[FUG-BR] OSSEC

Patrick Tracanelli eksffa em freebsdbrasil.com.br
Quarta Março 28 09:54:51 BRT 2007


Celso Viana escreveu:
> Em 28/03/07, Patrick Tracanelli<eksffa em freebsdbrasil.com.br> escreveu:
>> Rafael Busetti escreveu:
>>> Boa tarde pessoal,
>>>
>>> To aqui testando o OSSEC faz mais ou menos uns 4 dias, para ver todo o
>>> funcionamento dele ... ele envia email, consegui trabalhar com ele
>>> tranquilamente, porém em questão do Active-Responde eu não estou
>>> conseguindo fazer ele funcionar ... precisa fazer alguma configuração
>>> mais especifica? Procurei aqui porém não achei nada, meus logs do IPFW
>>> são salvos no /var/log/ipfw/ipfw.log ... porém nao achei nenhum lugar
>>> para especificar isso para o OSSEC ... como sei se está funcionadno
>>> está parte?
>>>
>>> OBrigado!
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> O firewall-drop padrao nao eh o de IPFW.Se nao me engano eh de Linux,
>> entao voce deve copiar o de ipfw (que esta no fonte do ossec, nao eh
>> instalado) para o local apropriado:
>>
>> cp /path/source/do/ossec-hids-1.1/active-response/firewalls/ipfw.sh \
>>         /var/ossec/active-response/bin/firewall-drop.sh
>>
>> Voila, voce esta pronto. Considere substituir o numero da regra e o
>> numero da table de acordo com o setup do seu firewall. Se voce nao usa
>> table e nao quer ter excecoes ao active-response entao nao precisa fazer
>> nada.
>>
>> De resto basta testar e adaptar as regras de active-response, lembrando
>> que por padrao o nivel de alertas para ativar active response eh 7 ou 8
>> se nao me engano que eh muito baixo, sucetivel a falso-positivos. Eu por
>> exemplo so uso active response em regras acima de 9, e inclusive minhas
>> proprias regras tem level acima de 9.
>>
>> O que me remete a "testes" em ambiente de producao, que eu indico que
>> voce substitua a regra de active response por "count" ao inves de "deny"
>> durante suas etapas de teste (ate que voce valide as regras e diminua
>> possibilidades de falso-positivos) senao as chances de voce se bloquear
>> sao altas.
>>
>>
>> --
>> Patrick Tracanelli
>>
>> FreeBSD Brasil LTDA.
>> (31) 3281-9633 / 3281-3547
>> 316601 em sip.freebsdbrasil.com.br
>> http://www.freebsdbrasil.com.br
>> "Long live Hanin Elias, Kim Deal!"
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> 
> Patrick,
> 
> Já tem port para esse programa?
> 

Nao tem nao Celso, mas o tar ball ja instala perfeitamente no FreeBSD, a 
unica observacao pra fazer o port seria o startup pois ele usa o 
rc.local. Por outro lado esse HIDS tem processos que rodam chrootado 
enquanto outros nao, entao tem que instalar tudo num soh path. Isso pode 
merecer algumas consideracoes dos commiters. Eu iniciei o port desse 
HIDS mas nao acabei hehe.

-- 
Patrick Tracanelli

FreeBSD Brasil LTDA.
(31) 3281-9633 / 3281-3547
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"



Mais detalhes sobre a lista de discussão freebsd