OSSEC，免费和开源IDS

最新推荐文章于 2024-05-09 10:01:44 发布

sztomarch

最新推荐文章于 2024-05-09 10:01:44 发布

阅读量699

点赞数

本文链接：https://blog.csdn.net/feiyu5323/article/details/105132963

版权

原文：https://dougvitale.wordpress.com/2014/02/26/ossec-the-free-and-open-source-ids/

Doug Vitale技术博客

OSSEC，免费和开源IDS

入侵检测软件旨在监控网络流量或主机活动是否存在恶意操作，例如成功或不成功的入侵企图，恶意流量（即恶意扫描和拒绝服务），未经授权的配置更改，恶意软件症状和用户策略违规。入侵检测系统（IDS）通常可以生成描述生成警报的潜在危险活动的详细信息的报告。由于许多原因，OSSEC在这方面特别有用。首先，它是一个成熟的，声誉良好的产品，具有良好的记录（OSSEC于2004年首次发布，并由Trend Micro拥有自2009年以来）。其次，它是免费和开源的。第三，它与大多数现代操作系统兼容，如Linux，Windows（Server 2008，Server 2003,7，Vista，XP，2000）BSD（Free / Open / Net），Unix（Solaris，HP-UX，AIX），和MacOS。

IT安全的关键原则之一是阻止入侵者访问您组织的网络。网络的优势不仅必须能够抵御无数的攻击，还必须采取措施来检测成功突破外围的攻击者。这两项措施是实现“纵深防御”安全态势的重要步骤，OSSEC是履行IDS职责的有效且经济实惠的选择。

OSSEC标志

入侵检测系统（IDS）通常被分类为基于网络或基于主机的。阿基于网络的IDS（NIDS）试图通过，因为它用于恶意活动的迹象节点之间流动分析流量以发现到网络的未授权访问。阿基于主机的IDS（HIDS），在另一方面，被设计用于检测发生在它们的安装位置的主机威胁（在服务器上，例如）。HIDS监控当地的行动并试图识别可能存在危险的行为。通过这种方式，HIDS类似于防病毒应用程序，可识别和阻止某些攻击模式并发出警报以提醒用户和管理员。

您可能想知道NIDS和HIDS如何识别攻击何时发生。换句话说，他们如何区分敌对的，被禁止的行为和另一方面的正常，良性行为？正如防病毒应用程序必须使用最新的病毒定义保持更新一样，基于签名的IDS 依赖于已知攻击模式的签名，以使其能够识别威胁。或者，基于异常的 IDS检测在正常预期行为的基线之外发生的动作。

OSSEC是一个使用签名和异常检测功能的HIDS（书籍OSSEC HIDS基于主机的入侵指南）第161页说明OSSEC的“内核级别检查不使用任何签名，而是依靠异常检测技术来查找rootkit”）。OSSEC提供主机代理和文件完整性代理（完整性检查）功能。它还可以检测rootkit并执行日志分析。OSSEC可以作为独立代理部署，也可以作为代理的分布式网络的一部分，中央OSSEC服务器控制其配置和设置。在服务器模式下，中央OSSEC服务器管理一个或多个远程OSSEC代理。这些代理生成更新和状态报告，并将其传输到服务器。如果服务器认为这些通知中的任何一个是可疑的，则会生成警报。

安装OSSEC

OSSEC仅作为Linux / BSD上的服务器或独立安装提供。您可以在Windows主机上安装OSSEC代理以供OSSEC服务器监视。

我们来看看Linux上的OSSEC安装过程。像往常一样，通过使用软件包管理应用程序（例如Synaptic）搜索OSSEC是否在Linux发行版的软件存储库中可用是最简单和最快速的。如果不存在，可以使用wget实用程序下载它，如下所示：

# wget http://www.ossec.net/files/ossec-hids-2.7.1.tar.gz（验证OSSEC 下载页面上的版本）

解压缩包，切换到生成的目录，然后启动安装例程：

# tar -zxvf ossec-hids-2.7.1.tar.gz # cd ossec-hids-2.7.1/ # ./install.sh

你需要选择的第一件事是你的语言; 只需按Enter键输入英语。下一个屏幕建议您必须安装C编译器才能继续。再次按Enter键。

下一个屏幕会提示您输入所需的安装类型：

1- What kind of installation do you want (server, agent, local or help)?

如果要设置将在其他主机上管理和监视远程OSSEC代理的OSSEC服务器，请键入“server”。如果要安装将由OSSEC服务器控制的OSSEC代理，请键入“代理”。如果要避免OSSEC客户端/服务器环境并且只在单个主机上运行OSSEC，请键入“local”。如果要部署同时包含代理（可以回答另一个OSSEC服务器）的OSSEC服务器，请键入“hybrid”。

下一步允许您指定安装位置; 默认值为/ var / ossec。您现在可以指定所需的位置，或者只接受默认位置，然后按Enter键。

2- Setting up the installation environment. - Choose where to install the OSSEC HIDS [/var/ossec]:

接下来，将要求您配置电子邮件通知并指定所需的电子邮件地址和SMTP服务器。OSSEC使用电子邮件通知来提醒您有关触发警报的事件。

3- Configuring the OSSEC HIDS 3.1- Do you want e-mail notification? (y/n) [y]: y - What's your e-mail address? admin@kernel.org - We found your SMTP server as: mail.kernel.org - Do you want to use it? (y/n) [y]: y

接下来的步骤允许您指定启用OSSEC的哪些组件。

3.2- Do you want to run the integrity check daemon? (y/n) [y]: y - Running syscheck (integrity check daemon).

