728x90
반응형
구축환경
CentOS7
www.ossec.net
snort - N(Network)IDS
OSSEC - H(Host)IDS : 내부시스템에 위험이 존재할 수 있는데, 보안성을 높이기 위해 사용하는 것
snort와는 다르게 rule들이 default로 정해져있다.
방식은 두 가지로 나뉜다.
server/agent, local, hybrid
virtual box - OSSEC (linux, red hat) server, client 머신 총 2개 만들기
Server와 Client 간에 통신이 잘 이루어지는지 핑으로 확인
www.ossec.net 접속
Centos/RedHat 선택. 다운로드하기 전에 다른 프로그램을 몇 가지 다운로드 받아야 한다.
머신을 실행할 때 server는 putty로 실행 (192.168.10.24)
client도 putty로 실행 (192.168.10.31)
Host를 windown sec agent로 만들 예정
각 머신에 설치하기
| yum install -y zlib-devel pcre2-devel make gcc sqlite-devel openssl-devel libevent-devel systemd-devel |
| yum install -y mysql-devel postgresql-devel |
| postgresql-libs 패키지는 모든 PostgreSQL 클라이언트 프로그램 또는 인터페이스를 위한 필수 공유 라이브러리를 제공한다. 다른 PostgreSQL 패키지나 PostgreSQL 서버에 연결해야 하는 클라이언트를 사용하려면 이 패키지를 설치해야 한다. |
| yum install -y wget |
| wget 설치 |
서버
| wget -q -O - https://updates.atomicorp.com/installers/atomic | sudo bash |
| wget 파일을 가져와서 bash파일에 처리해라 |
 |
| yum install -y ossec-hids-server |
| 동작하기 위한 서버 설치 |
 |
클라이언트
| wget -q -O - https://updates.atomicorp.com/installers/atomic | sudo bash |
 |
| yum install -y ossec-hids-agent |
| 저장된 repo로부터 서버가 아니라 agent를 설치해야한다. |
서버
 |
 |
 |
| C안에 있는 test디렉토리 검사 window환경을 검사하기 위한 디렉토리 |
| firewall-cmd --permanent --add-port=1514/udp |
| udp 1514번을 기본포트로 하고 있다. 포트 열어주기 |
| firewall-cmd --permanent --add-port=1514/udp |
| 통상적으로 tcp도 열어주기 때문에 같이 열어줌 |
| firewall-cmd --reload |
| /var/ossec/bin/ossec-control start |
| rule 디렉토리에서 스타트 |
| /var/ossec/bin/manage_agents |
  |
| 리눅스 키 등록 |
 |
| agent key 001, 002 모두 복사하기 (위: 001 / 아래: 002) |
| MDAxIENsaWVudCAxOTIuMTY4LjEwLjMxIDg5NjIwNjlhZGM2YzIzNGJmNTYyMTg4ODRjZTU2MDdiMTYxZDMxNDg0N2ZiZjU0M2MyY2Y1YzFjNjZiN2I2NGM= |
| MDAyIFdpbmRvdyAxOTIuMTY4LjEwLjMwIDc1YTUzYzMwYjg1YWIzYzQzNDg2MWU2ZDI2OTNjODE1NjVhOGU3ZDVkOTA0NDZkODVkYTk5MzFlMGU0MDExM2I= |
클라이언트
 |
 |
| /var/ossec/bin/manage_agent |
 |
 |
| 하지만 현재는 Error: Cannot unlink /queue/rids/sender No such file or directory라는 오류가 뜬다. |
서버
| cd bin |
| ls |
 |
| ./agent_control |
 |
| ./agent_control -l |
 |
| /var/ossec/bin/ossec-control restart |
| 그러면 다시 시작해본다. |
 |
| 활성화됨 |
웹
다운로드 후 설치 및 실행
그 다음 상단메뉴 Manage - Start
참고 사항들
internal_options.conf 로 서버의 설정을 변경할 수 있다.
위 두 가지 실행파일로 설정 및 모니터링을 할 수 있다.
클라이언트
윈도우 클라이언트 확인방법
| 다음 날 서버의 ip가 변경되어있을 경우, OSSEC Agent Manager로 서버의 ip만 바꿔주면된다. |
| 상단메뉴 View - View config에 들어가면 |
 |
| 그 다음 save -> refresh |
 |
| 시간, 기록 등등 모든 기록들을 볼 수 있다. |
728x90
반응형
'해킹 > 해킹, 취약점, 악성코드, 솔루션' 카테고리의 다른 글
| WAF(Web Application Firewall) 구축 및 정책 작성 (0) | 2023.04.16 |
|---|---|
| 통합위협관리 솔루션 Untangle 설치 (0) | 2023.04.16 |
| pcapng (pcapng 파일을 pcap 파일로 변환) (0) | 2023.04.16 |
| Networkminer 설치 (0) | 2023.04.16 |
| OWASP TOP 10이란 (0) | 2023.04.16 |