Nuevo en ossec: ¿qué hace la respuesta activa fuera de la caja?

6

Soy nuevo en ossec. Instalé el servidor y el wui en una máquina dedicada. Tengo agentes que se ejecutan en mi zookeeper y en los servidores kafka para comenzar.

Abajo hay eventos que estoy viendo. Asumo que son bots automatizados.

10 - User missed the password more than one time
10 - Multiple SSHD authentication failures.
5 - SSHD authentication failed.

Entonces ... una dirección IP es 222.186.62.17

Entonces ... ¿ossec prohibió la dirección IP? ¿Hay algo que deba hacer para permitir que ossec prohíba 222.186.62.17? O habilitado por defecto.

¿Qué pasa con el escaneo de puertos por ejemplo? los que usan nmap? ¿Serán prohibidos?

Estoy buscando lo que funciona fuera de la caja para la protección a través de la respuesta activa.

    
pregunta Tampa 19.02.2014 - 02:34
fuente

1 respuesta

7

Con OSSEC ver. 2.7.1, ossec.conf (de forma predeterminada ubicado en / var / ossec / etc) contiene la siguiente configuración de respuesta activa:

<!-- Active Response Config -->
<active-response>
  <!-- This response is going to execute the host-deny
     - command for every event that fires a rule with
     - level (severity) >= 6.
     - The IP is going to be blocked for  600 seconds.
     -->
  <command>host-deny</command>
  <location>local</location>
  <level>6</level>
  <timeout>600</timeout>
</active-response>

<active-response>
  <!-- Firewall Drop response. Block the IP for
     - 600 seconds on the firewall (iptables,
     - ipfilter, etc).
     -->
  <command>firewall-drop</command>
  <location>local</location>
  <level>6</level>
  <timeout>600</timeout>
</active-response>

Por lo tanto, cualquier regla OSSEC activa que se active con una severidad > = 6 y una identificación exitosa de la IP de origen activará el bloqueo temporal de la dirección IP (600 segundos de forma predeterminada). Esto suponiendo que haya respondido afirmativamente a la siguiente pregunta de instalación del servidor:

  
  • ¿Desea habilitar la respuesta activa? (y / n) [y]:
  •   

En ossec-local.conf, puede ver las dependencias de comando activas (es decir, "expect = srcip"):

<command>
  <name>host-deny</name>
  <executable>host-deny.sh</executable>
  <expect>srcip</expect>
  <timeout_allowed>yes</timeout_allowed>
</command>

<command>
  <name>firewall-drop</name>
  <executable>firewall-drop.sh</executable>
  <expect>srcip</expect>
  <timeout_allowed>yes</timeout_allowed>
</command>

En /var/ossec/rules/syslog_rules.xml, puede encontrar la regla que generó que el Usuario omitió la contraseña más de una vez alerta:

<rule id="2502" level="10">
  <match>more authentication failures;|REPEATED login failures</match>
  <description>User missed the password more than one time</description>
  <group>authentication_failed,</group>
</rule>

La definición de la regla anterior tiene un nivel (es decir, una gravedad) de 10, por lo que debería activar el bloqueo temporal de IP.

En /var/ossec/rules/sshd_rules.xml, puede encontrar la regla que generó la alerta Varias fallas en la autenticación de SSHD :

<rule id="5720" level="10" frequency="6">
  <if_matched_sid>5716</if_matched_sid>
  <same_source_ip />
  <description>Multiple SSHD authentication failures.</description>
  <group>authentication_failures,</group>
</rule>

Nuevamente, la definición de la regla anterior especifica el nivel 10, por lo que debería activar el bloqueo temporal de IP.

En /var/ossec/rules/sshd_rules.xml, puede encontrar la regla que generó la alerta SSHD fallada :

<rule id="5716" level="5">
  <if_sid>5700</if_sid>
  <match>^Failed|^error: PAM: Authentication</match>
  <description>SSHD authentication failed.</description>
  <group>authentication_failed,</group>
</rule>

La definición de la regla anterior especifica el nivel 5, por lo que esta regla no activará el bloqueo de IP temporal.

El escaneo de puertos con nmap dará como resultado un bloqueo de IP temporal basado en esta regla OSSEC (es decir, 10 intentos de conexión dentro de 90 segundos, alerta de nivel 10):

<!-- Scan signatures -->
  <group name="syslog,recon,">
    <rule id="40601" level="10" frequency="10" timeframe="90" ignore="90">
      <if_matched_group>connection_attempt</if_matched_group>
      <description>Network scan from same source ip.</description>
      <same_source_ip />
    </rule>
</group> <!-- SYSLOG,SCANS -->
    
respondido por el Tate Hansen 19.02.2014 - 08:40
fuente

Lea otras preguntas en las etiquetas