IDS / IPS सुरक्षा के लिए सेटअप OSSEC और OpenVAS - कैसे

IDS / IPS सुरक्षा के लिए सेटअप OSSEC और OpenVAS

मुझे अपनी कंपनी के वेब-आधारित टाइमशीट की मेजबानी के लिए IIS 7.5 के साथ विंडोज सर्वर 2008 R2 चलाने वाली प्रणाली को सेटअप करना पड़ा। हालांकि यह कुछ आईडी के साथ सिस्को एएसए 5505 फ़ायरवॉल के पीछे है, मैं एक कदम आगे जाना चाहता था और खतरों के अलर्ट के साथ-साथ सर्वर से प्रतिक्रिया के कुछ स्तर प्राप्त करना चाहता था। हमेशा की तरह, मेरे पास किसी भी चीज़ के लिए बजट नहीं है। सब कुछ सेटअप करने के लिए मुझे एक सप्ताह का समय लगा, और बहुत सारी खोज हुई, इसलिए यह गाइड आंशिक रूप से मेरे द्वारा किए गए सभी चीज़ों को संकलित कर रहा है, जो मुझे मिली सभी खराब / बेकार जानकारी को छोड़कर और अच्छे का उपयोग करते हुए, और कुछ फिक्सिंग मैंने किया।

हम OSSEC (एक होस्ट-आधारित आईडी) और OpenVAS (एक भेद्यता स्कैनर; नेसस का खुला स्रोत कांटा) का उपयोग करेंगे। मैंने ओएसएसईसी के लिए एक उबंटू सर्वर 10.04 सिस्टम और ओपनवा के लिए एक उबंटू 10.04 डेस्कटॉप का उपयोग किया।

कुल 7 चरण

चरण 1: सेटअप विंडोज सर्वर और फ़ायरवॉल

मैं ESXi का उपयोग कर रहा हूं, इसलिए मैंने सर्वर 2008 R2 के लिए आवश्यक चश्मा के साथ एक मशीन बनाई। यह ASA पर एक DMZ में रखा गया था। मैं वहां कई विवरणों में नहीं जाऊंगा, लेकिन मेरे एसीएल बहुत तंग हैं - आंतरिक नेटवर्क केवल विशिष्ट बंदरगाहों पर सर्वर तक पहुंच सकता है, डीएमजेड में एक आउटगोइंग एसीएल है जो केवल वेब और डीएनएस की अनुमति देता है, और विंडोज फ़ायरवॉल भी कॉन्फ़िगर किया गया है केवल वही करें जो मुझे चाहिए।

चरण 2: उबंटू को स्थापित करें और अपडेट करें

मेरे मामले में, मैंने दो उबंटू वर्चुअल मशीनों का उपयोग किया - एक चल रहे उबंटू सर्वर 10.04 64-बिट डीएमजेड में, और एक आंतरिक लैन पर 10.04 डेस्कटॉप 64-बिट चल रहा है। ऐसा इसलिए है क्योंकि ओएसएसईसी एजेंट को प्रबंधक तक सीधी पहुंच की आवश्यकता होती है, और मैं डीएमजेड से अंदर तक यातायात की अनुमति नहीं देना चाहता था, इसलिए मैंने सर्वर को एक अलग मशीन बना दिया। वे एक ही मशीन हो सकते हैं, हालांकि ओपनवीएएस शायद एक जीयूआई (जिसमें उबंटू सर्वर की कमी है) के साथ आसान है।

जब Ubuntu स्थापित हो जाता है, तो सभी अपडेट प्राप्त करने के लिए "sudo apt-get update" और "sudo apt-get dist-upgrade" करें।

