HIDS que puede detectar ataques, tomar medidas inmediatas localmente y luego informar a un servicio central para retransmitir a otros sistemas.

0

He estado investigando esto un poco ahora y no puedo encontrar lo que quiero. Así que estoy en el punto en el que estoy sopesando mis opciones en cuanto a cómo puedo proceder.

Fondo

Me gustaría configurar un HIDS que tenga la capacidad de usar reglas para monitorear los registros del servidor web en busca de patrones conocidos de ataques. Estoy pensando en algo parecido a cómo funciona fail2ban aquí. Regex está bien, pero sería aún mejor si el "motor de reglas / herramienta de análisis" tuviera algún contexto de cómo se estructuraron los registros para servidores como Nginx y / o Apache, de modo que las reglas pudieran coincidir con la entrada del registro de manera contextual, vs . sólo siendo una expresión regular.

Ejemplo de entrada del registro de Apache
  

192.168.1.6 - - [25 / Sep / 2014: 15: 54: 01 -0400] "GET /blog/wp-content/themes/atahualpa/images/icons/trackback.gif HTTP / 1.1" 304 - " - "" Mozilla / 4.0 (compatible;) "

Ejemplo de expresión regular (no necesariamente quiero esto):

^%(_apache_error_client)s (AH01618: )?user .*? not found(: )?\S*(, referer: \S+)?\s*$

Regla contextual (me gustaría esto en su lugar):

sourcetype=http
requestpath=/w00tw00t
Maniobras evasivas

Me gustaría que esta capacidad se implementara con los nodos del servidor web para que puedan tomar medidas inmediatas cuando se perciba una amenaza a través de iptables & %código%. Además de tomar acciones inmediatas, me gustaría informar la dirección IP de comportamiento incorrecto a un servidor central, que tendrá la capacidad de retransmitir esta IP a mis otros nodos, para que también puedan agregarla a sus firewalls también.

Control central

Me gustaría que la administración central realice un seguimiento de las IP que actualmente se encuentran en la lista negra, y las transmita a los otros nodos para que puedan incorporar las IP en la lista negra también en sus cortafuegos.

Después de un tiempo, las IP ofensivas caducarán fuera del nodo central, e informará a los nodos que esta IP ya no está en la lista negra.

ACTUALIZACIÓN # 1: sobre el uso potencial de OSSEC

Se dejó un comentario de la siguiente manera:

  

Sólo quiero un poco de aclaración. Lo que no puedes encontrar una solución.   Porque es la parte centralizada, ¿verdad? Por lo que puedo decir de su   pregunta, aparte del bloqueo de IP centralizado, OSSEC puede realizar   todas estas funciones

A lo que respondí:

  

Tienes razón, no me di cuenta de que OSSEC tenía respuestas activas que   Podría tomar acciones a nivel local en el extremo de los agentes. Se describe aquí:    Nuevo en ossec: lo que hace respuesta activa hacer fuera de la caja Así que la recolección de la   Las direcciones IP prohibidas y la retransmisión parecen ser lo único que no es   disponible en OSSEC .

Pero todavía no me queda claro si los agentes pueden actuar de forma autónoma y recibir una respuesta activa cuando se ve un mensaje de registro en particular o no. Este comentario en las Preguntas frecuentes me hace pensar que no pueden, ¿Se aplican las reglas a los agentes automáticamente? . Entonces, ¿qué sucede cuando el servidor central OSSEC está inactivo? Los agentes harán cola de registros, pero ¿podrán tomar cualquier respuesta activa por su cuenta ante un ataque percibido?

Referencias
pregunta slm 26.09.2014 - 01:25
fuente

1 respuesta

1

Para poner esto un poco más oficialmente como respuesta, creo que OSSEC tiene las opciones que está buscando. Puede crear reglas personalizadas, configurarlo para ver archivos de registro específicos (como los registros de su servidor web) y activar alarmas si se detectan ciertas coincidencias de expresiones regulares o cadenas. La respuesta activa puede ejecutar más o menos cualquier comando, solo tiene que colocarlo en el directorio bin de respuesta activa que es / var / ossec / active-response / bin de forma predeterminada.

Con la Respuesta Activa podría activar un script que empujó la IP en algún lugar centralmente y que podría usarse para obtener una lista de IP incorrectas. La respuesta activa tiene un mecanismo de tiempo de espera para "revertir" la respuesta, así como agregar o eliminar. Puede ver las secuencias de comandos de muestra en el directorio bin de Respuesta Activa. Le advertiré que iptables no es muy escalable con una gran cantidad de reglas, por lo que querrá probar esto bastante a fondo sin importar en qué dirección vaya con esto. Las probabilidades son que la cantidad de direcciones IP que bloquearás son bastante bajas, pero nunca se sabe. Aquí hay un par de enlaces que pueden ser útiles para usted.

enlace enlace

    
respondido por el theterribletrivium 26.09.2014 - 21:30
fuente

Lea otras preguntas en las etiquetas