Security/Network

OSSEC 설치 및 설정하기(시나리오)

2er0127 2023. 6. 3. 15:29

실습 환경: Virtualbox Ubuntu 22.04 CLI, PuTTY

 

 

OSSEC(Open Source HIDS SECurity)

오픈 소스 호스트 기반 침입 탐지 시스템으로,

윈도우/리눅스 기반의 보안 로그 및 시스템 정보를 서버와 에이전트를 이용해 수집하는 솔루션이다.

 

 

 

1.

시나리오:

Server, Agent에 OSSEC이 작동되고 있고, Agent에 Attacker가 SSH 접속 시도를 한다. 로그를 통해 공격자의 IP를 차단해야 한다.

 

 

 

NAT Network를 사용 중인 Ubuntu 가상 머신 3개를 각각 Server, Agent, Attacker용으로 사용한다.

 

실습은 PuTTY를 이용하여 진행하며, SSH를 이용해 각자의 가상 머신 IP에 원격 접속을 한다.

ssh hostname@ip

 

Server 11.11.11.4

Agent 11.11.11.9

Attacker 11.11.11.10

을 사용 중이다.

 

 

 

 

 

 

2.

OSSEC 다운로드 

Download OSSEC - OSSEC

 

Download OSSEC - OSSEC

Download OSSEC for Your Platform

www.ossec.net

 

 

Server Agent에 OSSEC을 다운받아야 한다.

 

 

다운로드 링크에서 Ubuntu를 선택해 서버는 서버 다운로드 명령어, 에이전트는 에이전트 명령어를 입력한다.

 

// server
wget -q -O - https://updates.atomicorp.com/installers/atomic | sudo bash
sudo apt-get update
sudo apt-get install ossec-hids-server

// agent
wget -q -O - https://updates.atomicorp.com/installers/atomic | sudo bash
sudo apt-get update
sudo apt-get install ossec-hids-agent

 

 

 

 

 

3.

설치가 완료되면 OSSEC 관련 파일들이 생긴다.

경로 파일 비고
/var/ossec/etc 설정 파일 ossec.conf: 정책 설정
/var/ossec/logs 로그 파일 -
/var/ossec/var 프로세스 id -
/var/ossec/rules rule 파일 -
/var/ossec/bin 실행 파일 -

 

 

 

 

 

4.

먼저 Server(manager)를 설정한다.

 

서버에서는 Agent를 추가하고, ID를 할당받아 Key를 발급받아야 한다.

 

 

경로는 /var/ossec/bin./manage_agents 이다.

 

a 옵션은 agent 추가 옵션이다. agent 이름과 IP를 입력하고, ID는 기본 값을 사용하려면 엔터를 누른다.

 

 

다음 Key를 발급 받는 옵션은 e 옵션을 사용한다.

 

위에서 할당받은 ID를 입력하면 Key가 나오는데, Agent 설정에서 필요하니 미리 복사해두는 것을 추천한다.

 

q 옵션으로 종료한다.

 

 

 

 

이제 Agent(client)를 설정한다.

 

경로는 똑같이 /var/ossec/bin./manage_agents 이다.

 

 

여기서는 발급받은 키를 등록해줘야 한다. 옵션은 i 이다.

 

키를 등록하면 나오는 정보가 맞는지 확인한 후, q 옵션으로 종료한다.

 

 

 

그 다음 로그를 전송할 Server IP를 등록해야 한다.

 

Agent의 /var/ossec/etc/ossec.conf 에서

 

<server-ip>11.11.11.4</server-ip>에 다음과 같이 서버 IP를 등록하고 저장한다.

/var/ossec/etc/ossec.conf

 

 

 

 

 

5.

이제 필요한 설정은 끝났고, 실행하는 명령어는 아래와 같다.

 

서버와 에이전트 모두 같은 명령어이다.

/var/ossec/bin/ossec-control start

 

 

Server에서 실시간 로그 탐지를 하기 위해서는 tail -f 명령어로 로그가 남는 파일을 지정해준다.

로그는 alerts/alerts.log 에서 확인 가능하다.

tail -f /var/ossec/logs/alerts/alerts.log

 

 

 

 

 

6.

AttackerAgent root 계정으로 SSH 접속을 시도할 예정이다.

ssh root@serverIP

 

접속을 시도하여 비밀번호가 실패할 때마다, Serveralerts.log에 실시간으로 로그가 찍히는 것을 볼 수 있다.

 

 

 

 

 

7.

접속 시도 로그를 보고 해당 IP를 차단하려면,

/etc/hosts.deny 파일에 IP를 추가해주면 된다.

 

 

 

OSSEC 종료는 다음 명령어를 이용한다.

/var/ossec/bin/ossec-control stop

 

 

 

728x90
저작자표시 비영리 변경금지

'Security > Network' 카테고리의 다른 글

2014-11-16 TRAFFIC ANALYSIS EXERCISE ANSWERS  (0) 2023.06.05
Modsecurity 설치 및 차단 테스트  (1) 2023.06.04
Suricata 설치 및 설정  (0) 2023.06.01
Suricata rule 구조  (0) 2023.06.01
VirtualBox NAT Network 원리와 설정하기  (0) 2023.05.26

'Security/Network'의 다른글

  • 현재글OSSEC 설치 및 설정하기(시나리오)

관련글

댓글

티스토리툴바