Nuevo en ossec: ¿qué hace la respuesta activa fuera de la caja?

Con OSSEC ver. 2.7.1, ossec.conf (de forma predeterminada ubicado en / var / ossec / etc) contiene la siguiente configuración de respuesta activa:

<!-- Active Response Config -->
<active-response>
  <!-- This response is going to execute the host-deny
     - command for every event that fires a rule with
     - level (severity) >= 6.
     - The IP is going to be blocked for  600 seconds.
     -->
  <command>host-deny</command>
  <location>local</location>
  <level>6</level>
  <timeout>600</timeout>
</active-response>

<active-response>
  <!-- Firewall Drop response. Block the IP for
     - 600 seconds on the firewall (iptables,
     - ipfilter, etc).
     -->
  <command>firewall-drop</command>
  <location>local</location>
  <level>6</level>
  <timeout>600</timeout>
</active-response>

Por lo tanto, cualquier regla OSSEC activa que se active con una severidad > = 6 y una identificación exitosa de la IP de origen activará el bloqueo temporal de la dirección IP (600 segundos de forma predeterminada). Esto suponiendo que haya respondido afirmativamente a la siguiente pregunta de instalación del servidor:

  

• ¿Desea habilitar la respuesta activa? (y / n) [y]:
  

En ossec-local.conf, puede ver las dependencias de comando activas (es decir, "expect = srcip"):

<command>
  <name>host-deny</name>
  <executable>host-deny.sh</executable>
  <expect>srcip</expect>
  <timeout_allowed>yes</timeout_allowed>
</command>

<command>
  <name>firewall-drop</name>
  <executable>firewall-drop.sh</executable>
  <expect>srcip</expect>
  <timeout_allowed>yes</timeout_allowed>
</command>

En /var/ossec/rules/syslog_rules.xml, puede encontrar la regla que generó que el Usuario omitió la contraseña más de una vez alerta:

<rule id="2502" level="10">
  <match>more authentication failures;|REPEATED login failures</match>
  <description>User missed the password more than one time</description>
  <group>authentication_failed,</group>
</rule>

La definición de la regla anterior tiene un nivel (es decir, una gravedad) de 10, por lo que debería activar el bloqueo temporal de IP.

En /var/ossec/rules/sshd_rules.xml, puede encontrar la regla que generó la alerta Varias fallas en la autenticación de SSHD :

<rule id="5720" level="10" frequency="6">
  <if_matched_sid>5716</if_matched_sid>
  <same_source_ip />
  <description>Multiple SSHD authentication failures.</description>
  <group>authentication_failures,</group>
</rule>

Nuevamente, la definición de la regla anterior especifica el nivel 10, por lo que debería activar el bloqueo temporal de IP.

En /var/ossec/rules/sshd_rules.xml, puede encontrar la regla que generó la alerta SSHD fallada :

<rule id="5716" level="5">
  <if_sid>5700</if_sid>
  <match>^Failed|^error: PAM: Authentication</match>
  <description>SSHD authentication failed.</description>
  <group>authentication_failed,</group>
</rule>

La definición de la regla anterior especifica el nivel 5, por lo que esta regla no activará el bloqueo de IP temporal.

El escaneo de puertos con nmap dará como resultado un bloqueo de IP temporal basado en esta regla OSSEC (es decir, 10 intentos de conexión dentro de 90 segundos, alerta de nivel 10):

<!-- Scan signatures -->
  <group name="syslog,recon,">
    <rule id="40601" level="10" frequency="10" timeframe="90" ignore="90">
      <if_matched_group>connection_attempt</if_matched_group>
      <description>Network scan from same source ip.</description>
      <same_source_ip />
    </rule>
</group> <!-- SYSLOG,SCANS -->