README.md

Instalação do Wazuh - PoC Local usando Vagrant e Virtualbox

Repositório descreve a instalação do Wazuh usando segregação de funções por node, ou seja:

• 01 wazuh-server
• 01 wazuh-indexer
• 01 wazuh-dashboard

Cada um dos nodes acima rodando em uma VM diferente. A figura abaixo ilustra a topologia simplificada:

Pré-requisitos:

A implantação desse ambiente de prova de conceito local tem alguns pré-requisitos:

• Sistema operacional hospedeiro (host) Ubuntu 22.04. Provável que funcione em outras distros.
• Virtualbox. Provável que funcione com outros.
• Vagrant
• Git

A implantação foi executada baseada nos pré-requisitos acima. Se o cenário for diferente, deve-se consultar a documentação das ferramentas para entender como configurar, etc.

Implantação das Vms

ATENÇÃO: Antes de implantar, ajustar as informações constantes no arquivo environment.yml conforme a capacidade computadional do host hospedeiro (onde as VMs irão ser executadas). Esse ajuste é importante para evitar problemas, pois no arquivo atual constam 3 VMs, cada uma com 2 vCPUs e 4GB de RAM.

Instanciar as VMs:

1. Clone esse repo:

   git clone https://github.com/gutobrutus/wazuh-vagrant.git

2. Acesse o diretório raiz do projeto clonado.

   cd wazuh-vagrant

3. Ajuste o arquivo environment.yml conforme necessário, adequado com a sua realidade, como já chamado atenção anteriormente.

4. Implante/Inicie as VMs:

   vagrant up

   Aguarde o término do processo. Após finalizar, consulte o status das VMs com:

   vagrant status

   Saída do comando anterior:

   Current machine states:
   
   wazuh-server              running (virtualbox)
   wazuh-indexer             running (virtualbox)
   wazuh-dashboard           running (virtualbox)
   
   This environment represents multiple VMs. The VMs are all listed
   above with their current state. For more information about a specific
   VM, run `vagrant status NAME`.

Pronto, agora as VMs estão implantadas. Para acessar as VMs via ssh, basta:

vagrant ssh NOME_DA_VM

Por exemplo:

vagrant ssh wazuh-indexer

Instalação do Wazuh

A instalação seguirá na forma multi-node. Para isso, a instalação deve sempre começar pelo node indexer.

Instalação do Wazuh Indexer

1. Acesse a VM wazuh-indexer:

   vagrant ssh wazuh-indexer

2. Eleve para root:

   sudo -i

3. Realize o download do script de instalação:

   curl -sO https://packages.wazuh.com/4.5/wazuh-install.sh

4. Realize o donwload do template de arquivo de configuração:

   curl -sO https://packages.wazuh.com/4.5/config.yml

5. Edite o arquivo config.yml com o seu editor favorito. Exemplo:

   vim config.yml

   O conteúdo do arquivo para mim ficou conforme abaixo:

   nodes:
   # Wazuh indexer nodes
   indexer:
     - name: node-1
       ip: 192.168.56.81
   
   # Wazuh server nodes
   # If there is more than one Wazuh server
   # node, each one must have a node_type
   server:
     - name: wazuh-1
       ip: 192.168.56.80
   
   # Wazuh dashboard nodes
   dashboard:
     - name: dashboard
       ip: 192.168.56.82

   O arquivo config.yml completo que foi descarregado anteriormente está disponível nesse reporitório.

6. Geração de arquivos de configuração:

   bash wazuh-install.sh --generate-config-files

   Será gerado um arquivo wazuh-install-files.tar. Ele deve ser copiado para todas as VMs que compõe a implantação. Com o uso do Vagrant, basta copiar o arquivo para o diretório /vagrant que todas as VMs também terão esse arquivo.

   cp wazuh-install-files.tar /vagrant

7. Instalação do node indexer:

   bash wazuh-install.sh --wazuh-indexer node-1

8. Iniciando o cluster:

   bash wazuh-install.sh --start-cluster

   Obs.: Esse passo só necessário executar uma vez no primeiro node indexer.

