🌙 Øvelse 25.1 – Eftermiddag¶
Opsætning af Wazuh-server på Promox(Selvstændig gruppeøvelse)¶
ℹ️ Information¶
Formålet med denne øvelse, er at introducer Wazuh som er et SIEM/XDR system, der skal anvendes senere på semesteret.
Herudover er formålet at gruppen begynder at selvstændigt arbejde på større projekter, for at skabe rutinering, og opsamling på
det tidligere arbejde med CLI kommandoer.
I denne øvelse skal gruppen sætte sin første applikation i drift på Proxmox. Senere i dette semester skal vi arbejde med detektering ved hjælp af et SIEM/XDR-system. Til dette bruger vi det open source SIEM/XDR-system, Wazuh. Wazuh er egentlig en distribueret serverapplikation (dvs. den består af flere forskellige komponenter, der kommunikerer over netværket). Men for at gøre arbejdet med Wazuh nemmere skal I blot deploye Wazuh som et såkaldt "single node", hvor alle applikationer eksekveres på en enkelt server.
En Wazuh-server som en single node er meget ressourcekrævende, så brug derfor Ubuntu-serveren med 8 GB RAM og 4 CPU-kerner, som I tidligere har opstillet. (I Proxmox kan I se ressourceforbruget.)
Når Wazuh-serveren er opstillet og afprøvet, skal I skabe et overblik (ikke implementerer) over hvilke porte firewallen bør tillade trafik på, samt hvilke brugerkonti (Linux login) der anvendes til eksekvering af Wazuh server.
🧭 Instruktioner¶
-
Følg quick-start installationsguiden for Wazuh-serveren: Wazuh server quick start
-
Hvis I vil ændre det automatisk genererede password, kan I finde hjælp her: Wazuh - change default password
-
Test at Wazuh-serveren virker ved at tilgå dashboardet fra f.eks. jeres Kali-instans (skridt 2 i guiden).
-
Skab overblik over, hvilke porte Wazuh server anvender: Wazuh architecthure
Vær opmærksom på, at når I eksekverer som single node, anvendes både Wazuh-serveren, Wazuh-indexeren og Wazuh-dashboardet
I skal ikke implementere firewallregler endnu. Vi venter, indtil I har sat agentapplikationer op, som kommunikerer med Wazuh. Så bliver det nemmere for jer at fejlfinde.
-
Anvend kommandoen:
ps aux | grep wazuhfor at se, hvilke processer der eksekveres i forbindelse med Wazuh, og hvilken bruger de eksekveres med. -
Overvej om alle brugerne, der anvendes, er hensigtsmæssige.
I skal ikke forsøge at ændre brugeren, der anvendes – blot observer.
- Lav dokumentation for jeres nuværende opsætning af hosts på Proxmox.
Et tænkt eksempel kunne være:
| Host | Beskrivelse | Services | IP Adresse | Hostname | CPU Cores | HDD | RAM | OS Version | Placering | Status | Åbne Porte / Tilladte Protokoller | CIS18 IG Gruppe | Ansvarlig | Netværkstype |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Wazuh server | Host der kører Wazuh SIEM/XDR systemet | Wazuh SIEM, XDR | 192.168.1.10 | wazuh-server | 4 | 80GB | 8GB | Ubuntu 20.04 | Proxmox VM | Aktiv | TCP 80, 443, 1514 / TCP, UDP | 2 | Martin | LAN |
| Target host | Host der overvåges af Wazuh | OpenSSH, Wazuh Agent | 192.168.1.11 | target-host | 2 | 30GB | 4GB | CentOS 7 | Proxmox VM | I vedligeholdelse | TCP 22, 514 / TCP, UDP | 1 | Martin | LAN |
| Kali | Kali Linux til penetration testing | Kali Tools, OpenSSH | 192.168.1.12 | kali-server | 2 | 50GB | 4GB | Kali Linux | Proxmox VM | Aktiv | TCP 22, 80, 443 / TCP, UDP | 2 | Nikolaj | LAN |
| Proxmox | Host der kører Proxmox Virtualization | Proxmox VE, Web Interface | 192.168.1.13 | proxmox-server | 8 | 200GB | 16GB | Proxmox VE | Physical | Aktiv | TCP 8006, 22 / TCP, UDP | 2 | Martin | WAN/LAN |
| OpnSense VM | OpnSense router/firewall | OpnSense Firewall, Router | 192.168.1.1 | opnsense-vm | 2 | 40GB | 4GB | OpnSense | Proxmox VM | Aktiv | TCP 443, 80 / TCP, UDP | 1 | Nikolaj | WAN/LAN |
Eksemplet viser en dokumentation, som fungerer som et supplement til jeres netværksdiagram og giver et klart overblik over opsætningen.
Tabellen skal løbende opdateres, da systemkomponenterne kan ændre sig i takt med, at nye tjenester installeres eller eksisterende konfigurationer opdateres.
Denne type dokumentation understøtter Asset Management, og er afgørende for:
- fejlfinding
- systemopdateringer
- sikkerhedsgennemgange
- onboarding af nye teammedlemmer