Escuela de Informática y Telecomunicaciones

PDA

Actividad de Aprendizaje

ACTIVIDAD DE APRENDIZAJE Carrera/s Ingeniería en Conectividad y Redes

Sigla Curso GRC 6501

Modalidad Presencial

Versión PDA 2014

Forma de trabajo

x Individual □ Grupal

Infraestructura (lugar)

□ Sala de clases x Laboratorio (especifique) □ Terreno (especifique) □ Otros (especifique)

Material de apoyo (insumos y equipamiento) para la actividad

Computador personal para cada alumno Software HIDS OSSEC provisto por su profesor Máquina Virtual Linux Centos Máquina Virtual Windows 2008 server

NOMBRE DE LA ACTIVIDAD

Instalación y configuración de solución HIDS

DESCRIPCIÓN DE LA ACTIVIDAD

El estudiante podrá adquirir las competencias de instalar y configurar una solución HIDS y realizar auditoria de seguridad en sistemas Linux y Windows

Introducción: En esta actividad el estudiante instalará la solución HIDS OSSEC en un servidor Linux y podrá realizar monitoreo de eventos de seguridad y auditoria de un servidor Windows Server Desarrollo:

- El estudiante deberá instalar la solución OSSEC Server en su servidor Linux y comprobar su funcionamiento monitoreando los puertos de servicio

- Su compañero deberá instalar el agente de OSSEC en su servidor Linux y realizar la configuración de conexión con la estación servidor de su compañero

- El estudiante deberá instalar la aplicación web de OSSEC para administración - Su compañero deberá instalar el agente en su servidor Windows y confirmar la conexión

con el servidor - Deberán configurar en conjunto las políticas de auditoria de su servidor Windows 2008,

realizar pruebas de seguridad y visualizar los eventos en el servidor de logs Evaluación (desarrollar en la pauta correspondiente)

Escuela de Informática y Telecomunicaciones

PDA

Actividad de Aprendizaje

Actividad práctica:

Formato: Pareja.

Asignatura: Gestión de Riesgos en Redes Corporativas

Código: GRC 6501

Objetivo: Realizar el monitoreo de eventos de un servidor utilizando herramientas Open Source

Título: Monitoreo de eventos de Seguridad

Instalación del servidor:

1.- Levante la máquina virtual de Sistema Operativo Centos

2.- Configure la interfaz de red en modo “puente”

3.- Instale la consola de administración del software OSSEC provista por su profesor en el servidor

Linux:

- Siga las instrucciones del siguiente link:

http://ossec-docs.readthedocs.org/en/latest/manual/installation/install-source.html

4.- Configure la instalación en español

- responda el resto de las opciones por defecto

5.- Confirme que el servicio está operativo con el comando:

Instalación del cliente:

5.- Pida a su compañero que instale los agentes provistos por su profesor en las máquinas virtuales

Linux Centos y Wndows Server 2008 respectivamente.

- Use el siguiente link:

http://ossec-docs.readthedocs.org/en/latest/manual/installation/install-source.html

Escuela de Informática y Telecomunicaciones

PDA

Actividad de Aprendizaje

6.- Detalle del diagrama de laboratorio:

7.-Realice la sincronización de los agentes con el servidor utilizando las instrucciones detalladas a

continuación:

http://ossec-docs.readthedocs.org/en/latest/manual/agent/agent-management.html

- Utilice un cliente ssh para conectarse al servidor y ejecutar el procedimiento de sincronización de

clave:

Server OSSEC Agente OSSEC Agente OSSEC

Linux Centos Linux Centos Windows 2003

Logs de eventos

Escuela de Informática y Telecomunicaciones

PDA

Actividad de Aprendizaje

8.- Ejecute cada uno de los pasos y genere la llave de sincronización:

9.- Configure el cliente con la clave generada en el servidor:

10.- Compruebe que el agente esta en conexión con el servidor, para esto revise el log del agente:

Escuela de Informática y Telecomunicaciones

PDA

Actividad de Aprendizaje

Instalación de interfaz web:

