las alertas desde un syslog remoto

Una vez respondemos todo, el instalador compilará durante unos minutos, una vez compile
nos dirácomo iniciar y como parar Ossec.

3



Sistemas detección de intrusos

Juan Javier Rodríguez Guisado


#/var/ossec/bin/ossec-control start
#/var/ossec/bin/ossec-control stop


El archivo de configuración de Ossec se encuentra en /var/ossec/etc/ossec.conf

Como último el instalador nos dice que para conectar a un agente al servidor, debemos
agregarlos (a los agentes) a el servidor, podemos hacerlo desde el programa “manage_agents”
(/var/ossec/bin/manage_agents)



Instalar la interfaz Web

Ossec cuenta con una aplicación web para hacer más cómodo el análisis del HIDS, podemos
descargarlade la página oficial.

#wget http://www.ossec.net/files/ui/ossec-wui-0.3.tar.gz

Lo vamos a montar sobre apache, así que tendremos que instalar apache, php y el módulo de
apache que soporta php (se instala por defecto si instalamos php después de apache) en
nuestra máquina.

#aptitude install apache2 php5

Movemos la carpeta de la interfaz web a la carpeta web de apache y ejecutamos el script de
instalación, en este tendremos que creanos un usuario para loguearnos en la interfaz web.

#mv ossec-wui-0.3 /var/www/ossecui

#/var/www/ossecui/setup.sh

Ahora editamos el archivo /etc/group, buscamos la línea donde aparece ossec, será algo así
como “ossec:x:1001:” y a continuación añadimos el nombre de usuario de apache, lo normal
es que sea “www-data”, quedando asi “ossec:x:1001:www-data”

Una vez echo damos permisos a la carpeta tmp de la interfaz web(/var/www/ossecui/tmp ) y
reiniciamos apache para que los cambios tengan efecto:

/var/www/ossecui#chmod 770 tmp/
/var/www/ossecui#chgrp www-data tmp/
#/etc/init.d/apache2 restart



4

Sistemas detección de intrusos

Juan Javier Rodríguez Guisado


Ya podemos acceder a la interfaz web de Ossec escribiendo la URL pertinente
http://localhost/ossecui

Captura de pantalla de la página de administración web de ossec



Instalar los agentes

Para instalar los agentes, hacemos del mismo modo que al instalar el servidor, pero en el paso
que nos pregunta cómo vamos a instalar elegimos agente en vez de servidor.

Sólo nos quedará conectar los agentes a el servidor.

Conectar agentes con servidor

La comunicación entre agente – servidor , va cifrada y autenticada, por esto para conectar un
agente con un servidor tenemos que crear una clave en el servidor, y exportarla hacia los
clientes.

cuenta

con

agentes
Ossec
“/var/ossec/bin/manage_agents” los pasos que hay que seguir para hacerlos son los
siguientes:

aplicación

específica

una

para

añadir

En el servidor (repetir por cada agente que vallamos añadir):

#/var/ossec/bin/manage_agents

Menú principal en la máquina servidor



5



Sistemas detección de intrusos

Juan Javier Rodríguez Guisado


Este programa nos mostrará un menú con 4 opciones, añaidr un agente, extraer clave de un
agente, listar agentes y eliminar un agente. Obviamente vamos a añadir un agente (o los que
fueran necesarios) Para ello, usaremos la opción A, añadir un agente, introduciremos la IP del
agente, un nombre para ese agente y una clave de identificación (001,002.. por defecto).


Introducimos los datos de nuestro agente en la máquina servidor

Una vez añadido el agente, necesitamos su clave pública, para ello usaremos la segunda
opción (E) que nos mostrará los agentes, y al poner su identificador nos dará la clave pública.

Extrayendo la clave de uno de los agentes



El siguiente paso se realizará en el agente o agentes, abrimos el mismo programa que en el
servidor /var/ossec/bin/manage_agents, nos daremos cuenta de que en este sólo tenemos 2
opciones disponibles, Importar clave pública y eliminar, nosotros vamos a importar la clave
pública, elegiremos la opción (I) y pegaremos la clave que nos proporcionó el servidor.

Añadiendo la clave del servidor en el agente



6



Sistemas detección de intrusos

Juan Javier Rodríguez Guisado


Una vez añadidos todos los agentes de la misma manera, tenemos que reiniciar el servidor:

#/var/ossec/bin/ossec-control restart

Desinstalar ossec

rm -rf /var/ossec
rm -f /etc/init.d/ossec
rm -f /etc/ossec-init.conf

Instalar ossec en una máquina agente con Windows
Vamos a hacer lo mismo ahora para Windows XP, para ello nos descargamos la versión para
windows de la página oficial. Lo ejecutamos y instalamos el agente y los complementos que
queramos.



Al finalizar la instalación nos pedirá la ip del servidor ossec y el código de autenticación.
Ponemos la IP y el código de autenticación y guardamos. Esta aplicación que se ejecuta
automáticamente al finalizar