2014-02-23

Creando Reglas en OSSEC

Muchas personas que me siguen saben perfectamente que me dedico a la seguridad tanto ofensivamente como defensivamente, entonces esta entrada va para quienes instalan los HIDS y que toca afinarlos permanentemente. OSSEC es una de las herramientas de este tipo que siempre instalo porque me parece fenomenal, entonces en esta oportunidad a idea es que aprendan a crear sus propias reglas.

Para esto vamos a usar de base los logs generados por IPTABLES (datos de iptables acá), una vez tenemos activo el log este se ve en /var/log/messasges de la siguiente forma


Entonces para ver que información ve OSSEC de este log existe una herramienta que esta en el directorio /var/ossec/bin, es donde están los script de pruebas y funcionamiento, por ende el que necesitamos se llama ossec-logtest y funciona de la siguiente forma



Como ven la detección de cada incidencia se basa en tres fases, que busca identificar los siguientes datos:

Fase 1:  Usa la normalización de syslog o eventlog según corresponda para sacar tres datos,  tipo de log, nombre de la maquina y  registro de la incidencia.

Fase 2: Usa el dato de registro de la incidencia y basado en lo que esta definido en el archivo /var/ossec/etc/decoder.xml, si no identifica nada toca modificar este para obtener lo que se desee.

Fase 3: Usa los datos extraídos para usando las reglas que están en el directorio /var/ossec/rules poder determinar el tipo de incidencia.

Como se ve en la fase 3 del ejemplo anterior, el identifica que es un log de un firewall y que esta en el D 4100 de las reglas, pero nosotros necesitamos que nos identifique la IP desde la que esta haciendo la conexión, por lo que crearemos dos reglas.

La primera que saque la IP y la segunda que si esa IP genera 20 incidencias en un día entonces pone la alerta en nivel 10, como las que se ven marcadas en la siguiente imagen


Entonces volvemos al test y veremos que en la fase 3 cambia y empieza a detectar lo que necesitamos.


Espero que les sirva.