   Aguardar o processo finalizar.

Instalação do Wazuh Server

1. Acesse a VM wazuh-server:

   vagrant ssh wazuh-indexer

2. Eleve para root:

   sudo -i

3. Copie o arquivo wazuh-install-files.tar para o diretório corrente:

   cp /vagrant/wazuh-install-files.tar .

   Obs.: A cópia foi feita dessa forma por conta da configuração do ambiente, pois o Vagrant tem o diretório /vagrant disponível em todas as VMs e ele também é mapeado para o diretório raiz do projeto no host hospedeiro. Em outra configuração de ambiente, a cópia deverá ser realizada de outra forma, por exemplo, usando o scp.

4. Realize o download do script de instalação:

   curl -sO https://packages.wazuh.com/4.5/wazuh-install.sh

5. Realize a instalação do Wazuh Server:

   bash wazuh-install.sh --wazuh-server wazuh-1

   Aguarde o processo finalizar.

Instalação do Wazuh Dashboard

1. Acesse a VM wazuh-server:

   vagrant ssh wazuh-indexer

2. Eleve para root:

   sudo -i

3. Novamente, copie o arquivo wazuh-install-files.tar para o diretório corrente:

   cp /vagrant/wazuh-install-files.tar .

4. Realize o download do script de instalação:

   curl -sO https://packages.wazuh.com/4.5/wazuh-install.sh

5. Realize a instalação do Wazuh Server:

   bash wazuh-install.sh --wazuh-dashboard dashboard

6. Após finalizar a instalação, recupere a senha do usuário admin que será usado para logar no dashboard:

   tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt

7. Acesse a interface dashboard através da url https://192.168.56.82.

8. Para listar todas as demais credenciais que são usadas pela plataforma do Wazuh:

   tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt

   Guarde essas credenciais em sua solução de cofre de senhas.

Observações importantes:

• Em ambientes produtivos ou mesmo de teste dentro de uma rede corporativa, após realizar a instalação/configuração da plataforma Wazuh, guarde o arquivo wazuh-install-files.tar em um local seguro. Após isso, delete-o das VMs, visto que se as VMs forem comprometidas, um invasor com esse arquivo terá acesso a todas as configurações, além de todas as credenciais que ficam dentro dele.

• Em ambientes produtivos, recomenda-se criar uma configuração de volumes lógicos criando um LV para o path /var/lib/wazuh-indexer nas VMs com a função indexer (Wazuh Indexer), já prevendo problemas de estouro de filesystem. Com o LVM ficará mais fácil gerenciar o aumento de volume do path onde ficam os dados indexados na plataforma Wazuh.

• Ao executar o comando de geração do arquivo de configuração, o arquivo config.yml vai ser excluído. Ele está dentro do wazuh-install-files.tar. Nesse arquivo tem tudo necessário para a instalação, o conteúdo dele pode ser visto com:

  tar -tf wazuh-install-files.tar

  Saída do comando anterior:

  wazuh-install-files/
  wazuh-install-files/node-1.pem
  wazuh-install-files/config.yml
  wazuh-install-files/dashboard-key.pem
  wazuh-install-files/dashboard.pem
  wazuh-install-files/wazuh-1-key.pem
  wazuh-install-files/admin-key.pem
  wazuh-install-files/node-1-key.pem
  wazuh-install-files/wazuh-passwords.txt
  wazuh-install-files/root-ca.key
  wazuh-install-files/admin.pem
  wazuh-install-files/wazuh-1.pem
  wazuh-install-files/root-ca.pem

TODO:

• Documentar processo de incremento de nodes no cluster.
• Documentar implementação de Load Balancer para clusters com mais nodes.

Referências:

• Wazuh Cluster
• Wazuh Indexer Install
• Wazuh Server Install
• Wazuh Dashboard Install
• PoC Guide - Wazuh