He estado investigando esto un poco ahora y no puedo encontrar lo que quiero. Así que estoy en el punto en el que estoy sopesando mis opciones en cuanto a cómo puedo proceder.
Fondo Me gustaría configurar un HIDS que tenga la capacidad de usar reglas para monitorear los registros del servidor web en busca de patrones conocidos de ataques. Estoy pensando en algo parecido a cómo funciona fail2ban aquí. Regex está bien, pero sería aún mejor si el "motor de reglas / herramienta de análisis" tuviera algún contexto de cómo se estructuraron los registros para servidores como Nginx y / o Apache, de modo que las reglas pudieran coincidir con la entrada del registro de manera contextual, vs . sólo siendo una expresión regular.
192.168.1.6 - - [25 / Sep / 2014: 15: 54: 01 -0400] "GET /blog/wp-content/themes/atahualpa/images/icons/trackback.gif HTTP / 1.1" 304 - " - "" Mozilla / 4.0 (compatible;) "
Ejemplo de expresión regular (no necesariamente quiero esto):
^%(_apache_error_client)s (AH01618: )?user .*? not found(: )?\S*(, referer: \S+)?\s*$
Regla contextual (me gustaría esto en su lugar):
sourcetype=http
requestpath=/w00tw00t
Me gustaría que esta capacidad se implementara con los nodos del servidor web para que puedan tomar medidas inmediatas cuando se perciba una amenaza a través de iptables & %código%. Además de tomar acciones inmediatas, me gustaría informar la dirección IP de comportamiento incorrecto a un servidor central, que tendrá la capacidad de retransmitir esta IP a mis otros nodos, para que también puedan agregarla a sus firewalls también.
Me gustaría que la administración central realice un seguimiento de las IP que actualmente se encuentran en la lista negra, y las transmita a los otros nodos para que puedan incorporar las IP en la lista negra también en sus cortafuegos.
Después de un tiempo, las IP ofensivas caducarán fuera del nodo central, e informará a los nodos que esta IP ya no está en la lista negra.
ACTUALIZACIÓN # 1: sobre el uso potencial de OSSECSe dejó un comentario de la siguiente manera:
Sólo quiero un poco de aclaración. Lo que no puedes encontrar una solución. Porque es la parte centralizada, ¿verdad? Por lo que puedo decir de su pregunta, aparte del bloqueo de IP centralizado, OSSEC puede realizar todas estas funciones
A lo que respondí:
Tienes razón, no me di cuenta de que OSSEC tenía respuestas activas que Podría tomar acciones a nivel local en el extremo de los agentes. Se describe aquí: Nuevo en ossec: lo que hace respuesta activa hacer fuera de la caja Así que la recolección de la Las direcciones IP prohibidas y la retransmisión parecen ser lo único que no es disponible en OSSEC .
Pero todavía no me queda claro si los agentes pueden actuar de forma autónoma y recibir una respuesta activa cuando se ve un mensaje de registro en particular o no. Este comentario en las Preguntas frecuentes me hace pensar que no pueden, ¿Se aplican las reglas a los agentes automáticamente? . Entonces, ¿qué sucede cuando el servidor central OSSEC está inactivo? Los agentes harán cola de registros, pero ¿podrán tomar cualquier respuesta activa por su cuenta ante un ataque percibido?
Referencias