DEV Community

Aleets Vaaz
Aleets Vaaz

Posted on

Wazuh | Instalación & Configuración en Linux | Detección de intrusos

¿Que es Wazuh?
Wazuh es una plataforma de seguridad de código abierto que ofrece detección de intrusos, monitoreo de integridad y cumplimiento normativo. Sus reglas analizan eventos como fallos de autenticación, escaneos de puertos o modificaciones no autorizadas de archivos. Las alertas se generan cuando se detectan comportamientos sospechosos, clasificadas por prioridad y enviadas en tiempo real para una rápida respuesta. Wazuh permite personalizar estas reglas y alertas, lo que lo convierte en una solución flexible y eficaz para la detección de intrusos.

Características de Wazuh:

  • Detección de intrusos basada en host (HIDS): Monitorea y analiza eventos a nivel de sistema, detectando comportamientos anómalos y posibles ataques.
  • Monitoreo de integridad de archivos (FIM): Verifica cambios en archivos críticos y directorios, alertando sobre modificaciones sospechosas.
  • Análisis de registros (Log Analysis): Recopila y analiza registros de diferentes fuentes para detectar comportamientos inusuales y correlacionar eventos.
  • Cumplimiento normativo: Ayuda a las organizaciones a cumplir con normativas de seguridad como GDPR, PCI DSS, HIPAA, entre otras, proporcionando informes de auditoría y verificando políticas de seguridad.
  • Respuesta a incidentes: Permite automatizar acciones correctivas ante la detección de incidentes de seguridad.
  • Compatibilidad multi-plataforma: Funciona en sistemas Windows, Linux, macOS, y en infraestructuras de contenedores.
  • Monitoreo de la nube: Permite integraciones con servicios en la nube como AWS, Azure, y Google Cloud, monitoreando eventos específicos de esas plataformas.

Ventajas de usar Wazuh:

  • Código abierto: Sin costos de licencia, lo que lo hace accesible para organizaciones de cualquier tamaño.
  • Escalabilidad: Puede manejar grandes cantidades de datos y dispositivos, siendo adecuado tanto para pequeñas empresas como para grandes organizaciones.
  • Integración con herramientas de seguridad: Se integra fácilmente con otras plataformas de seguridad como Elastic Stack, proporcionando capacidades avanzadas de búsqueda y análisis.
  • Monitoreo en tiempo real: Proporciona alertas inmediatas ante actividades sospechosas, permitiendo una rápida respuesta a incidentes.
  • Interfaz intuitiva: Ofrece una consola de gestión centralizada que facilita la visualización de datos y la administración de múltiples agentes.

Instalación de Wazuh en Ubuntu
Wazuh se puede instalar en un entorno de servidor Linux (como Ubuntu o CentOS) y se integra comúnmente con Elastic Stack (para visualización). Aquí te dejo los pasos básicos para la instalación en Ubuntu.

a) Preparar el entorno

  • Primero, es fundamental actualizar el sistema y asegurarse de tener las dependencias necesarias instaladas:
sudo apt update
sudo apt upgrade
Enter fullscreen mode Exit fullscreen mode

b) Instalar el servidor Wazuh:

  • Para instalar el servidor Wazuh de manera sencilla, ejecuta el siguiente comando que descarga y ejecuta el script de instalación:
curl -sO https://packages.wazuh.com/4.9/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
Enter fullscreen mode Exit fullscreen mode

c) Guarda los datos de acceso al panel de administración

  • Al finalizar la instalación, el sistema te proporcionará las credenciales necesarias para acceder al panel de administración. Un ejemplo de credenciales podría ser:
User:admin
Password: aSfTsN92nsAIndw29Ha2e1AE
Enter fullscreen mode Exit fullscreen mode

d) Ingresar al panel de administrador:

  • Una vez instalada la herramienta, se crea un servidor en localhost que estará disponible en el puerto 443. Puedes acceder al panel principal de Wazuh desde el siguiente enlace:
htttps://localhost/app/login?
Enter fullscreen mode Exit fullscreen mode
  • Al ingresar las credenciales obtenidas en los pasos anteriores, se cargará la interfaz de administración, lista para comenzar a trabajar.

Agregar Agentes (Usuarios)

Desde el panel principal de Wazuh, verás una leyenda subrayada en amarillo que te indica cómo ingresar nuevos agentes. Haz clic en esta opción para comenzar.

En la interfaz principal de Wazuh, se nos mostrará información relevante sobre los agentes: el total de agentes conectados, la actividad de los mismos, la cantidad de agentes desconectados, entre otras opciones. En esta sección, también verás un recuadro que te permitirá gestionar y crear nuevos agentes.