11.- Baje el archivo “ossec-wui-0.3.tar.gz” provisto por su profesor e instale la interfaz web de

OSSEC Manager en el servidor Linux, siga las siguientes instrucciones:

# tar -xzvf ossec-wui-0.3.tar.gz

# setenforce 0

# yum –y install mysql-devel postgresql-devel php php-devel

# mv ossec-wui-0.3 /var/www/html/ossec-wui

# chown -R ossec.ossec /var/www/html/ossec-wui # cd /var/www/html/ossec-wui Ejecute el script de instalación en el directorio de ossec: # ./setup.sh

Cree el usuario de administración

# usermod -G ossec apache Modifique los permisos en el directorio tmp/ en el directorio ossec para permitir al usuario apache acceder al contenido de tmp # chmod 770 /var/www/html/ossec-wui/tmp

# chgrp apache /var/www/html/ossec-wui/tmp Reinicie el servicio Apache

12.- Habilite autenticación en el servidor apache

13.- Conéctese a http://localhost/ossec-wui/ para confirmar su operación

Escuela de Informática y Telecomunicaciones

PDA

Actividad de Aprendizaje

Título: Auditoria de Seguridad en Servidores

1.- Inicien su computador en Windows 7.

2.- configure el ambiente de OSSEC Server y el agente instalado en el Servidor Windows 2008,

realizado en el laboratorio anterior.

3.- Configure la dirección IP del servidor OSSEC y la clave de autenticación

NOTA: Para obtener la clave de autenticación conéctese vía SSH al servidor y realice el

procedimiento visto la clase anterior.

Escuela de Informática y Telecomunicaciones

PDA

Actividad de Aprendizaje

Generación de clave:

4.- Pegue la clave generada en la interfaz de configuración del cliente Windows

5.- Reinicie el servidor y el cliente OSSEC

Escuela de Informática y Telecomunicaciones

PDA

Actividad de Aprendizaje

6.- Confirme que tiene conexión revisando los logs de ambos:

- Cliente:

- Servidor:

7.- Configure la auditoria Windows para Inicio de Sesión

- Desde una ventana de comando (cmd) ejecute el comando secpol.msc.

8.- Cree un usuario en la opción de Administración de grupos y usuarios

Escuela de Informática y Telecomunicaciones

PDA

Actividad de Aprendizaje

9.- Agregue el usuario al grupo Administradores

10.- Realice un inicio de sesión con el usuario creado

11.- Revise los logs del servidor OSSEC

12.- Realice un logoff y conéctese nuevamente como Administrador

Escuela de Informática y Telecomunicaciones

PDA

Actividad de Aprendizaje

Auditoria de archivos

13.- Configure la auditoria Windows en el servidor Windows 2008 para acceso a archivos

ejecutando los siguientes pasos:

- Desde una ventana de comando (cmd) ejecute el comando secpol.msc.

- Habilite la auditoría de objetos:

14.- Cree una carpeta en el Escritorio llamada “noborrar”.

Escuela de Informática y Telecomunicaciones

PDA

Actividad de Aprendizaje

15.- Seleccione la carpeta creada con click derecho > Propiedades > Seguridad > Opciones

Avanzadas

16.- Agregue el usuario Administrador a las opciones de Auditoria

17.- Agregue las opciones de Auditoría "Eliminar"

Escuela de Informática y Telecomunicaciones

PDA

Actividad de Aprendizaje

18.- Defina los permisos del usuario Administrador sobre la carpeta

Escuela de Informática y Telecomunicaciones

PDA

Actividad de Aprendizaje

19.- Seleccione los permisos del usuario Administrador sobre la carpeta

Escuela de Informática y Telecomunicaciones

PDA

Actividad de Aprendizaje

20.- Finalmente configure el control de acceso del usuario Administrador sobre la carpeta

21.- Intente borrar la carpeta y revise los logs del servidor OSSEC

22.- Investigue como realizar la auditoría sobre la modificación de un archivo