Tool-Tipp: OSSEC 2.9.1

Intrusion Detection mit Open Source

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Das Open Source IDS OSSEC überwacht aktiv Systeme im Netzwerk auf verdächtige Aktivitäten und warnt vor Angriffen. Wie man das Tool einrichtet zeigt dieser Tool-Tipp und im Video.
Das Open Source IDS OSSEC überwacht aktiv Systeme im Netzwerk auf verdächtige Aktivitäten und warnt vor Angriffen. Wie man das Tool einrichtet zeigt dieser Tool-Tipp und im Video. (© vectorfusionart - stock.adobe.com)

OSSEC ist ein Host Intrusion Detection System (HIDS) auf Basis von Open Source. Die Lösung ist für Systeme genauso geeignet, wie für Umgebungen, in denen auf Windows oder macOS X gesetzt wird. Das Open-Source-Tool arbeitet auch mit der Sicherheits-Linux-Distribution Kali zusammen.

OSSEC steht auch als virtuelle Appliance (OVA) zur Verfügung, mit der Administratoren eine virtuelle Appliance in vSphere, aber auch VMware Workstation einbinden können. Um Systeme in heterogenen Netzwerken zu überwachen, also Netzwerke in denen zahlreiche verschiedene Betriebssysteme zum Einsatz kommen, stellt OSSEC eine ideale Lösung dar.

Auch eine Installation in Kali-Linux ist möglich. Die Sicherheits-Linux-Distribution steht als Live-DVD zur Verfügung, kann aber auch installiert werden. Sie enthält zahlreiche Sicherheitstools und kann auch schnell und einfach mit weiteren Tools erweitert werden. Wir stellen OSSEC hier in der Version 2.9.1 vor.

Wie man mit OSSEC Angriffe auf ein System erkennen kann, zeigen wir im Tool-Tipp-Video und in der kleinen Bildergalerie zu diesem Artikel.

Systeme mit OSSEC 2.9 überwachen

OSSEC wird zunächst als Server betrieben. Der OSSEC-Manager analysiert die mit ihm verbundenen Systeme, speichert Logs, Konfigurationen, Regeln und die zentralen Datenbanken. Um die Sicherheit zu verbessern kann auf Servern und Devices im Netzwerk auch ein Agent installiert werden, der regelmäßig Daten zur Analyse an den OSSEC-Server sendet. Agenten stehen auch für Windows und Linux zur Verfügung. Neben der Installationsvariante auf einem Linux-Server und der Einbindung als virtuelle Appliance, kann OSSEC auch in Docker-Container betrieben werden. Zur Verwaltung steht die Konsole zur Verfügung, aber auch eine Weboberfläche, die gesondert installiert werden muss.

OSSEC kann auch Agentenlos arbeiten. Es müssen also nicht alle Server per Agent angebunden werden. Vor allem auf Windows-Servern ist die Anbindung über Agenten aber effizienter, weil sich dadurch auch das Betriebssystem und die Registry überwachen lassen. Auch die lokalen Protokolldateien von Servern können angebunden werden. Sobald der Agent installiert ist, kann der entsprechende Rechner an OSSEC angebunden werden.

Grundlagen zur Einrichtung von OSSEC

OSSEC ist keine Umgebung, die schnell eingerichtet ist, sondern erfordert einiges an Einarbeitung für Installation du Betrieb. Die Entwickler stellen Anleitungen zur Verfügung, die bei der Einrichtung und dem Betrieb helfen.

Das Webinterface für OSSEC muss gesondert vom eigentlichen Serverdienst eingerichtet werden. Danach kann man OSSEC auch über die Weboberfläche verwalten. Auf Linux-Servern können die Installationsdateien am einfachsten mit „Wget“ heruntergeladen und mit „Tar“ extrahiert werden. Mit „./install.sh“ steht ein Skript für die Installation zur Verfügung.

Wie man mit OSSEC Angriffe auf ein System erkennen kann, zeigen wir im Tool-Tipp-Video und in der kleinen Bildergalerie zu diesem Artikel.

OSSEC installieren

Im ersten Schritt sollte aber sichergestellt werden, dass auf dem Linux-System alle notwendigen Tools für die Bereitstellung von OSSEC vorhanden sind. Dazu wird der folgende Befehl verwenden:

apt-get install build-essential

Reichen die Rechte des Benutzers nicht an, muss der Befehl mit „sudo“ gestartet werden.

Der Link zum Downloaden der aktuellsten Version kann am einfachsten über den Browser in die Zwischenablage kopiert und dann in der Konsole eingefügt werden. Mit „wget <Link zur Datei>“ erfolgt anschließend der Download.

Anschließend wird das Archiv mit tar xvfz <Name der Datei> extrahiert. Anschließend wird mit „cd“ in das Verzeichnis gewechselt, in dem sich die Installationsdateien befinden.

Die Installation wird mit „./install.sh“ gestartet. Zunächst wird im Fenster die Sprache der Installation ausgewählt. Anschließend startet das Installationsskript, das durch die Einrichtung führt.

Zur lokalen Installation wird die Installationsvariante „lokal“ eingegeben. Im Rahmen der Einrichtung kann auch die E-Mail-Benachrichtigung konfiguriert die Anbindung an den SMTP-Server vorgenommen werden. Danach werden die verschiedenen Dienste ausgewählt, mit der OSSEC das Netzwerk schützen kann.

Wenn der Vorgang abgeschlossen ist, steht OSSEC generell zur Verfügung. Die Kompilierung dauert eine Weile. Anschließend ist OSSEC verfügbar. Die genaue Konfiguration erfolgt über die Systemdateien. Hier sollten die Hilfe-Dokus der Umgebung verwendet werden.

OSSEC als Appliance nutzen

Wer die Einrichtung nicht über Linux vornehmen will, kann OSSEC auch als Appliance herunterladen. Das ist für Testzwecke ideal, aber auch für Umgebungen in denen mit VMware vSphere virtualisiert wird. Administratoren, die sich mit OSSEC auseinandersetzen wollen, können die Appliance auch als OVA-Datei in VMware Workstation oder den Player einbinden, aber auch mit Virtualbox. Die Anmeldung an der Oberfläche erfolgt mit dem Benutzernamen „user“ oder „root“. Das Kennwort ist „_0ssec_“. Auf der englischen Tastatur finden Sie den Unterstrich („_“) über Umschalt+Fragezeichen.

Nachdem die Appliance installiert ist, steht die Web-Oberfläche von OSSEC über die folgende URL zur Verfügung:

<IP-Adress>/ossec-wui/index.php

Zur Anmeldung wird auch hier der Benutzer „user“ und das Kennwort „„_0ssec_“ verwendet.

OSSEC nutzen

Sobald OSSEC installiert und eingerichtet ist, oder die Appliance im Netzwerk integriert wurde, kann das System zur Analyse der Sicherheit genutzt werden. Am einfachsten ist die Verwaltung über die Web-Oberfläche. Hier stehen auf der Hauptseite die wichtigsten Infos zur Verfügung. Über den Menüpunkt „Search“ kann nach aktuellen Alarmen gesucht werden.

Wie man mit OSSEC Angriffe auf ein System erkennen kann, zeigen wir im Tool-Tipp-Video und in der kleinen Bildergalerie zu diesem Artikel.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44994140 / Intrusion-Detection und -Prevention)