Agregar un agente para Windows

Paso 1: Acceder a la opción para agregar un agente

  • Desde el panel principal de Wazuh, verás una leyenda subrayada en amarillo que te indica cómo ingresar nuevos agentes. Haz clic en esta opción para comenzar.

Paso 2: Seleccionar el sistema operativo del agente

  • En la nueva pantalla, elige el sistema operativo en el que se instalará el agente. En este caso, seleccionaremos Windows.

Paso 3: Seleccionar la versión del sistema operativo

  • A continuación, selecciona la versión de Windows que estás utilizando. Si tienes Windows 10, selecciona la opción Windows 7+.

Paso 4: Verificar la arquitectura

  • El sistema asignará automáticamente la arquitectura (32 o 64 bits). No es necesario modificar esta opción, así que déjala en su valor por defecto.

Paso 5: Asignar la IP del servidor

  • En este paso, introduce la IP del servidor Wazuh al que se conectará el agente. Por ejemplo: 192.168.0.7.

Paso 6: Asignar un nombre al agente (opcional)

  • Aunque opcional, es recomendable asignar un nombre específico para una mejor administración. En este caso, podrías nombrarlo UsuarioCentral.

Paso 7: Asignar un grupo al agente

  • Si tienes grupos de agentes predefinidos, puedes asignar uno en este paso. Si no, deja esta opción por defecto.

Paso 8: Obtener el código de instalación

  • Finalmente, Wazuh te proporcionará un código tipo script que debes ejecutar en el sistema operativo del cliente (en este caso, Windows).

Instalación de un cliente/agente en Windows

Paso 1: Abrir PowerShell

  • Abre PowerShell en tu equipo Windows, ya que será necesario para ejecutar el comando que te proporcionó Wazuh al crear el agente.

Paso 2: Ejecutar el script de instalación

  • Copia y pega el script que obtuviste anteriormente en PowerShell y ejecútalo. Este comando descargará e instalará todo lo necesario para que el agente se configure en tu equipo.

Paso 3: Iniciar el servicio Wazuh

  • Una vez que la instalación haya finalizado, ejecuta el siguiente comando para activar el agente:
NET START Wazuh
Enter fullscreen mode Exit fullscreen mode

Paso 4: Verificar en el servidor

  • Regresa al panel principal de Wazuh. Ahí deberías ver reflejado el nuevo agente que acabas de instalar y activar.

Agregar un agente para linux

Paso 1: Seleccionar la arquitectura del Linux

  • En el panel principal de Wazuh, selecciona la opción para agregar un nuevo agente y elige Linux como el sistema operativo del agente.

Paso 2: Configurar la IP del servidor Wazuh

  • A continuación, deberás ingresar la dirección IP del servidor Wazuh al que se conectará el agente. En este caso, la IP sería:
192.168.0.7.
Enter fullscreen mode Exit fullscreen mode

Paso 3: Asignar un nombre al agente (opcional)

  • Puedes asignar un nombre para identificar fácilmente al agente. Si prefieres no hacerlo, puedes dejar esta opción en blanco.

Paso 4: Asignar un grupo al agente (opcional)

  • Si ya tienes grupos configurados, puedes asignar uno al agente. Si no, déjalo por defecto sin grupo asignado.

Paso 5: Obtener el comando de instalación

  • Wazuh generará un script o comando que necesitarás ejecutar en tu sistema Linux para instalar el agente. Copia este comando.

Instalación de un cliente/agente en Linux

Paso 1: Ejecutar el script en el sistema Linux

  • Ve al sistema Linux donde deseas instalar el agente y ejecuta el comando proporcionado por Wazuh. Este descargará e instalará el agente.

Paso 2: Iniciar y habilitar el agente

  • Una vez completada la instalación, ejecuta los siguientes comandos para recargar los servicios, habilitar el agente y arrancarlo:
sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent
Enter fullscreen mode Exit fullscreen mode

Paso 3: Verificar la conexión:

  • Regresa al panel de administración de Wazuh para verificar que el nuevo agente se haya conectado correctamente y esté operativo.

Con estos pasos, habrás configurado correctamente un nuevo agente en tu entorno Wazuh, y podrás comenzar a monitorear su actividad desde el servidor.

Conclusiones:
Wazuh es una plataforma de seguridad de código abierto que ofrece detección de intrusos, monitoreo de integridad y cumplimiento normativo. Sus reglas analizan eventos como fallos de autenticación, escaneos de puertos o modificaciones no autorizadas de archivos. Las alertas se generan cuando se detectan comportamientos sospechosos, clasificadas por prioridad y enviadas en tiempo real para una rápida respuesta. Wazuh permite personalizar estas reglas y alertas, lo que lo convierte en una solución flexible y eficaz para la detección de intrusos.

Top comments (0)