Vamos falar sobre HIDS, (Host Intrusion Detection System); um HIDS opera sobre informações coletadas em computadores individuais. Através disso o HIDS pode analisar as atividades das estações com confiança e precisão, determinando exatamente quais processos e usuários estão envolvidos em um tipo particular de ataque no sistema operacional. Além disso, ao contrário dos sistemas baseados em rede, os baseados em host (estação) podem ver as conseqüências de uma tentativa de ataque, já que podem acessar diretamente e monitorar os arquivos e processos do sistema. Alguns HIDSs suportam um gerenciamento centralizado, que podem permitir que um apenas um console possa gerenciar várias estações. Outros geram mensagens em formatos que são compatíveis com os sistemas de gerenciamento de redes.

Esse tipo de IDS tem a capacidade de monitorar eventos locais de um host, podendo detectar ataques que não poderiam ser detectados por um IDS de rede. Eles podem operar em um ambiente onde o tráfego de rede é criptografado, a informação é analisada antes de ser criptografada na origem, ou depois de ser decriptada no destino. Quando o IDS de host opera em nível de sistema operacional, ele pode ajudar a detectar ‘Trojan Horses’ ou outros tipos de ataques que envolvam problemas de integridade nos programas, mas atenção um IDS baseado em host consome recursos de processamento do host monitorado, influenciando na sua performance, sua utilização deve ser analisada de acordo com seu ambiente.

Bem gosto muito de utilizar o o OSSEC, além de todas as funcionalidades normais de um HIDS, ele trabalha como active-response, ou seja, para determinados tipos de ataques ele pode tomar algumas medidas, como bloquear o IP (gerando regras de DROP no iptables) que está realizando o ataque, por um determinado tempo e mandar um e-mail alertando sobre o ocorrido; além de checar a integridade dos arquivos, checagem de rootiks e etc, tudo podendo ser acompanhado via “alerts” por e-mail.

Fim de papo e vamos a mão obra.

# cd /opt

#

wget http://www.ossec.net/files/ossec-hids-2.7.1.tar.gz

# tar -xzvf ossec-hids-2.7.1.tar.gz

# cd ossec-hids-2.7.1/

# ./install.sh

No primeiro passo da instalação escolha o idioma a ser instalado:

Para instalação em português, escolha [br].

Agora escolha o modo como ele vai trabalhar, que pode ser local, cliente e
servidor. O nosso caso é local:

– Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)? Local

Próximo passo é escolher onde o OSSEC será instalado. Aceite o diretório
proposto:

– Escolha onde instalar o OSSEC HIDS [/var/ossec]:

Depois, aceitar para receber notificações por e-mail:

–  Deseja receber notificações por e-mail? (s/n) [s]:
– Qual é o seu endereço de e-mail? seu_email@dominio.com.br
– Seu servidor SMTP foi encontrado como: smtp.dominio.com.br
– Deseja usá-lo? (s/n) [s]:

Em seguida, habilite alguns tipos de checagens:

– Deja habilitar o sistema de verificação de integridade? (s/n) [s]:
– Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]:

– Deseja habilitar o sistema de respostas automáticas? (s/n) [s]:
– Deseja habilitar o firewall-drop? (s/n) [s]:

– Deseja adicionar mais algum endereço a essa lista? (s/n)? [n]:

* Lista de endereços que não serão bloqueados pela resposta automática:

Após isso o OSSEC será compilado e instalado.

Com OSSEC instalado, pode incia-lo:

# /etc/init.d/ossec start

Visualize onde o OSSEC está instalado e seu arquivo de configuração principal:

# cd /var/ossec
# ls
# cd etc
# pico ossec.conf

O .conf dele é bem simples, vou mencionar apenas as seguintes linhas:

<email_to>oliveiralimajr@gmail.com</email_to>
<smtp_server>alt3.gmail-smtp-in.l.google.com.</smtp_server>

As linhas acima, são responsáveis pela configuração do seu e-mail, para acompanhamento dos “alerts”.

Estas abaixo, são responsáveis por definir a partir de que níveis serão gerados os logs_alerts e a partir de que níveis serão enviados por e-mail.

<alerts>
<log_alert_level>1</log_alert_level>
<email_alert_level>7</email_alert_level>
</alerts>

Com esta simples instalação e configuração, o OSSEC já fará a verificação da integridade dos arquivos, bem como a checagem de rootiks e respostas ativas, como por exemplo, caso algum atacante inicie um brute force no seu SSH, o OSSEC irá detectar e após algumas tentativas irá  gerar um regra de DROP para o IP do possível atacante. Existe muito mais para ser falar sobre HIDS e OSSEC, mas fica aqui uma pequena introdução, futuramente iremos mais adiante neste aprendizado.

Abraços…

 

 

 

Oliveira Lima

Oliveira Lima

Oliveira Lima atua na área de segurança da informação há 10 anos, especialista em Pentest, Analise de vulnerabilidades e Hardering. Dedica-se também a pesquisas e analise de malware. Criou o Blog roothc.com.br, com intuito de manter o publico atualizado sobre noticias do mundo Linux e hacking, alem de dividir conhecimentos e propor debates.
Oliveira Lima