चरण 3: OSSEC और एजेंट स्थापित करें

OSSEC प्रबंधक के लिए लिनक्स पर चलता है, लेकिन क्लाइंट लिनक्स या विंडोज हो सकता है। आपको एक कंपाइलर की आवश्यकता होगी - उबंटू पर मुझे बिल्ड-आवश्यक पैकेज को हथियाना सबसे आसान लगता है:

sudo apt-get install बिल्ड-एसेंशियल

OSSEC प्राप्त करने के लिए, http://www.ossec.net/main/downloads/ पर जाएं और सर्वर के लिए लिनक्स संस्करण डाउनलोड करें (यह भी आपको लिनक्स ग्राहकों के लिए आवश्यक है)। जरूरत पड़ने पर विंडोज एजेंट को पकड़ो।

लिनक्स पर, संपीड़ित फ़ाइल निकालें:

tar -xzvf ossec-hids-2.4.1.tar.gz

निर्देशिका दर्ज करें और करें:

sudo ./install.sh

यदि आप अलर्ट चाहते हैं, तो आप इसे सर्वर स्थापित के रूप में सेट करना चाहते हैं, एक ई-मेल पता प्रदान कर सकते हैं, लेकिन अधिकांश अन्य चूक काम करना चाहिए।

OSSEC में इसका उपयोग करने के लिए एक वैकल्पिक (लेकिन उपयोगी) वेब इंटरफ़ेस है:

sudo apt-get install apache2 libapache2-mod-php5

वेब इंटरफ़ेस इंस्टॉलेशन के लिए, OSSEC के निर्देशों का उपयोग करना सबसे आसान है: http://www.ossec.net/main/manual/wui-uby/

एक बार प्रबंधक स्थापित होने के बाद, करें:

sudo / var / ossec / bin / manage_agents

'एजेंट जोड़ें' चुनें, तदनुसार नाम दें, और एक आईडी चुनें (जो भी आप चाहते हैं, डिफ़ॉल्ट ठीक है)। सेवा (/etc/init.d/ossec पुनरारंभ) को पुनरारंभ करें। फिर एजेंट कुंजी निकालें, और इसे कॉपी करें। विंडोज पर, एजेंट को स्थापित करें, और प्रबंधक सर्वर आईपी और कुंजी दर्ज करें, और सेवा को पुनरारंभ करें। इस बिंदु पर, ग्राहक और प्रबंधक को बात करनी चाहिए। यदि आपने वेब इंटरफ़ेस का उपयोग किया है, तो विंडोज एजेंट को सूचीबद्ध किया जाना चाहिए। यदि पोर्ट 25 आउटबाउंड खुला है, तो आपको गंभीर पर्याप्त स्तर से मेल खाने वाली घटनाओं के ई-मेल अलर्ट भी मिलेंगे।

यह कदम चुस्त हो सकता है। यदि आप त्रुटियों में भाग लेते हैं, तो एजेंट को सर्वर से हटा दें, एक नई आईडी के साथ फिर से बनाएँ, एजेंट पर आईडी बदलें और सभी सेवाओं को पुनरारंभ करें।

चरण 4: सक्रिय प्रतिक्रिया सक्षम करें


OSSEC के लिए सक्रिय प्रतिक्रियाएं प्राप्त करने के लिए, निम्नलिखित का उपयोग करें: http://www.ossec.net/main/manual/manual-active-response-on-windows/

ध्यान दें, हालांकि, मार्ग-null.cmd स्क्रिप्ट (C: Program Files (x86) ossec-agent active-response bin) के लिए कुछ फ़िक्सेस हैं।

सर्वर 2008 के लिए, यहां देखें: http://www.mail-archive.com/[email protected]/msg07175.html आप नवीनतम स्नैपशॉट रिलीज़ का भी उपयोग कर सकते हैं, क्योंकि यह उसी में तय है।

सर्वर 2008 R2 के लिए, स्नैपशॉट ने इसे ठीक नहीं किया। मैं इसे प्राप्त करने में कामयाब रहा, यहाँ देखें: http://community.spiceworks.com/topic/107207?page=1#entry-482856

