Con OSSEC ver. 2.7.1, ossec.conf (di default si trova in / var / ossec / etc) contiene la seguente configurazione di risposta attiva:
<!-- Active Response Config -->
<active-response>
<!-- This response is going to execute the host-deny
- command for every event that fires a rule with
- level (severity) >= 6.
- The IP is going to be blocked for 600 seconds.
-->
<command>host-deny</command>
<location>local</location>
<level>6</level>
<timeout>600</timeout>
</active-response>
<active-response>
<!-- Firewall Drop response. Block the IP for
- 600 seconds on the firewall (iptables,
- ipfilter, etc).
-->
<command>firewall-drop</command>
<location>local</location>
<level>6</level>
<timeout>600</timeout>
</active-response>
Quindi qualsiasi regola OSSEC attiva che genera sia un livello di gravità > = 6 sia un'identificazione corretta dell'IP sorgente provocherà il blocco temporaneo dell'indirizzo IP (600 secondi per impostazione predefinita). Questo presuppone che tu abbia risposto affermativamente alla seguente domanda di installazione del server:
- Do you want to enable active response? (y/n) [y]:
In ossec-local.conf, puoi vedere le dipendenze dei comandi attivi (ad esempio "expect = srcip"):
<command>
<name>host-deny</name>
<executable>host-deny.sh</executable>
<expect>srcip</expect>
<timeout_allowed>yes</timeout_allowed>
</command>
<command>
<name>firewall-drop</name>
<executable>firewall-drop.sh</executable>
<expect>srcip</expect>
<timeout_allowed>yes</timeout_allowed>
</command>
In /var/ossec/rules/syslog_rules.xml, puoi trovare la regola che ha generato l'avviso Utente mancato la password più di una volta :
<rule id="2502" level="10">
<match>more authentication failures;|REPEATED login failures</match>
<description>User missed the password more than one time</description>
<group>authentication_failed,</group>
</rule>
La definizione della regola di cui sopra ha un livello (cioè la gravità) di 10, quindi dovrebbe attivare il blocco IP temporaneo.
In /var/ossec/rules/sshd_rules.xml, puoi trovare la regola che ha generato l'avviso Errori di autenticazione SSHD multipli :
<rule id="5720" level="10" frequency="6">
<if_matched_sid>5716</if_matched_sid>
<same_source_ip />
<description>Multiple SSHD authentication failures.</description>
<group>authentication_failures,</group>
</rule>
Anche in questo caso, la precedente definizione della regola specifica il livello 10, quindi dovrebbe attivare il blocco IP temporaneo.
In /var/ossec/rules/sshd_rules.xml, puoi trovare la regola che ha generato l'avviso autenticazione SSHD non riuscita :
<rule id="5716" level="5">
<if_sid>5700</if_sid>
<match>^Failed|^error: PAM: Authentication</match>
<description>SSHD authentication failed.</description>
<group>authentication_failed,</group>
</rule>
La precedente definizione della regola specifica il livello 5, quindi questa regola non attiva il blocco IP temporaneo.
La scansione delle porte con nmap comporterà un blocco IP temporaneo basato su questa regola OSSEC (ovvero 10 tentativi di connessione entro 90 secondi, avviso di livello 10):
<!-- Scan signatures -->
<group name="syslog,recon,">
<rule id="40601" level="10" frequency="10" timeframe="90" ignore="90">
<if_matched_group>connection_attempt</if_matched_group>
<description>Network scan from same source ip.</description>
<same_source_ip />
</rule>
</group> <!-- SYSLOG,SCANS -->