본문 바로가기

Open Source/OSSEC

(8)
OSSEC (Open Soure HIDS SECurity)와 MySQL 연동 - 출력 데이터 보내기 OSSEC에서 생성되는 출력 데이터를 MySQL또는 PostgreSQL로 보낼 수 있도록 지원하고 있다. 여기서는 OSSEC 출력 데이터를 MySQL로 보내는 방법에 대해서 살펴본다. 1. 데이터베이스 지원 활성화OSSEC에서 데이터베이스 사용할 수 있도록 사전 준비를 해야한다. 데이터베이스 지원 활성화 방법은 아래와 같다.# cd ossec-hids-2.8.3/src # ossec-hids-2.8.3/src # make setdb 데이터베이스 지원 활성화를 하는 도중에 위와 같이 PostgreSQL 관련 에러 메시지를 출력하게된다. 해당 에러메시지는 PostgreSQL가 설치되어 있지 않아서 발생하는 에러메시지이다. 데이터 베이스 지원 활성화가 완료되었으면, ./install.sh 쉘 스크립트를 실행 ..
OSSEC (Open Soure HIDS SECurity) ossec-authd를 이용하여 Agent 추가 OSSEC 서버에 Agent를 추가 하기위해 Agent키를 입력해야 한다. 하지만 Agent키가 복잡하면서 길기 때문에 키를 입력 하는 도중 오타가 발생할 수 있다. 그래서 OSSEC에서는 ossec-authd와 agent-auth를 이용해서 자동화된 방법으로 agent를 추가 할 수 있도록 제공하고 있다. 참고로 Windows Agent 에서는 해당 기능을 제공하지 않는다. OSSEC 서버에서 ossec-authd를 실행 시킨다. /var/ossec/bin# ./ossec-authd -p 1515ossec-authd가 실행되면, 1515 포트로 오픈 후 agent-auth 연결하기 전까지 대기하고있다. 처음 ossec-authd를 실행 하면 아래와 같이 OpenSSL 에러 메시지를 확인 할 수 있다. ..
OSSEC (Open Soure HIDS SECurity) Windows Agent install OSSEC Agent는 Linux/Unix 계열의 시스템 뿐만 아니라 Windows 시스템에도 설치가 가능하다. 하지만 모든 Windows 시스템이 해당하는 것은 아니다. Windows 시스템은 Windows XP, Windows 2003, Windows Vista, Windows 2008, Windows 2012에서만 설치가 가능하다. Windows Agent는 아래에서 보이는것 같이 Agent Windows를 다운로드 받아서 설치한다. 여기서는 Windows Server 2012 평가판을 이용해서 설치 방법을 설명한다. 다운로드 받은 Windows Agent 설치 파일을 실행 시켜준다. 설치 파일이 실행되면 [Next]를 클릭한다. 다음으로 라이센스 정보가 나타나며, [I Agree]를 클릭하여 다음..
OSSEC (Open Soure HIDS SECurity) Agent 관리 (manage_agent) Step.1. OSSEC 서버에서 manage_agent 1) manage_agent 실행/메뉴 화면 2) Add an agent 3) Extracting the key for an agent 4) List already added agent 5) Remove an agent2. OSSEC Agent에서 manage_agent 1. OSSEC 서버에서 manage_agentOSSEC 서버에서 manage_agent는 아래와 메뉴를 제공한다.- Add an Agent- Extracting the key for an agent- List already added agent- Remove an agent1) manage_agent 실행/메뉴 화면manage_agent는 root와 같이 적절한 권한이 있는 사용..
OSSEC (Open Soure HIDS SECurity) Web User Interface Install OSSEC Manager에 수집된 정보들을 사용자가 쉽게 확인 할 수 있도록 OSSEC Web User Interface를 지원한다. OSSEC Web User Interface를 설치하기 위해서는 Apache 4.1 이상, PHP 5.0이상 설치가되어 있어야 한다. 그리도 당연한 이야기지만, OSSEC 버전 0.9-3 이상 설치가 되어 있어야한다.만약 다른 Linux/Uinux 계열에서 Apache와 PHP를 설치하려고 한다면, 해당 OS에 맞는 설치 방법을 검색하면 자세한 내용을 찾을 수 있다.# apt-get install apache2 php5 libapache2-mod-php5 php5-mysql php5-curl php5-gd php5-intl php-pear php5-imagick php5-..
OSSEC (Open Soure HIDS SECurity) Manager/Agent(Linux) Install Steps.1. OSSEC 최신버전 다운로드 및 체크섬 확인 1) development package 설치 2) OSSEC Manager/Agent 패키지 다운로드 3) OSSEC Manager/Agent 체크섬 파일 다운로드 4) OSSEC 체크섬 파일 확인 5) OSSEC 체크섬 확인2. OSSEC Manager Install 1) 다운로드 받은 OSSEC 패키지 압축풀기 2) install.sh 쉘 스크립트를 실행 하여, OSSEC Install3. Start OSSEC HIDS4. OSSEC Agent Install (Linux)5. UDP 1514포트 허용 OSSEC Manager/Agnet 설치는 다운로드 받은 패키지 안에 있는 install.sh 쉘 스크립트를 실행 하여, 대부분 자동으로 설..
OSSEC (Open Soure HIDS SECurity) 설치 요구 사항 Steps.1. OSSEC (Open Soure HIDS SECurity) 설치 요구 사항 1) Ubuntu 2) RedHat 3) Debian 1. OSSEC (Open Soure HIDS SECurity) 설치 요구 사항UNIX 시스템에 OSSEC을 설치 하기 위해서는 GNU의 make, gcc, libc가 필요하다. OpenSSL은 필요하나 옵션으로 필수적으로 설치 해야 하는것은 아니다.1) UbuntuUbuntu에 OSSEC을 컴파일하고 설치하기 위해서는 build-essential 패키지가 필요하다. build-essential 패키지는 아래 명령을 실행하여 설치할 수 있다.# apt-get install build-essential만약 데이터베이스가 필요한 경우 mysql-dev 또는postg..
OSSEC (Open Soure HIDS SECurity) Steps.1. 개요2. OSSEC 아키텍처 (Architecture) 1) Manager 2) Agent 3) Agentless 4) Virtualization/VMware 5) Firewall, Switch, Router3. OSSEC에서 지원하는 시스템 1) OSSEC Agent를 지원하는 운영체제 2) syslog를 지원하는 시스템/디바이스 (Devices supported via Syslog) 3) Agentless를 지원하는 시스템 1. 개요OSSEC은 확장 멀티 플랫폼, 오픈소스 호스트 기반 침입 탐지 시스템 (HIDS)이다. OSSEC은 강력한 상관 관계 및 분석 엔진을 이용하여, 통합 로그 분석, 파일 무결성 검사, Windows 레지스트리 모니터링, 중앙 집중식 정책 적용, 루트킷 탐지..