प्रबंधक सर्वर पर, "sudo / var / ossec / bin / agent_control -b 1.2.3.4 -f win_nullroute600 -u 001" (जहां 001 एजेंट आईडी है) पता को 1.2.3.4 को दस मिनट के लिए रूट करना चाहिए।

चरण 5: OpenVAS स्थापित करें


OpenVAS के लिए, उबंटू रिपॉजिटरी में एक पैकेज है, इसलिए कोई संकलन की आवश्यकता नहीं है। आपको करने की आवश्यकता होगी:

sudo apt-get install libopenvas2-dev libopenvasnasl2 libopenvasnasl2-dev openvas-server-dev libgnutls-dev libpcap0.8-dev bison libgtk2.0-dev libglib2.0-dev libgpgmell-dev libssl-dev libssl-dev htmldoc खुला-सर्वर

एक बार स्थापित होने के बाद, "sudo openvas-adduser" करें और OpenVAS के लिए एक उपयोगकर्ता नाम और पासवर्ड बनाएं। मैंने इसे पासवर्ड प्रमाणीकरण पर छोड़ दिया। अब, उबंटू में, एप्लिकेशन - सहायक उपकरण पर जाएं और ओपनवीएएस क्लाइंट चुनें।

चरण 6: OpenVAS के साथ स्कैन करें


क्लाइंट के ओपन होने के बाद, अपने सर्वर से कनेक्ट करें (यह एक अलग मशीन हो सकती है, लेकिन यह गाइड मानता है कि सभी ओपनवीएएस सामान आपके मशीन पर है)। आपके द्वारा बनाए गए उपयोगकर्ता नाम और पासवर्ड का उपयोग करें। कनेक्ट होने के बाद, फाइल - स्कैन असिस्ट पर जाएं। यह आपको एक सरल स्कैन स्थापित करने के माध्यम से चलता है जिसे आप एक लक्ष्य के लिए पूछकर दोहरा सकते हैं। अंत में, अपने सर्वर क्रेडेंशियल्स को फिर से दर्ज करें, और निष्पादित करें। थोड़ा समय लगेगा। यह मानते हुए कि आप विंडोज सर्वर को एजेंट के साथ स्कैन कर रहे हैं, आपको अलर्ट मिलना शुरू कर देना चाहिए - मुझे कई स्तर के 10 अलर्ट के साथ एक ई-मेल मिला। जब यह एक रिपोर्ट करेगा तो यह सब कुछ पाया जाएगा, साथ ही साथ कुछ सुझाव भी देगा।

चरण 7: जानें!

यह गाइड सब कुछ चलाने के लिए पर्याप्त है, लेकिन मुझे पता है कि यह सतह को खरोंच कर रहा है। इसके लिए बहुत कुछ है, और यह मेरे लिए बिल्कुल नया क्षेत्र है। साधारण तथ्य यह है कि इन सुइट्स के बारे में किताबें हैं, मुझे बताती हैं कि मैंने मुश्किल से शुरुआत की है;) आप नियमों को समायोजित करना चाहते हैं ताकि आपको झूठी सकारात्मक के बारे में अलर्ट न मिले, और समय-समय पर कमजोरियों के लिए स्कैन करें (साथ ही साथ उस के साथ और अधिक विकल्पों में खुदाई)।

बहुत सारे कदम हैं, लेकिन एक बार सब कुछ सही क्रम में होने के बाद, यह सेटअप करने के लिए बहुत सरल है, और कुछ भी खरीदने के लिए पैसे नहीं के साथ बहुत उपयोगी है। यह किसी भी तरह से अंतिम समाधान नहीं है, लेकिन एक अच्छा फ़ायरवॉल और अन्य सर्वोत्तम प्रथाओं के साथ संयुक्त होकर, मैं अपने सर्वर की सुरक्षा के बारे में अधिक से अधिक आश्वस्त महसूस कर रहा हूं। उम्मीद है कि यह सब कुछ दूसरों के लिए भी उपयोग होता है।