Como parte del cumplimiento de PCI DSS, OSSEC suele ser una de las herramientas open source seleccionadas para la monitorización de ficheros críticos (Requerimientos 10.5.5 y 11.5). No obstante, en la mayoría de ocasiones no se aprovecha la potencia de esta herramienta como HIDS.
A continuación, os dejamos algunos consejos para aprovechar la potencia
de esta herramienta y que facilitan la detección de incidentes de
seguridad:
1. Activar la validación de reglas en el fichero de configuración. OSSEC ofrece un conjunto de reglas capaces de detectar eventos interesantes para diferentes tecnologías, por lo que será necesario analizar las reglas que aplican en cada uno de nuestros servidores para no incluir reglas innecesarias:
2. Idealmente, añadir reglas personalizadas para tecnologías concretas, así como para eventos que puedan ser de interés en el entorno, por ejemplo en aquellos casos en los que se ha aplicado un control compensatorio para un requerimiento de PCI DSS.
3. Activar la auditoría de sistema, este punto es útil tanto para detectar posibles compromisos como para detectar cambios en parámetros del bastionado del equipo e incluso para detectar datos de tarjetas de pago en claro. Un ejemplo sencillo de hacerlo es:
4. Añadiendo o personalizando algunas reglas, para que se adapten completamente a nuestro entorno. Por ejemplo, elevando el nivel de prioridad por defecto que tiene OSSEC cuando se detectan nuevos ficheros en el sistema:
5. Activar la detección de rootkits, activando la siguiente configuración en el fichero ossec.conf:
Autor: Marc Segarra - CISM, CISA, CISSP, PCI QSA, PCI PA QSA, ISO27001 Lead Auditor
Departamento de Consultoría
1. Activar la validación de reglas en el fichero de configuración. OSSEC ofrece un conjunto de reglas capaces de detectar eventos interesantes para diferentes tecnologías, por lo que será necesario analizar las reglas que aplican en cada uno de nuestros servidores para no incluir reglas innecesarias:
<ossec_config>
<rules>
<include>00_rules_config.xml</include>
<include>50_pam_rules.xml</include>
<include>50_sshd_rules.xml</include>
<include>50_telnetd_rules.xml</include>
<include>50_syslog_rules.xml</include>
<include>50_arpwatch_rules.xml</include>
<include>50_named_rules.xml</include>
<include>50_web_rules.xml</include>
<include>50_apache_rules.xml</include>
<include>50_ids_rules.xml</include>
<include>50_squid_rules.xml</include>
<include>50_firewall_rules.xml</include>
<include>50_postfix_rules.xml</include>
<include>50_sendmail_rules.xml</include>
<include>50_imapd_rules.xml</include>
<include>50_ossec_rules.xml</include>
<include>50_attack_rules.xml</include>
<include>50_local_rules.xml</include>
</rules>
</ossec_config>
2. Idealmente, añadir reglas personalizadas para tecnologías concretas, así como para eventos que puedan ser de interés en el entorno, por ejemplo en aquellos casos en los que se ha aplicado un control compensatorio para un requerimiento de PCI DSS.
3. Activar la auditoría de sistema, este punto es útil tanto para detectar posibles compromisos como para detectar cambios en parámetros del bastionado del equipo e incluso para detectar datos de tarjetas de pago en claro. Un ejemplo sencillo de hacerlo es:
a) Incluyendo la siguiente entrada en el fichero ossec.conf:
/var/ossec/etc/shared/system_audit_rcl.txt
b) Modificando el fichero /var/ossec/etc/shared/system_audit_rcl.txt, incluyendo lo siguiente:
# Detect possible PANs [Possible Unencrypted PANs - Primary Account Number - Credit Card] [any] [] d:$web_dirs -> r:^\. -> r:\d\d\d\d-\d\d\d\d-\d\d\d\d-\d\d\d\d; # Detect possible PANs [Possible Unencrypted PANs - Primary Account Number - Credit Card] [any] [] d:$web_dirs -> r:^\. -> r:\d\d\d\d\d\d\d\d\d\d\d\d\d\d\d\d;
- Adaptando la variable “$web_dirs” para que contenga las rutas que puedan ser susceptibles de tener este tipo de datos, por ejemplo en carpetas de logs de aplicaciones.
- Con expresiones más avanzadas, se podrían clasificar los números de tarjeta según la marca de pago (VISA, Mastercard, AMEX, JCB, Discover).
c) E incluyendo la alerta correspondiente:
516Unencrypted PANs - Primary Account Number - Credit CardPossible Unencrypted Cardholder Data Detected
4. Añadiendo o personalizando algunas reglas, para que se adapten completamente a nuestro entorno. Por ejemplo, elevando el nivel de prioridad por defecto que tiene OSSEC cuando se detectan nuevos ficheros en el sistema:
516Unencrypted PANs - Primary Account Number - Credit CardPossible Unencrypted Cardholder Data Detected
5. Activar la detección de rootkits, activando la siguiente configuración en el fichero ossec.conf:
/var/ossec/etc/shared/rootkit_files.txt/var/ossec/etc/shared/rootkit_trojans.txtEstas son algunas de las mejoras que pueden realizarse para aprovechar la potencia de OSSEC, una vez instalado para monitorizar la integridad de ficheros críticos en entornos PCI DSS (y aquellos que no lo son también), pero OSSEC es muy potente y evidentemente existen otras muchas posibilidades más para configurar y mejorar la seguridad de vuestros sistemas.
Autor: Marc Segarra - CISM, CISA, CISSP, PCI QSA, PCI PA QSA, ISO27001 Lead Auditor
Departamento de Consultoría
