OSSEC آی دی اس مبتنی بر هاست (HOST-BASED IDS)

 http://www.ossec.net/

در ادامه معرفی برنامه های کد باز مفید برای امنیت شبکه شما  به نظر بنده یکی از پر کاربرد ترین آنها OSSEC است که با نصب ایجنت آن بر روی سرورهای شما اقدام به کنترل فایل ها و رخدادهای سرور کرده و گزارشاتی را به اطلاع شما از طریق سرور مرکزی خود خواهد رساند

رخداد هایی همچون ورود موفق و غیر موفق به سرور و یا تغییرات فایل ها پوشه های سیستم

یکی از اولین اقدامات هکر بعد از ورود به سرور شما قرار دادن در پشتی و یا بکدور بر روی سرور شماست این بکدور یا به صورت یک فایل باینری و یا حتی در مشهود ترین حالت به صورت یک اسکریپت تحت وب یا اصطلاحآ شل اسکریپت میباشد. این که برخی پوشه های خاص مانند وب سایت شما بر روی سرور دائمآ در حال چک شدن باشند و در صورت تغییر فایل و یا اضافه یا کم شدن فایل شما اولین نفر باشید که از طریق سیستم اخطار دهی OSSEC در جریان قرار بگیرید یکی از پر کاربرد ترین موارد استفاده از OSSEC است  حتی میتوان با تنظیم آن اجازه اجرای دستور  و یا سری از فرامین سیستم را در صورت مشاهده برخی از وقایع به OSSEC داد.

قابلیت های اصلی این سیستم به شرح زیر میباشند:

  • log analysis
  • file integrity checking
  • policy monitoring
  • rootkit detection
  • real-time alerting and active response

برای نصب سیتم بر روی کلاینت ها مراحل زیر بایستی طی شود:

1-      دریافت کلاینت از آدرس زیر و نصب آن بر روی کلاینت

http://www.ossec.net/?page_id=19

2-      با استفاده از دستور زیر در سرور اقدام به نصب ایجینت میکنیم

Server~# var/ossec/bin/./manage_agents

****************************************

* OSSEC HIDS v2.3 Agent manager.     *

* The following options are available: *

****************************************

   (A)dd an agent (A).

   (E)xtract key for an agent (E).

   (L)ist already added agents (L).

   (R)emove an agent (R).

   (Q)uit.

از منو A را جهت اضافه کردن ایجنت انتخاب میکنیم، اسم کلاینت ،آدرس آیپی و شماره آیدی کلاینت را وارد کنید .

3-      در مرحله بعد  با انتخاب گزینه E ، کلید ارتباطی بین سرور و کلاینت را تولید کنید:

Choose your action: A,E,L,R or Q: e

Available agents:

ID: 001, Name: server001, IP: 192.168.0.25

Provide the ID of the agent to extract the key (or ‘\q’ to quit): 001

Agent key information for ‘001’ is:

MDAxIHNlcnZlcjAwMSAxOTIuMTY4LjUuMjUgYTAyZWEyNTg4-0——————————–zU2NDY1ODljNGFkMDkwYg==

** Press ENTER to return to the main menu.

4-      از کلید تولید شده برای کلاینت مورد نظر جهت ارتباط با سرور استفاده نمایید.

 ossec-agent