OSSEC HIDS – Détecteur d’intrusions

OSSEC HIDS – Détecteur d’intrusions

15 novembre 2018 Detection intrusion 0

Cette procédure indique comment installer OSSEC HIDS sur un Raspberry PI3 ou un ROCK64 (pine64) en architecture serveur/agents.

Pour plus d’informations sur ce détecteur d’intrusion consulter le site https://www.ossec.net/index.html

Pré-conditions

Pour installer OSSEC HIDS à partir des sources vous devrez disposer de certains paquets :

  • apt install unzip build-essential
  • et disposer d’un service de mails opérationnel pour l’ensemble serveur/agents

Installation

Récupérez les sources au format zip sur https://github.com/ossec/ossec-hids/releases/

unzip [Fichier zip]
cd ossec-hids-xxxxxx
./install.sh

Mode serveur

Un seul serveur pour l’ensemble serveur/agents. Lors de l’installation sélectionnez le mode : serveur, activer les alertes par email, donnez l’adresse de réception, l’adresse du serveur SMTP,démarrer le démon de vérification d’intégrité, démarrer le moteur de détection de rootkit, démarrer la réponse active, activer la réponse pare-feu (firewall-drop), ajoutez les adresses ip que vous souhaitez dans la liste blanche, activer fonctionnalité syslog (port udp 514), l’installateur indique la liste des fichiers surveillés et la méthode d’ajout :

Si vous voulez surveiller d’autres fichiers, changez

le fichier ossec.conf en ajoutant une nouvelle valeur

de nom de fichier local.

Pour toutes vos questions sur la configuration,

consultez notre site web http://www.ossec.net .

– Configuration correctement terminée.

Firewall

Toujours sur le serveur, ouvrir le port UDP 1514 sur les interfaces réseau qui communiquent avec les agents.

Ajouter un agent (serveur)

Déclaration de l’agent sur le serveur

L’agent se connectera au serveur pour fournir les informations collectées. Avant de procéder à l’installation de l’agent, vous devrez le déclarer sur le serveur en utilisant la commande : /var/ossec/bin/manage_agents

Tapez « a », puis le nom hôte du serveur disposant de l’agent OSSEC HIDS, l’adresse IP de l’agent, confirmer la création.

Extraire la clé de l’agent créé en tapant « e », indiquez l’ID de l’agent et copiez la clé affichée. Vous pouvez quitter. Redémarrer OSSEC HIDS : service ossec restart.

Installation de l’agent

Connectez vous au serveur qui disposera de l’agent, et procéder à l’installation en indiquant le type « agent » :

renseignez l’adresse IP du serveur OSSEC HIDS, démarrer le démon de vérification d’intégrité, démarrer le moteur de détection de rootkit, démarrer la réponse active.

Exécutez la commande : /var/ossec/bin/manage_agents 

tapez « i », coller la clé précédemment copiée (sans espaces ou lignes vides supplémentaires), validez, et démarrer OSSEC HIDS en exécutant la commande :  /var/ossec/bin/ossec-control start

Si l’affichage indique une erreur similaire :
2018/11/15 13:30:10 ossec-syscheckd(1210): ERROR: Queue ‘/var/ossec/queue/ossec/queue’ not accessible: ‘Connection refused’.
La clé copié au niveau de la gestion de l’agent est incorrecte.

Démarrage

Exécutez la commande /var/ossec/bin/ossec-control start Vous pouvez utiliser les commandes  service ossec start ou bien systemctl start ossec mais nous ne verrez pas les traces de démarrage.

Arrêt

Exécutez la commande /var/ossec/bin/ossec-control stop ou  service ossec stop ou systemctl stop ossec

Redémarrer OSSEC HIDS

service ossec restart ou /var/ossec/bin/ossec-control restart

Démarrage au boot

exécutez la commande : service –status-all

Vérifiez que « ossec » apparaît bien dans la liste des services démarrés au boot du serveur.

Réinstallation

Avant de réinstaller OSSEC HIDS, bien que l’installateur le propose, vous devrez supprimer le répertoire /var/ossec

Désinstallation

service ossec stop

rm -f /etc/ossec-init.conf

rm -rf /var/ossec

ERREURS

ossec-remoted(1403): ERROR: Incorrectly formatted message from ‘172.28.0.4’.
Réimporter la clé agent sur le serveur indiqué par son adresse IP.

Résultats

Quand tout est correctement paramétré et démarré, le flux de réception des courriels commence. Vous serez surpris de voir le niveau d’alertes detecté par ce type de technologie, première connexion d’un utilisateur, changement dans le système après une mise à jour, démarrage des agents, etc.. L’aspect actif ? Essayez de vous connecter par ssh à un des serveurs en fournissant un mot de passe erroné, à partir d’une machine qui n’apparaît pas dans la liste blanche du serveur, vous allez être bloqué rapidement pour environ 15 minutes. Ceci limite les tentatives d’accès par force brute.


Licence de ce document Creative Commons (CC BY-NC-ND 4.0)
CETTE DOCUMENTATION EST LIVRÉE « EN L’ÉTAT », SANS GARANTIE D’AUCUNE SORTE ET DISTRIBUÉE DANS UN BUT ÉDUCATIF EXCLUSIVEMENT. L’AUTEUR, CONTRIBUTEURS DE CETTE DOCUMENTATION OU ©MYTINYDC.COM NE SAURAIENT EN AUCUN CAS ÊTRE TENUS RESPONSABLES DES DOMMAGES DIRECTS OU INDIRECTS POUVANT RÉSULTER DE L’APPLICATION DES PROCÉDURES MISES EN ŒUVRE DANS CETTE DOCUMENTATION, OU DE LA MAUVAISE INTERPRÉTATION DE CE DOCUMENT.

Auteur : D. HENRY

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *