[FUG-BR] OSSEC

Patrick Tracanelli eksffa em freebsdbrasil.com.br
Quarta Março 28 09:26:37 BRT 2007 

Rafael Busetti escreveu:
> Boa tarde pessoal,
> 
> To aqui testando o OSSEC faz mais ou menos uns 4 dias, para ver todo o
> funcionamento dele ... ele envia email, consegui trabalhar com ele
> tranquilamente, porém em questão do Active-Responde eu não estou
> conseguindo fazer ele funcionar ... precisa fazer alguma configuração
> mais especifica? Procurei aqui porém não achei nada, meus logs do IPFW
> são salvos no /var/log/ipfw/ipfw.log ... porém nao achei nenhum lugar
> para especificar isso para o OSSEC ... como sei se está funcionadno
> está parte?
> 
> OBrigado!
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

O firewall-drop padrao nao eh o de IPFW.Se nao me engano eh de Linux, 
entao voce deve copiar o de ipfw (que esta no fonte do ossec, nao eh 
instalado) para o local apropriado:

cp /path/source/do/ossec-hids-1.1/active-response/firewalls/ipfw.sh \
	/var/ossec/active-response/bin/firewall-drop.sh

Voila, voce esta pronto. Considere substituir o numero da regra e o 
numero da table de acordo com o setup do seu firewall. Se voce nao usa 
table e nao quer ter excecoes ao active-response entao nao precisa fazer 
nada.

De resto basta testar e adaptar as regras de active-response, lembrando 
que por padrao o nivel de alertas para ativar active response eh 7 ou 8 
se nao me engano que eh muito baixo, sucetivel a falso-positivos. Eu por 
exemplo so uso active response em regras acima de 9, e inclusive minhas 
proprias regras tem level acima de 9.

O que me remete a "testes" em ambiente de producao, que eu indico que 
voce substitua a regra de active response por "count" ao inves de "deny" 
durante suas etapas de teste (ate que voce valide as regras e diminua 
possibilidades de falso-positivos) senao as chances de voce se bloquear 
sao altas.


-- 
Patrick Tracanelli

FreeBSD Brasil LTDA.
(31) 3281-9633 / 3281-3547
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

Mais detalhes sobre a lista de discussão freebsd