Upload
gyyghygtuyhjygtrftgy
View
219
Download
1
Embed Size (px)
Citation preview
Escuela de Informática y Telecomunicaciones
PDA
Actividad de Aprendizaje
ACTIVIDAD DE APRENDIZAJE Carrera/s Ingeniería en Conectividad y Redes
Sigla Curso GRC 6501
Modalidad Presencial
Versión PDA 2014
Forma de trabajo
x Individual □ Grupal
Infraestructura (lugar)
□ Sala de clases x Laboratorio (especifique) □ Terreno (especifique) □ Otros (especifique)
Material de apoyo (insumos y equipamiento) para la actividad
Computador personal para cada alumno Software HIDS OSSEC provisto por su profesor Máquina Virtual Linux Centos Máquina Virtual Windows 2008 server
NOMBRE DE LA ACTIVIDAD
Instalación y configuración de solución HIDS
DESCRIPCIÓN DE LA ACTIVIDAD
El estudiante podrá adquirir las competencias de instalar y configurar una solución HIDS y realizar auditoria de seguridad en sistemas Linux y Windows
Introducción: En esta actividad el estudiante instalará la solución HIDS OSSEC en un servidor Linux y podrá realizar monitoreo de eventos de seguridad y auditoria de un servidor Windows Server Desarrollo:
- El estudiante deberá instalar la solución OSSEC Server en su servidor Linux y comprobar su funcionamiento monitoreando los puertos de servicio
- Su compañero deberá instalar el agente de OSSEC en su servidor Linux y realizar la configuración de conexión con la estación servidor de su compañero
- El estudiante deberá instalar la aplicación web de OSSEC para administración - Su compañero deberá instalar el agente en su servidor Windows y confirmar la conexión
con el servidor - Deberán configurar en conjunto las políticas de auditoria de su servidor Windows 2008,
realizar pruebas de seguridad y visualizar los eventos en el servidor de logs Evaluación (desarrollar en la pauta correspondiente)
Escuela de Informática y Telecomunicaciones
PDA
Actividad de Aprendizaje
Actividad práctica:
Formato: Pareja.
Asignatura: Gestión de Riesgos en Redes Corporativas
Código: GRC 6501
Objetivo: Realizar el monitoreo de eventos de un servidor utilizando herramientas Open Source
Título: Monitoreo de eventos de Seguridad
Instalación del servidor:
1.- Levante la máquina virtual de Sistema Operativo Centos
2.- Configure la interfaz de red en modo “puente”
3.- Instale la consola de administración del software OSSEC provista por su profesor en el servidor
Linux:
- Siga las instrucciones del siguiente link:
http://ossec-docs.readthedocs.org/en/latest/manual/installation/install-source.html
4.- Configure la instalación en español
- responda el resto de las opciones por defecto
5.- Confirme que el servicio está operativo con el comando:
Instalación del cliente:
5.- Pida a su compañero que instale los agentes provistos por su profesor en las máquinas virtuales
Linux Centos y Wndows Server 2008 respectivamente.
