Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

ACTIVIDAD DE APRENDIZAJE
Carrera/s

Ingeniera en Conectividad y Redes

Sigla Curso
Modalidad
Versin PDA
Forma de trabajo

GRC 6501
Presencial
2014
x Individual
Grupal
Sala de clases
x Laboratorio (especifique)
Terreno (especifique)
Otros (especifique)
Computador personal para cada alumno
Software HIDS OSSEC provisto por su profesor
Mquina Virtual Linux Centos
Mquina Virtual Windows 2008 server

Infraestructura (lugar)

Material de apoyo (insumos y equipamiento) para la

actividad

NOMBRE DE LA ACTIVIDAD
Instalacin y configuracin de solucin HIDS
DESCRIPCIN DE LA ACTIVIDAD
El estudiante podr adquirir las competencias de instalar y configurar una solucin HIDS y realizar
auditoria de seguridad en sistemas Linux y Windows

Introduccin: En esta actividad el estudiante instalar la solucin HIDS OSSEC en un servidor

Linux y podr realizar monitoreo de eventos de seguridad y auditoria de un servidor Windows
Server
Desarrollo:
- El estudiante deber instalar la solucin OSSEC Server en su servidor Linux y comprobar
su funcionamiento monitoreando los puertos de servicio
- Su compaero deber instalar el agente de OSSEC en su servidor Linux y realizar la
configuracin de conexin con la estacin servidor de su compaero
- El estudiante deber instalar la aplicacin web de OSSEC para administracin
- Su compaero deber instalar el agente en su servidor Windows y confirmar la conexin
con el servidor
- Debern configurar en conjunto las polticas de auditoria de su servidor Windows 2008,
realizar pruebas de seguridad y visualizar los eventos en el servidor de logs

Evaluacin (desarrollar en la pauta correspondiente)

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

Actividad prctica:
Formato: Pareja.
Asignatura: Gestin de Riesgos en Redes Corporativas
Cdigo: GRC 6501
Objetivo: Realizar el monitoreo de eventos de un servidor utilizando herramientas Open Source
Ttulo: Monitoreo de eventos de Seguridad
Instalacin del servidor:
1.- Levante la mquina virtual de Sistema Operativo Centos
2.- Configure la interfaz de red en modo puente
3.- Instale la consola de administracin del software OSSEC provista por su profesor en el servidor
Linux:
- Siga las instrucciones del siguiente link:
http://ossec-docs.readthedocs.org/en/latest/manual/installation/install-source.html
4.- Configure la instalacin en espaol
- responda el resto de las opciones por defecto
5.- Confirme que el servicio est operativo con el comando:

Instalacin del cliente:

5.- Pida a su compaero que instale los agentes provistos por su profesor en las mquinas virtuales
Linux Centos y Wndows Server 2008 respectivamente.
- Use el siguiente link:
http://ossec-docs.readthedocs.org/en/latest/manual/installation/install-source.html

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

6.- Detalle del diagrama de laboratorio:

Server OSSEC

Agente OSSEC

Linux Centos

Linux Centos

Agente OSSEC

Windows 2003

Logs de eventos

7.-Realice la sincronizacin de los agentes con el servidor utilizando las instrucciones detalladas a
continuacin:
http://ossec-docs.readthedocs.org/en/latest/manual/agent/agent-management.html
- Utilice un cliente ssh para conectarse al servidor y ejecutar el procedimiento de sincronizacin de
clave:

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

8.- Ejecute cada uno de los pasos y genere la llave de sincronizacin:

9.- Configure el cliente con la clave generada en el servidor:

10.- Compruebe que el agente esta en conexin con el servidor, para esto revise el log del agente:

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

Instalacin de interfaz web:

11.- Baje el archivo ossec-wui-0.3.tar.gz provisto por su profesor e instale la interfaz web de
OSSEC Manager en el servidor Linux, siga las siguientes instrucciones:
# tar -xzvf ossec-wui-0.3.tar.gz
# setenforce 0
# yum y install mysql-devel postgresql-devel php php-devel
# mv ossec-wui-0.3 /var/www/html/ossec-wui
# chown -R ossec.ossec /var/www/html/ossec-wui
# cd /var/www/html/ossec-wui
Ejecute el script de instalacin en el directorio de ossec:
# ./setup.sh
Cree el usuario de administracin

# usermod -G ossec apache

Modifique los permisos en el directorio tmp/ en el directorio ossec para permitir al usuario apache
acceder al contenido de tmp
# chmod 770 /var/www/html/ossec-wui/tmp
# chgrp apache /var/www/html/ossec-wui/tmp
Reinicie el servicio Apache
12.- Habilite autenticacin en el servidor apache
13.- Conctese a http://localhost/ossec-wui/ para confirmar su operacin

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

Ttulo: Auditoria de Seguridad en Servidores

1.- Inicien su computador en Windows 7.
2.- configure el ambiente de OSSEC Server y el agente instalado en el Servidor Windows 2008,
realizado en el laboratorio anterior.

3.- Configure la direccin IP del servidor OSSEC y la clave de autenticacin

NOTA: Para obtener la clave de autenticacin conctese va SSH al servidor y realice el

procedimiento visto la clase anterior.

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

Generacin de clave:

4.- Pegue la clave generada en la interfaz de configuracin del cliente Windows

5.- Reinicie el servidor y el cliente OSSEC

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

6.- Confirme que tiene conexin revisando los logs de ambos:

- Cliente:

- Servidor:

7.- Configure la auditoria Windows para Inicio de Sesin

- Desde una ventana de comando (cmd) ejecute el comando secpol.msc.

8.- Cree un usuario en la opcin de Administracin de grupos y usuarios

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

9.- Agregue el usuario al grupo Administradores

10.- Realice un inicio de sesin con el usuario creado

11.- Revise los logs del servidor OSSEC

12.- Realice un logoff y conctese nuevamente como Administrador

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

Auditoria de archivos
13.- Configure la auditoria Windows en el servidor Windows 2008 para acceso a archivos
ejecutando los siguientes pasos:
- Desde una ventana de comando (cmd) ejecute el comando secpol.msc.

- Habilite la auditora de objetos:

14.- Cree una carpeta en el Escritorio llamada noborrar.

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

15.- Seleccione la carpeta creada con click derecho > Propiedades > Seguridad > Opciones
Avanzadas

16.- Agregue el usuario Administrador a las opciones de Auditoria

17.- Agregue las opciones de Auditora "Eliminar"

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

18.- Defina los permisos del usuario Administrador sobre la carpeta

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

19.- Seleccione los permisos del usuario Administrador sobre la carpeta

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

20.- Finalmente configure el control de acceso del usuario Administrador sobre la carpeta

21.- Intente borrar la carpeta y revise los logs del servidor OSSEC

22.- Investigue como realizar la auditora sobre la modificacin de un archivo