act_formato de actividad hids
TRANSCRIPT
-
7/24/2019 Act_Formato de Actividad HIDS
1/14
Escuela de Informtica y Telecomunicaciones
PDA
Actividad de Aprendizaje
ACTIVIDAD DE APRENDIZAJECarrera/s Ingeniera en Conectividad y RedesSigla Curso GRC 6501
Modalidad Presencial
Versin PDA 2014
Forma de trabajo x Individual Grupal
Infraestructura (lugar) Sala de clases
x Laboratorio (especifique)
Terreno (especifique)
Otros (especifique)
Material de apoyo (insumos y equipamiento) para laactividad
Computador personal para cada alumno
Software HIDS OSSEC provisto por su profesor
Mquina Virtual Linux Centos
Mquina Virtual Windows 2008 server
NOMBRE DE LA ACTIVIDAD
Instalacin y configuracin de solucin HIDS
DESCRIPCIN DE LA ACTIVIDAD
El estudiante podr adquirir las competencias de instalar y configurar una solucin HIDS y realizarauditoria de seguridad en sistemas Linux y Windows
Introduccin: En esta actividad el estudiante instalar la solucin HIDS OSSEC en un servidorLinux y podr realizar monitoreo de eventos de seguridad y auditoria de un servidor WindowsServer
Desarrollo:-
El estudiante deber instalar la solucin OSSEC Server en su servidor Linux y comprobarsu funcionamiento monitoreando los puertos de servicio
-
Su compaero deber instalar el agente de OSSEC en su servidor Linux y realizar laconfiguracin de conexin con la estacin servidor de su compaero
- El estudiante deber instalar la aplicacin web de OSSEC para administracin
- Su compaero deber instalar el agente en su servidor Windows y confirmar la conexin
con el servidor- Debern configurar en conjunto las polticas de auditoria de su servidor Windows 2008,
realizar pruebas de seguridad y visualizar los eventos en el servidor de logs
Evaluacin (desarrollar en la pauta correspondiente)
-
7/24/2019 Act_Formato de Actividad HIDS
2/14
Escuela de Informtica y Telecomunicaciones
PDA
Actividad de Aprendizaje
Actividad prctica:
Formato: Pareja.
Asignatura: Gestin de Riesgos en Redes Corporativas
Cdigo: GRC 6501
Objetivo: Realizar el monitoreo de eventos de un servidor utilizando herramientas Open Source
Ttulo: Monitoreo de eventos de Seguridad
Instalacin del servidor:
1.- Levante la mquina virtual de Sistema Operativo Centos
2.- Configure la interfaz de red en modo puente
3.- Instale la consola de administracin del software OSSEC provista por su profesor en el servidor
Linux:
- Siga las instrucciones del siguiente link:
http://ossec-docs.readthedocs.org/en/latest/manual/installation/install-source.html
4.- Configure la instalacin en espaol
- responda el resto de las opciones por defecto
5.- Confirme que el servicio est operativo con el comando:
Instalacin del cliente:
5.- Pida a su compaero que instale los agentes provistos por su profesor en las mquinas virtuales
Linux Centos y Wndows Server 2008 respectivamente.
- Use el siguiente link:
http://ossec-docs.readthedocs.org/en/latest/manual/installation/install-source.html
-
7/24/2019 Act_Formato de Actividad HIDS
3/14
Escuela de Informtica y Telecomunicaciones
PDA
Actividad de Aprendizaje
6.- Detalle del diagrama de laboratorio:
7.-Realice la sincronizacin de los agentes con el servidor utilizando las instrucciones detalladas acontinuacin:
http://ossec-docs.readthedocs.org/en/latest/manual/agent/agent-management.html
- Utilice un cliente ssh para conectarse al servidor y ejecutar el procedimiento de sincronizacin de
clave:
Server OSSEC Agente OSSEC Agente OSSEC
Linux Centos Linux Centos Windows 2003
Logs de eventos
-
7/24/2019 Act_Formato de Actividad HIDS
4/14
Escuela de Informtica y Telecomunicaciones
PDA
Actividad de Aprendizaje
8.- Ejecute cada uno de los pasos y genere la llave de sincronizacin:
9.- Configure el cliente con la clave generada en el servidor:
10.- Compruebe que el agente esta en conexin con el servidor, para esto revise el log del agente:
-
7/24/2019 Act_Formato de Actividad HIDS
5/14
Escuela de Informtica y Telecomunicaciones
PDA
Actividad de Aprendizaje
Instalacin de interfaz web:
11.- Baje el archivo ossec-wui-0.3.tar.gz provisto por su profesor e instale la interfaz web de
OSSEC Manager en el servidor Linux, siga las siguientes instrucciones:
# tar -xzvf ossec-wui-0.3.tar.gz
# setenforce 0
# yumy install mysql-devel postgresql-devel php php-devel
# mv ossec-wui-0.3 /var/www/html/ossec-wui
# chown -R ossec.ossec /var/www/html/ossec-wui
# cd /var/www/html/ossec-wui
Ejecute el script de instalacin en el directorio de ossec:
# ./setup.sh
Cree el usuario de administracin
# usermod -G ossec apache
Modifique los permisos en el directorio tmp/ en el directorio ossec para permitir al usuario apacheacceder al contenido de tmp
# chmod 770 /var/www/html/ossec-wui/tmp
# chgrp apache /var/www/html/ossec-wui/tmp
Reinicie el servicio Apache
12.- Habilite autenticacin en el servidor apache
13.- Conctese ahttp://localhost/ossec-wui/para confirmar su operacin
http://localhost/ossec-wui/http://localhost/ossec-wui/http://localhost/ossec-wui/http://localhost/ossec-wui/ -
7/24/2019 Act_Formato de Actividad HIDS
6/14
Escuela de Informtica y Telecomunicaciones
PDA
Actividad de Aprendizaje
Ttulo: Auditoria de Seguridad en Servidores
1.- Inicien su computador en Windows 7.
