DarkSoul.Story

OSSEC에서 생성되는 출력 데이터를 MySQL또는 PostgreSQL로 보낼 수 있도록 지원하고 있다. 여기서는 OSSEC 출력 데이터를 MySQL로 보내는 방법에 대해서 살펴본다. 1. 데이터베이스 지원 활성화 OSSEC에서 데이터베이스 사용할 수 있도록 사전 준비를 해야한다. 데이터베이스 지원 활성화 방법은 아래와 같다. # cd ossec-hids-2.8.3/src # ossec-hids-2.8.3/src # make setdb 데이터베이스 지원 활성화를 하는 도중에 위와 같이 PostgreSQL 관련 에러 메시지를 출력하게된다. 해당 에러메시지는 PostgreSQL가 설치되어 있지 않아서 발생하는 에러메시지이다. 데이터 베이스 지원 활성화가 완료되었으면, ./install.sh 쉘 스크립트를 실..

OSSEC 서버에 Agent를 추가 하기위해 Agent키를 입력해야 한다. 하지만 Agent키가 복잡하면서 길기 때문에 키를 입력 하는 도중 오타가 발생할 수 있다. 그래서 OSSEC에서는 ossec-authd와 agent-auth를 이용해서 자동화된 방법으로 agent를 추가 할 수 있도록 제공하고 있다. 참고로 Windows Agent 에서는 해당 기능을 제공하지 않는다. OSSEC 서버에서 ossec-authd를 실행 시킨다. /var/ossec/bin# ./ossec-authd -p 1515 ossec-authd가 실행되면, 1515 포트로 오픈 후 agent-auth 연결하기 전까지 대기하고있다. 처음 ossec-authd를 실행 하면 아래와 같이 OpenSSL 에러 메시지를 확인 할 수 있다...

OSSEC Agent는 Linux/Unix 계열의 시스템 뿐만 아니라 Windows 시스템에도 설치가 가능하다. 하지만 모든 Windows 시스템이 해당하는 것은 아니다. Windows 시스템은 Windows XP, Windows 2003, Windows Vista, Windows 2008, Windows 2012에서만 설치가 가능하다. Windows Agent는 아래에서 보이는것 같이 Agent Windows를 다운로드 받아서 설치한다. 여기서는 Windows Server 2012 평가판을 이용해서 설치 방법을 설명한다. 다운로드 받은 Windows Agent 설치 파일을 실행 시켜준다. 설치 파일이 실행되면 [Next]를 클릭한다. 다음으로 라이센스 정보가 나타나며, [I Agree]를 클릭하여 다음..

Steps. 1. OSSEC 최신버전 다운로드 및 체크섬 확인 1) development package 설치 2) OSSEC Manager/Agent 패키지 다운로드 3) OSSEC Manager/Agent 체크섬 파일 다운로드 4) OSSEC 체크섬 파일 확인 5) OSSEC 체크섬 확인 2. OSSEC Manager Install 1) 다운로드 받은 OSSEC 패키지 압축풀기 2) install.sh 쉘 스크립트를 실행 하여, OSSEC Install 3. Start OSSEC HIDS 4. OSSEC Agent Install (Linux) 5. UDP 1514포트 허용 OSSEC Manager/Agnet 설치는 다운로드 받은 패키지 안에 있는 install.sh 쉘 스크립트를 실행 하여, 대부분 자..

Steps.1. OSSEC (Open Soure HIDS SECurity) 설치 요구 사항 1) Ubuntu 2) RedHat 3) Debian 1. OSSEC (Open Soure HIDS SECurity) 설치 요구 사항UNIX 시스템에 OSSEC을 설치 하기 위해서는 GNU의 make, gcc, libc가 필요하다. OpenSSL은 필요하나 옵션으로 필수적으로 설치 해야 하는것은 아니다. 1) UbuntuUbuntu에 OSSEC을 컴파일하고 설치하기 위해서는 build-essential 패키지가 필요하다. build-essential 패키지는 아래 명령을 실행하여 설치할 수 있다. # apt-get install build-essential 만약 데이터베이스가 필요한 경우 mysql-dev 또는po..

Steps.1. 개요2. OSSEC 아키텍처 (Architecture) 1) Manager 2) Agent 3) Agentless 4) Virtualization/VMware 5) Firewall, Switch, Router3. OSSEC에서 지원하는 시스템 1) OSSEC Agent를 지원하는 운영체제 2) syslog를 지원하는 시스템/디바이스 (Devices supported via Syslog) 3) Agentless를 지원하는 시스템 1. 개요 OSSEC은 확장 멀티 플랫폼, 오픈소스 호스트 기반 침입 탐지 시스템 (HIDS)이다. OSSEC은 강력한 상관 관계 및 분석 엔진을 이용하여, 통합 로그 분석, 파일 무결성 검사, Windows 레지스트리 모니터링, 중앙 집중식 정책 적용, 루트킷 탐..