2009-06-15

Sistema de Detección de Intrusos en tu PC

Debido a que es de vital importancia la seguridad en los server o en tu Laptop y que estos últimos usualmente los conectas básicamente en cualquier red es fundamental tener un sistema de detección de intrusos propio que no se nos consuma toda la maquina pero que nos brinde seguridad, trazabilidad y control de las conexiones, esto lo cumple un sistema Open Source que se llama OSSEC.

Es un sistema bastante sencillo de utilizar y bastante completo, eso si es un poco canson si no lo afinas bien y si permites que te envié correos sin sentido, pero es una excelente herramienta de control de red. Empezaremos con la instalación la cual es bastante sencilla, lo primero que debes hacer es bajar el instalador que lo puedes hacer desde aquí o por consola así

root@localhost:~#wget http://www.ossec.net/files/ossec-hids-2.0.tar.gz

Una vez ya en tu PC entoces los desomprimes así y te colocas sobre ese directorio

root@localhost:~#tar zxf ossec-hids-2.0.tar.gz
root@localhost:~#cd ossec-hids-2.0

Una vez en el directorio simplemente le das instalar, lo cual se hace de la siguiente forma

root@localhost:ossec-hids-2.0#./install.sh

El sistema te realizara una serie de preguntas las cuales se ven en las siguientes imagenes así






Como se puede ver en la última gráfica los comandos de arranque y detención del sistema y el archivo de configuración de la siguiente forma

Archivo de Configuración : /var/ossec/etc/ossec.conf
Arranque del sistema : /var/ossec/bin/ossec-control start
Detención del sistema : /var/ossec/bin/ossec-control stop

Para que arranque el sistema automáticamente adicionas esta linea en el archivo /etc/rc.local , ahora realmente este método es el fácil y no siempre bueno, lo mejor es colocarlo en los archivos de inet de la siguiente forma como enlace simbolico en los directorios de cada tipo de arranque

root@localhost:rc5.d#ln -s ../init.d/ossim S55ossim
root@localhost:rc4.d#ln -s ../init.d/ossim S55ossim
root@localhost:rc3.d#ln -s ../init.d/ossim S55ossim
root@localhost:rc2.d#ln -s ../init.d/ossim S55ossim

El número S55 es un numero aleatoreo que tome por que en mi maquina estaba libre en los inet, pero se debe revisar en cada una de las maquinas cual usar. Bueno como recomendación coloca que archivo de configuración coloca que solo se guarden logs cuando el riesgo supera el nivel 3 y que te envie correo cuando el riesgo supera el nivel 9, mas adelante prometo colcar mas cosas de como configurar y mejorarlo, pero como inicio y protección el básico es mas que suficiente.

Bueno le encontré una cosa que la verdad no me gusto mucho y es que debes tener un servidor que tenga permitido el relevo de SMTP, lo cual en nuestros días y con la seguridad de hoy en día no es fácil pero bueno es un punto a tener en cuenta.