web-dev-qa-db-fra.com

Nouveau à Ossec - Que fait la réponse active de la boîte

Je suis nouveau à Ossec. J'ai installé le serveur et WUI sur une machine dédiée. J'ai des agents qui courent sur mon zookeeper et kafka serveurs pour commencer.

Vous trouverez ci-dessous des événements que je vois. Je suppose que les robots automatisés sont automatisés.

10 - User missed the password more than one time
10 - Multiple SSHD authentication failures.
5 - SSHD authentication failed.

Donc ... une adresse IP est de 222.186.62.17

Alors ... OSSEC interdire l'adresse IP? Est-ce que je dois faire quelque chose pour permettre à Ossec d'interdire 222.186.62.17? Ou activé par défaut.

Qu'en est-il de Port Scanning E.G. ceux qui utilisent nmap? Seront-ils interdits?

Je cherche ce qui fonctionne hors de la boîte pour la protection via une réponse active.

ids
6
Tampa

Avec Ossec Ver. 2.7.1, Ossec.conf (par défaut situé dans/var/tsecec/etc.) contient la configuration de réponse active suivante:

<!-- Active Response Config -->
<active-response>
  <!-- This response is going to execute the Host-deny
     - command for every event that fires a rule with
     - level (severity) >= 6.
     - The IP is going to be blocked for  600 seconds.
     -->
  <command>Host-deny</command>
  <location>local</location>
  <level>6</level>
  <timeout>600</timeout>
</active-response>

<active-response>
  <!-- Firewall Drop response. Block the IP for
     - 600 seconds on the firewall (iptables,
     - ipfilter, etc).
     -->
  <command>firewall-drop</command>
  <location>local</location>
  <level>6</level>
  <timeout>600</timeout>
</active-response>

Donc, toute règle d'Ossec active qui incendie à la fois une gravité> = 6 et une identification réussie de la source IP de la source déclenchera le blocage temporaire de l'adresse IP (600 secondes par défaut). Cela suppose que vous avez répondu oui à la question d'installation du serveur suivante:

  • Voulez-vous activer la réponse active? (Y/N) [Y]:

Dans Ossec-local.conf, vous pouvez voir les dépendances de la commande active (c'est-à-dire "" Attend = SRCIP "):

<command>
  <name>Host-deny</name>
  <executable>Host-deny.sh</executable>
  <expect>srcip</expect>
  <timeout_allowed>yes</timeout_allowed>
</command>

<command>
  <name>firewall-drop</name>
  <executable>firewall-drop.sh</executable>
  <expect>srcip</expect>
  <timeout_allowed>yes</timeout_allowed>
</command>

Dans /var/OSSEC/RULES/SYSLOG_RULES.XML, vous pouvez trouver la règle qui a généré l'utilisateur a raté le mot de passe plus d'une fois alerte:

<rule id="2502" level="10">
  <match>more authentication failures;|REPEATED login failures</match>
  <description>User missed the password more than one time</description>
  <group>authentication_failed,</group>
</rule>

La définition de la règle ci-dessus a un niveau (c'est-à-dire gravité) de 10, de sorte que cela devrait déclencher le bloc IP temporaire.

Dans /var/OSSEC/RULES/SSHD_RULES.XML, vous pouvez trouver la règle générant le plusieurs pannes d'authentification SSHD alerte:

<rule id="5720" level="10" frequency="6">
  <if_matched_sid>5716</if_matched_sid>
  <same_source_ip />
  <description>Multiple SSHD authentication failures.</description>
  <group>authentication_failures,</group>
</rule>

Encore une fois, la définition de la règle ci-dessus spécifie le niveau 10, de sorte que cela devrait déclencher le bloc IP temporaire.

Dans /var/OSSEC/RULES/SSHD_RULES.XML, vous pouvez trouver la règle qui a généré le SSHD Authentification a échoué alerte:

<rule id="5716" level="5">
  <if_sid>5700</if_sid>
  <match>^Failed|^error: PAM: Authentication</match>
  <description>SSHD authentication failed.</description>
  <group>authentication_failed,</group>
</rule>

La définition de la règle ci-dessus spécifie le niveau 5, de sorte que cette règle serait non Déclencher le bloc IP temporaire.

Le balayage de port avec NMAP entraînera un bloc IP temporaire basé sur cette règle OSSEC (I.E. 10 tentatives de connexion dans les 90 secondes, niveau 10, niveau 10):

<!-- Scan signatures -->
  <group name="syslog,recon,">
    <rule id="40601" level="10" frequency="10" timeframe="90" ignore="90">
      <if_matched_group>connection_attempt</if_matched_group>
      <description>Network scan from same source ip.</description>
      <same_source_ip />
    </rule>
</group> <!-- SYSLOG,SCANS -->
7
Tate Hansen