2.- configure el ambiente de OSSEC Server y el agente instalado en el Servidor Windows 2008,
realizado en el laboratorio anterior.
3.- Configure la direccin IP del servidor OSSEC y la clave de autenticacin
NOTA: Para obtener la clave de autenticacin conctese va SSH al servidor y realice el
procedimiento visto la clase anterior.
-
7/24/2019 Act_Formato de Actividad HIDS
7/14
Escuela de Informtica y Telecomunicaciones
PDA
Actividad de Aprendizaje
Generacin de clave:
4.- Pegue la clave generada en la interfaz de configuracin del cliente Windows
5.- Reinicie el servidor y el cliente OSSEC
-
7/24/2019 Act_Formato de Actividad HIDS
8/14
Escuela de Informtica y Telecomunicaciones
PDA
Actividad de Aprendizaje
6.- Confirme que tiene conexin revisando los logs de ambos:
- Cliente:
- Servidor:
7.- Configure la auditoria Windows para Inicio de Sesin
- Desde una ventana de comando (cmd) ejecute el comando secpol.msc.
8.- Cree un usuario en la opcin de Administracin de grupos y usuarios
-
7/24/2019 Act_Formato de Actividad HIDS
9/14
Escuela de Informtica y Telecomunicaciones
PDA
Actividad de Aprendizaje
9.- Agregue el usuario al grupo Administradores
10.- Realice un inicio de sesin con el usuario creado
11.- Revise los logs del servidor OSSEC
12.- Realice un logoff y conctese nuevamente como Administrador
-
7/24/2019 Act_Formato de Actividad HIDS
10/14
Escuela de Informtica y Telecomunicaciones
PDA
Actividad de Aprendizaje
Auditoria de archivos
13.- Configure la auditoria Windows en el servidor Windows 2008 para acceso a archivos
ejecutando los siguientes pasos:
- Desde una ventana de comando (cmd) ejecute el comando secpol.msc.
- Habilite la auditora de objetos:
14.- Cree una carpeta en el Escritorio llamada noborrar.
-
7/24/2019 Act_Formato de Actividad HIDS
11/14
Escuela de Informtica y Telecomunicaciones
PDA
Actividad de Aprendizaje
15.- Seleccione la carpeta creada con click derecho > Propiedades > Seguridad > Opciones
Avanzadas
16.- Agregue el usuario Administrador a las opciones de Auditoria
17.- Agregue las opciones de Auditora "Eliminar"
-
7/24/2019 Act_Formato de Actividad HIDS
12/14
Escuela de Informtica y Telecomunicaciones
PDA
Actividad de Aprendizaje
18.- Defina los permisos del usuario Administrador sobre la carpeta
-
7/24/2019 Act_Formato de Actividad HIDS
13/14
Escuela de Informtica y Telecomunicaciones
PDA
Actividad de Aprendizaje
19.- Seleccione los permisos del usuario Administrador sobre la carpeta
-
7/24/2019 Act_Formato de Actividad HIDS
14/14
Escuela de Informtica y Telecomunicaciones
PDA
Actividad de Aprendizaje
20.- Finalmente configure el control de acceso del usuario Administrador sobre la carpeta
21.- Intente borrar la carpeta y revise los logs del servidor OSSEC
22.- Investigue como realizar la auditora sobre la modificacin de un archivo