Da un po 'di tempo cerco questa ricerca e non riesco a trovare quello che voglio. Quindi sono al punto in cui sto valutando le mie opzioni su come posso procedere.
Sfondo Vorrei installare un HIDS che abbia la possibilità di usare le regole per monitorare i log del server web per i noti pattern di attacchi. Sto pensando a qualcosa su come funziona fail2ban qui. Regex è OK, ma sarebbe ancora meglio se il "motore di regole / strumento di scansione" avesse un contesto di come i registri fossero strutturati per server come Nginx e / o Apache in modo che le regole potessero essere confrontate contestualmente alla voce di registro, vs solo essere un'espressione regolare.
192.168.1.6 - - [25/Sep/2014:15:54:01 -0400] "GET /blog/wp-content/themes/atahualpa/images/icons/trackback.gif HTTP/1.1" 304 - "-" "Mozilla/4.0 (compatible;)"
Esempio Regex (non lo voglio necessariamente):
^%(_apache_error_client)s (AH01618: )?user .*? not found(: )?\S*(, referer: \S+)?\s*$
Regola contestuale (mi piacerebbe invece questo):
sourcetype=http
requestpath=/w00tw00t
Mi piacerebbe che questa funzionalità venisse implementata con i nodi del server Web in modo che possano intraprendere azioni immediate quando una minaccia viene percepita tramite iptables & %codice%. Oltre ad intraprendere azioni immediate, vorrei riportare l'indirizzo IP errato su un server centrale, che avrà la possibilità di ritrasmettere questo IP agli altri nodi, in modo che anche loro possano aggiungerlo a anche i loro firewall.
Vorrei che la gestione centrale tenga traccia di ciò che gli IP sono attualmente in blacklist e li inoltrerà agli altri nodi in modo che possano incorporare anche gli IP della lista nera nei loro firewall.
Dopo un po 'di tempo, gli IP incriminati sarebbero scaduti fuori dal nodo centrale e avrebbero segnalato ai nodi che questo IP non è più in blacklist.
UPDATE # 1 - riguardante il potenziale utilizzo di OSSECUn commento è stato lasciato come segue:
Just want a little clarification. The thing you can't find a solution for is the centralized part, right? As far as I can tell from your question, other than the centralized IP blocking, OSSEC can perform all of these functions
A cui ho risposto:
You're correct, I didn't realize that OSSEC had active responses that could take actions locally on the agents end. It's described here: New to ossec - what does active response do out of the box So the collecting of the banned IPs and re-broadcast would seem to be the only thing that's not available within OSSEC.
Tuttavia non è ancora chiaro se gli agenti possano agire autonomamente e prendere una risposta attiva quando viene visualizzato o meno un particolare messaggio di registro. Questo commento nelle FAQ mi fa pensare che non possono, Le regole vengono inviate automaticamente agli agenti? . Quindi cosa succede quando il OSSEC server centrale non funziona? Gli agenti accoderanno i log, ma saranno in grado di rispondere autonomamente a un attacco percepito?
Riferimenti