NAT Arkasında Bulunan Ossec Agent’lar İçin Yapılandırma

Daha önce OSSEC isimli HIDS uygulamasından bahsedip, server/client mimarisi ile kurulumunu ve yapılandırmasına   (http://www.linuxakademi.com.tr/ossec-hids-kurulumu-ve-yapilandirmasi/) adresinde değinmiştik. Bu yazıda ise NAT arkasında bulunan birden fazla Ossec Agent’in nasıl monitor edilebileceğinden bahsedeceğiz. Zira, NAT arkasında bulunan birden çok sistemi Ossec üzerinden monitor etmek istediğiniz de, bu sistemlere bire bire NAT yapmaya gerek kalmadan aynı ip adresi üzerinde hizmet veren (yani dışarıdan erişilebilir  tek IP’si olan) birden fazla makineye entegre edilebilecek şekilde tasarlanmıştır. Bu yönetim sistemi  istemcinin ip  adresine göre değil üretilen key(anahtar) değerine göre belirlenmektedir.
Bu sistemi bir örnek üzerinden açıklamak gerekirse, İnternet üzerinde bulunan sunucunuzda bir sanallaştırma platformu üzerinden birden fazla sistem çalıştırabilir ve bu sanal sunucuları dışarı NAT’layarak tek bir IP üzerinden çıkmalarını sağlayabilirsiniz. Böyle bir yapıda Ossec Manager’ınız da internet üzerindeki başka bir sistem üzerinde çalışıyorsa, agent eklerken girmeniz gereken agent IP’si konusunda karmaşıklık olacaktır. Zira Ossec Manager, bu agent’lar ile aynı networkte olmadığından, internet üzerinden gelmeli ve fakat her agent aynı IP üzerinden NAT’lı olduğu için birebir NAT yapmadığınız yani her agent için gerçek bir IP kullanmadığınız müddetçe Manager’a spesifik bir agent IP’si vermeniz mümkün olmayacaktır. İşte bir firewall arkasında bulunan ve NAT’lanarak erişilebilen bir sistem için agent ekleme işlemini aşağıdaki şekilde yapmanız gerekecektir.
İlk adım Ossec Manager tarafından normal şekilde agent ekleme işlemi yapmaktır. Bunun için ossec yönetim arabirimine girilir.
# /var/ossec/bin/manage_agents

****************************************
* OSSEC HIDS v2.7.1 Agent manager.     *
* The following options are available: *
****************************************
  (A)dd an agent (A).
  (E)xtract key for an agent (E).
  (L)ist already added agents (L).
  (R)emove an agent (R).
  (Q)uit.
Choose your action: A,E,L,R or Q:



Daha sonra ekleme işlemi yapabilmek için “A” tuşuna basılır ve devam edilir.
Choose your action: A,E,L,R or Q: A

– Adding a new agent (use ‘q’ to return to the main menu).
 Please provide the following:
  * A name for the new agent: Ossec-test-agent
  * The IP Address of the new agent: any
  * An ID for the new agent[001]:

Agent information:
  ID:001
  Name:Ossec-test-agent
  IP Address:any

Confirm adding it?(y/n): y



Burada, ilk adımda yeni oluşturulan istemciye bir isim verdikten sonra, agent’in IP adresini girmeniz istenecektir. Eğer ekleyeceğimiz agent direk olarak gerçek ip adresi üzerinde hizmet vermiyor ise burada IP adresi olarak “any” değeri girilmelidir. Diğer bilgiler normal olarak doldurulduktan sonra yapılan değişiklikleri onaylamak adına “y” tuşuna basılarak devam edilir.
Bundan sonrası klasik agent ekleme işleminin devamı ile aynıdır. İlk olarak eklenen agent için bir anahtar üretilir.
****************************************
* OSSEC HIDS v2.7.1 Agent manager.     *
* The following options are available: *
****************************************
  (A)dd an agent (A).
  (E)xtract key for an agent (E).
  (L)ist already added agents (L).
  (R)emove an agent (R).
  (Q)uit.
Choose your action: A,E,L,R or Q: E

Available agents:
  ID: 001, Name: ossec-test-agent, IP: any


Provide the ID of the agent to extract the key (or ‘q’ to quit): 001

Agent key information for ‘001’ is:

MDIwIG9zc2VjLXRlc3QtYWdlbnQsd432FDW55IDRkOGNkNjI1YjkwZTNhNDMxY….

** Press ENTER to return to the main menu.



Daha sonra üretilen bu anahtar değeri agent tarafında ossec yönetim arabiriminden içe aktarılır.
# /var/ossec/bin/manage_agents


****************************************
* OSSEC HIDS v2.7.1 Agent manager.     *
* The following options are available: *
****************************************
  (I)mport key from the server (I).
  (Q)uit.
Choose your action: I or Q: I

* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or ‘q’ to quit): MDIwIG9zc2VjLXRlc3QtYWdlbnQsd432FDW55IDRkOGNkNjI1YjkwZTNhNDMxY…

Agent information:
  ID:001
  Name:ossec-test-agent
  IP Address:any

Confirm adding it?(y/n): y
Added.
** Press ENTER to return to the main menu.



Import işleminin ardından yapılması gereken son işlem ise değişikliklerin kaydedilmesi için ossec manager ve ossec agent tarafında ossec servislerinin yeniden başlatılması olacaktır.
# /var/ossec/bin/ossec-control restart



Bu şekilde tanımlama sonlanmış olacaktır. Şimdi Ossec Manager bu agent’i tanımlamak için kendisine ait key’i kullanacağı için agent IP’sine ihtiyaç duymaksızın monitoring işlemini yapabilecektir.