- Use el siguiente link:
http://ossec-docs.readthedocs.org/en/latest/manual/installation/install-source.html
Escuela de Informática y Telecomunicaciones
PDA
Actividad de Aprendizaje
6.- Detalle del diagrama de laboratorio:
7.-Realice la sincronización de los agentes con el servidor utilizando las instrucciones detalladas a
continuación:
http://ossec-docs.readthedocs.org/en/latest/manual/agent/agent-management.html
- Utilice un cliente ssh para conectarse al servidor y ejecutar el procedimiento de sincronización de
clave:
Server OSSEC Agente OSSEC Agente OSSEC
Linux Centos Linux Centos Windows 2003
Logs de eventos
Escuela de Informática y Telecomunicaciones
PDA
Actividad de Aprendizaje
8.- Ejecute cada uno de los pasos y genere la llave de sincronización:
9.- Configure el cliente con la clave generada en el servidor:
10.- Compruebe que el agente esta en conexión con el servidor, para esto revise el log del agente:
Escuela de Informática y Telecomunicaciones
PDA
Actividad de Aprendizaje
Instalación de interfaz web:
11.- Baje el archivo “ossec-wui-0.3.tar.gz” provisto por su profesor e instale la interfaz web de
OSSEC Manager en el servidor Linux, siga las siguientes instrucciones:
# tar -xzvf ossec-wui-0.3.tar.gz
# setenforce 0
# yum –y install mysql-devel postgresql-devel php php-devel
# mv ossec-wui-0.3 /var/www/html/ossec-wui
# chown -R ossec.ossec /var/www/html/ossec-wui # cd /var/www/html/ossec-wui Ejecute el script de instalación en el directorio de ossec: # ./setup.sh
Cree el usuario de administración
# usermod -G ossec apache Modifique los permisos en el directorio tmp/ en el directorio ossec para permitir al usuario apache acceder al contenido de tmp # chmod 770 /var/www/html/ossec-wui/tmp
# chgrp apache /var/www/html/ossec-wui/tmp Reinicie el servicio Apache
12.- Habilite autenticación en el servidor apache
13.- Conéctese a http://localhost/ossec-wui/ para confirmar su operación
Escuela de Informática y Telecomunicaciones
PDA
Actividad de Aprendizaje
Título: Auditoria de Seguridad en Servidores
1.- Inicien su computador en Windows 7.
2.- configure el ambiente de OSSEC Server y el agente instalado en el Servidor Windows 2008,
realizado en el laboratorio anterior.
3.- Configure la dirección IP del servidor OSSEC y la clave de autenticación
NOTA: Para obtener la clave de autenticación conéctese vía SSH al servidor y realice el
procedimiento visto la clase anterior.
Escuela de Informática y Telecomunicaciones
PDA
Actividad de Aprendizaje
Generación de clave:
4.- Pegue la clave generada en la interfaz de configuración del cliente Windows
5.- Reinicie el servidor y el cliente OSSEC
Escuela de Informática y Telecomunicaciones
PDA
Actividad de Aprendizaje
6.- Confirme que tiene conexión revisando los logs de ambos:
- Cliente:
- Servidor:
7.- Configure la auditoria Windows para Inicio de Sesión
- Desde una ventana de comando (cmd) ejecute el comando secpol.msc.
8.- Cree un usuario en la opción de Administración de grupos y usuarios
Escuela de Informática y Telecomunicaciones
PDA
Actividad de Aprendizaje
9.- Agregue el usuario al grupo Administradores
10.- Realice un inicio de sesión con el usuario creado
11.- Revise los logs del servidor OSSEC
12.- Realice un logoff y conéctese nuevamente como Administrador
Escuela de Informática y Telecomunicaciones
PDA
Actividad de Aprendizaje
Auditoria de archivos
13.- Configure la auditoria Windows en el servidor Windows 2008 para acceso a archivos
ejecutando los siguientes pasos:
- Desde una ventana de comando (cmd) ejecute el comando secpol.msc.
- Habilite la auditoría de objetos:
14.- Cree una carpeta en el Escritorio llamada “noborrar”.
Escuela de Informática y Telecomunicaciones
PDA
Actividad de Aprendizaje
15.- Seleccione la carpeta creada con click derecho > Propiedades > Seguridad > Opciones
Avanzadas
16.- Agregue el usuario Administrador a las opciones de Auditoria
17.- Agregue las opciones de Auditoría "Eliminar"
Escuela de Informática y Telecomunicaciones
PDA
Actividad de Aprendizaje
18.- Defina los permisos del usuario Administrador sobre la carpeta
Escuela de Informática y Telecomunicaciones
PDA
Actividad de Aprendizaje
19.- Seleccione los permisos del usuario Administrador sobre la carpeta
Escuela de Informática y Telecomunicaciones
PDA
Actividad de Aprendizaje
20.- Finalmente configure el control de acceso del usuario Administrador sobre la carpeta
21.- Intente borrar la carpeta y revise los logs del servidor OSSEC
22.- Investigue como realizar la auditoría sobre la modificación de un archivo