完整性检查守护程序负责监视和报告系统文件中的更改。

3.3- Do you want to run the rootkit detection engine? (y/n) [y]: y - Running rootcheck (rootkit detection).

rootkit检测引擎定期执行测试以查找rootkit的迹象。

3.4- Active response allows you to execute a specific command based on the events received. For example, you can block an IP address or disable access for a specific user. More information at: http://www.ossec.net/en/manual.html#active-response - Do you want to enable active response? (y/n) [y]: y - Active response enabled. 3.5- By default, we can enable the host-deny and the firewall-drop responses. The first one will add a host to the /etc/hosts.deny and the second one will block the host on iptables (if Linux) or on ipfilter (if Solaris, FreeBSD or NetBSD). -They can be used to stop SSHD brute force scans, port scans and some other forms of attacks. You can also add them to block on snort events. for example. - Do you want to enable the firewall-drop response? (y/n) [y]: y - firewall-drop enabled (local) for levels >= 6 - Default white list for the active response: - 4.2.2.1 - 8.8.8.8 - Do you want to add more IPs to the white list (y/n)? [n]: n 3.6- Setting the configuration to analyze the following logs: -- /var/log/messages -- /var/log/auth.log -- /var/log/syslog -- /var/log/mail.info -- /var/log/dpkg.log -- /var/log/snort/alert (snort-fast file) -- /var/log/apache2/error.log (apache log) -- /var/log/apache2/access.log (apache log) - If you want to monitor any other file, just change the ossec.conf and add a new localfile entry. Any questions about the configuration can be answered by visiting us at http://www/ossec/net.

默认情况下启用日志分析。它会自动分析这些日志文件的内容，并对检测到的任何异常进行警报。

--- Press Enter to continue --- <installation routine snipped> - Configuration finished properly. - To start OSSEC HIDS: /var/ossec/bin/ossec-control start - To stop OSSEC HIDS: /var/ossec/bin/ossec-control stop - The configuration can be viewed or modified at /var/ossec/etc/ossec.conf --- Press Enter to finish. --- root@host:~/ossec-hids-2.7.1#

OSSEC现在正在运行，您的主机正在监控入侵和异常情况。但是，它在默认（未调整）状态下运行，应该使用您的环境的自定义设置进行调整。您可以自定义OSSEC安装的一些方法包括编辑规则和签名以反映主机上运行的应用程序和服务的组合，指定其他日志记录源并调整警报的重要性以反映对您的环境最重要的问题（例如数据/主机的关键性和敏感性）。只需添加或调整/var/ossec/rules目录中XML文件中包含的规则（规则格式在OSSEC在线用户手册中有说明）。可以从BitBucket获得新规则。

适用于Windows的OSSEC代理

如果将Linux / BSD主机配置为OSSEC服务器并且希望它监视Windows主机，则需要在其上安装OSSEC代理。这些代理通过UDP端口1514上的加密连接连接到服务器（相应地调整任何防火墙规则）。使用在服务器上定义的对称密钥对服务器和代理进行身份验证，然后将其复制到代理。

OSSEC 下载页面上也提供了代理.exe安装文件。安装后，必须指定OSSEC服务器的IP地址和身份验证密钥。

OSSEC Windows Agent安装 OSSEC Windows代理管理器

要在OSSEC服务器上生成身份验证密钥，请使用manage_agents命令，如下所示。

# cd /var/ossec/bin # ./manage_agents *************************************** * OSSEC HIDS v2.7.1 Agent manager. * * The following options are available: * *************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your action: A, E, L, R or Q: A - Adding a new agent (use '\q' to return to the main menu). Please provide the following: * A name for the new agent: Windows-server * The IP Address of the new agent: 10.20.30.40 * An ID for the new agent[001]: 001 Agent information: ID:001 Name:Windows-server IP Address: 10.20.30.40 Confirm adding it?(y/n): y Agent added.

现在返回manage_agents菜单，这次选择“E”。

*************************************** * OSSEC HIDS v2.7.1 Agent manager. * * The following options are available: * *************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your action: A, E, L, R or Q: E Available agents: ID: 001, Name: Windows-server, IP: 10.20.30.40 Provide the ID of the agent to extract the key (or '\q' to quit): 001 Agent key information for '001' is: MDAxIFdpbmfe524FQ38H8dthytF3fEG46Bweg5363g35wfGG4574= ** Press ENTER to return to the main menu.

您可以通过查看/var/ossec/logs/ossec.log代理和服务器上的文件内容来确认连接是否成功。

OSSEC Web用户界面

要使用图形用户界面管理OSSEC服务器或本地安装，可以下载Web用户界面（WUI），然后按照以下步骤操作。

# wget http://www.ossec.net/files/ossec-wui-0.8.tar.gz

解压缩gzipped tar文件的内容：

# tar -zxvf ossec-wui-0.8.tar.gz

将OSSEC-WUI目录移动并重命名为Apache可访问的WWW目录：

# mv ossec-wui-0.8/ /var/www/ossec-wui/

更改工作目录并启动安装例程：

# cd /var/www/ossec-wui/ # ./setup.sh

安装例程将提示您如下：

Setting up ossec ui... Username: New password: Retype new password: Enter your web server name (e.g. apache, www, nobody, www-data, ...) www-data Enter your OSSEC install directory path (e.g. /var/ossec) /var/ossec/ You must restart your web server after this setup is done. Setup completed successfully. root@host:/var/ossec-wui#

现在将Web服务器用户帐户（例如apache或www-data）添加到ossec组/etc/group：

# gedit /etc/group Example: ossec:x:1003 changes to ossec:x:1003:www-data

然后更改OSSEC临时目录的权限：

# cd /var/ossec/ # chmod 770 tmp/ # chgrp www-data tmp/

最后，重新启动Apache Web守护程序：

# apache2ctl restart