Infomation

OSSEC (Open Soure HIDS SECurity) ossec-authd를 이용하여 Agent 추가

DarkSoul.Story 2016. 5. 19. 20:29
반응형

OSSEC 서버에 Agent를 추가 하기위해 Agent키를 입력해야 한다. 하지만 Agent키가 복잡하면서 길기 때문에 키를 입력 하는 도중 오타가 발생할 수 있다. 그래서 OSSEC에서는 ossec-authd와 agent-auth를 이용해서 자동화된 방법으로 agent를 추가 할 수 있도록 제공하고 있다. 참고로 Windows Agent 에서는 해당 기능을 제공하지 않는다. 


OSSEC 서버에서 ossec-authd를 실행 시킨다. 


/var/ossec/bin# ./ossec-authd -p 1515


ossec-authd가 실행되면, 1515 포트로 오픈 후 agent-auth 연결하기 전까지 대기하고있다. 처음 ossec-authd를 실행 하면 아래와 같이 OpenSSL 에러 메시지를 확인 할 수 있다. 해당 메시지는 /var/ossec/etc/ 폴더에 SSL 인증서인 sslmanager.cert파일이 없기 때문이다. 



그럼 SSL에 대한 인증서와 개인키를 생성해 보자. 


# openssl genrsa -out /var/ossec/etc/sslmanager.key 2048


# openssl req -new -x509 -key /var/ossec/etc/sslmanager.key -out /var/ossec/etc/sslmanager.cert -days 365

SSL에 대한 인증서와 키가 만들어 졌다. 다시 한번 ossec-authd를 실행 시키면 1515 포트를 열고 대기하는것을 확인 할 수 있다.



OSSEC 서버에서 ossec-authd가 포트를 열고 대기 하고 있으면, 이제는 Agent에서 agent-auth를 실행 시킨다. 여기서 IP는 OSSEC 서버 IP 이다.

 agent-auth가 실행되면 OSSEC 서버에서 대기하고 있던 ossec-authd와 연결되면서 Agent 키를 교환한다.   


/var/ossec/bin# agent-auth -m 192.168.1.160 -p 1515


 OSSEC 서버에서는 아래와 같은 로그를 확인 할 수있다. 



OSSEC 서버에서 해당 Agent가 정상적으로 추가되었는지 manage_agents를 이용해서 확인해보면, 아래와 같이 IP가 any로 등록되어 있는것을 확인 할 수 있다. 

any는 모든 IP 주소의 연결을 허용한다는 뜻이다.



any로 되어 있으면, 아래와 같이 Web UI에서도 서버의 IP 대신 any로 되어 있어 한눈에 서버를 바로 확인 할 수 없는것이 단점이라고 생각된다. 

 

반응형