Introdução
No mundo da cibersegurança, a proteção das suas comunicações e sistemas é fundamental.
Se você utiliza o Wazuh para monitorar a segurança da sua infraestrutura, garantir que a comunicação entre o servidor e os agentes esteja segura e que apenas agentes autorizados se registrem é crucial.
Neste guia prático, vamos mostrar como blindar seu Wazuh, protegendo a comunicação e o registro de agentes de forma fácil e eficaz.
Por que Proteger a Comunicação e o Registro de Agentes no Wazuh?
- Confidencialidade: Garante que as informações transmitidas entre o servidor e os agentes não sejam interceptadas e lidas por terceiros.
- Integridade: Assegura que as mensagens não sejam alteradas durante a transmissão.
- Autenticidade: Confirma que apenas agentes autorizados se registrem no servidor, evitando a entrada de agentes maliciosos na sua rede.
- Conformidade: Ajuda a cumprir requisitos de segurança e regulatórios, como ISO 27001, NIST CSF e LGPD.
Passo 1: Gerando uma Chave Pré-Compartilhada (PSK) Segura
A chave pré-compartilhada (PSK) é um segredo compartilhado entre o servidor e os agentes, usado para autenticar a comunicação.
Para gerar uma PSK segura, siga os passos abaixo:
Acesse o Servidor Wazuh: Conecte-se ao seu servidor Wazuh via SSH.
Execute o Comando OpenSSL: Utilize o seguinte comando para gerar uma chave aleatória criptograficamente segura (verifique o caminho da sua instalação do Wazuh):
Entendendo o Comando:
- openssl: Ferramenta de linha de comando para operações criptográficas.
- rand: Subcomando do OpenSSL que gera bytes aleatórios.
- -base64 128: Codifica a saída em formato Base64 (para garantir caracteres imprimíveis) e especifica 128 bytes aleatórios (alta segurança).
- > /var/ossec/etc/authd.pass: Redireciona a saída para o arquivo onde a chave é armazenada.
Dica: Este comando cria uma chave com alta entropia, garantindo a segurança contra ataques de força bruta.
Proteja o Arquivo: Ajuste as permissões do arquivo para garantir que apenas o usuário wazuh e o root tenham acesso:
Passo 2: Habilitando a Autenticação por Chave Pré-Compartilhada no Servidor Wazuh
Edite o Arquivo de Configuração: Abra o arquivo /var/ossec/etc/ossec.conf com um editor de texto.
Localize a Seção <auth>: Procure pela seção que define as configurações de autenticação.
Habilite a Autenticação por Senha: Certifique-se de que a opção <use_password> esteja definida como yes (talvez seja necessário indicar o caminho do arquivo PSK criado anteriormente):
Importante: Esta configuração exige que os agentes forneçam a chave pré-compartilhada durante o registro.
Reinicie o Servidor Wazuh: Reinicie o serviço Wazuh para aplicar as alterações (valide conforme o seu sistema operacional):
Passo 3: Registrando Agentes com a Chave Pré-Compartilhada
Copie a Chave: Copie o conteúdo do arquivo /var/ossec/etc/authd.pass para um local seguro.
Registre o Agente: No agente, utilize o comando agent-auth com o parâmetro -P para fornecer a chave pré-compartilhada:
Exemplo:
Entendendo os Parâmetros:
-m <servidor_wazuh>: Endereço IP ou nome do host do servidor Wazuh.
-P <chave_pre_compartilhada>: A chave pré-compartilhada gerada no Passo 1.
-A <nome_do_agente>: Nome do agente.
Inicie o Agente Wazuh: Inicie o serviço Wazuh no agente (valide conforme o seu sistema operacional):
Passo 4: Verificando a Comunicação Segura
Painel do Wazuh: Acesse o painel do Wazuh e verifique se o agente foi registrado com sucesso.
Logs do Servidor: Verifique os logs do servidor Wazuh em /var/ossec/logs/ossec.log para confirmar que a comunicação está ocorrendo sem erros.
Dicas Adicionais para Aumentar a Segurança
- Use Senhas Fortes: Utilize senhas fortes para acessar o painel do Wazuh e outras ferramentas de segurança.
- Mantenha o Wazuh Atualizado: Mantenha o servidor e os agentes Wazuh atualizados com as últimas versões para corrigir vulnerabilidades e obter novos recursos de segurança.
- Monitore os Logs: Monitore regularmente os logs do Wazuh para identificar atividades suspeitas e responder a incidentes de segurança.
- Implemente Outras Medidas de Segurança: Combine a proteção da comunicação e do registro de agentes com outras medidas de segurança, como firewalls, sistemas de detecção de intrusão e políticas de segurança robustas.
Conclusão
Proteger a comunicação e o registro de agentes no Wazuh é um passo crucial para garantir a segurança da sua infraestrutura.
Seguindo este guia prático, você pode blindar seu Wazuh de forma fácil e eficaz, protegendo seus dados e sistemas contra ameaças cibernéticas.
Precisa de ajuda para implementar essas medidas de segurança?
A NUVYM oferece consultoria especializada em Wazuh e outras soluções de cibersegurança.
Agende uma consultoria gratuita: calendly.com/nuvym
Conheça também nosso Wazuh como SaaS, pronto contra ameaças cibernéticas, sem a complexidade do gerenciamento!
saas.nuvym.net
Compartilhe este artigo com seus colegas e amigos!
Ajude a disseminar o conhecimento sobre segurança da informação.
