OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

You would like to contribute something for IPFire?
User avatar
gocart
Posts: 509
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » September 26th, 2017, 8:17 am

Hallo UE...
aber dass weißt du denke ich eh
Yoooh... wees ich. Arbeite schon länger selbst mit Apache 2.4 und php 7. Daher habe ich für die alte und die neue Variante vhost und htaccess-Dateien in der ossec install.sh mit enthalten, die dann entsprechend installiert wird.
Grüße, gocart

User avatar
gocart
Posts: 509
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » December 25th, 2017, 10:31 am

Hallo,
habe meine OSSEC 2.9.3 Pakete mal auf den aktuellen Stand gebracht (Core 120 Build und Installer)...

Update vom 06.05.2018

Die gibt es hier: x64 und x86
Grüße, gocart
Last edited by gocart on May 6th, 2018, 7:43 am, edited 2 times in total.

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » February 8th, 2018, 6:23 pm

Hallo zusammen,
wenn es nicht eh schon bekannt ist, PHP wird mit Core 118 obsolet somit bekommt das OSSEC WI ein Problem. Ich weiss nun nicht ob/wer das WI überhaupt nutzt (gocart z.b. dürfte damit kein Problem haben ;) ) wollte dennoch mal bescheid geben.

Zum manuellen sauber machen kann folgendes gemacht werden:

Code: Select all

rm -rvf \
/srv/web/ossec \
/etc/httpd/conf/vhosts.d/ossec.conf \
/etc/logrotate.d/ossec \
/var/log/httpd/ossec-*.log &&
/etc/init.d/apache restart
Grüssle,

UE
Image
Image
Image

Drexbengel48
Posts: 6
Joined: June 12th, 2017, 4:50 am
Location: Berlin

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by Drexbengel48 » February 10th, 2018, 4:44 am

Hi ummegge,

besteht die Möglichkeit die Binarys für Wazuh 3.1.0 auch irgendwann bereitzustellen?

Das wäre echt cool ...

LG
Drexbengel48
Image

User avatar
gocart
Posts: 509
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » February 10th, 2018, 7:01 am

Hallo UE,

nein habe ich nicht... :) Braucht Wazuh übrigens nicht auch PHP für die Webseite?

Vor dir stammt doch das Squidclamav Addon für IPfire wenn ich mich recht entsinne. Hab das mal auf 6.16 gehoben. Das ist dann aber kein eigenständiges Programm mehr sondern nur noch ein Modul/Plugin für c-icap. An der Stelle ist es dann wie sollte es anders sein, wieder eskaliert. ::) Habe also das Squidguard aus IPfire rausgeschmissen und durch c-icap ersetzt. Hab sogar die Webif CGI's angepasst (uuhhh Perl...) Der Urlfilter läuft auch über c-icap (srv_url_check Modul). Es gehen zwar noch nicht alle Details aber wenn da von deiner Seite Interesse bestehen sollte...

https://wiki.squid-cache.org/ConfigExam ... ion/C-ICAP

Grüße, gocart

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » February 10th, 2018, 10:10 am

Hallo zusammen,
Drexbengel48 wrote:
February 10th, 2018, 4:44 am
Hi ummegge,

besteht die Möglichkeit die Binarys für Wazuh 3.1.0 auch irgendwann bereitzustellen?

Das wäre echt cool ...

LG
Drexbengel48
ist mittlerweile die 3.2.0 rausgekommen, hab sie dir mal gebaut findest du hier --> https://people.ipfire.org/~ummeegge/wazuh/ ist aber nur für 64bit derzeit zu haben allerdings gibt´s dann dafür den Agent und den Manager (Hybrid).
Bei der Hybrid Version kannst du dich für einen Server/Client oder für eine 'Lokal' Installation entscheiden. Lokal ist wie der Server nur ohne Agents Anbindung.
EDIT: Ich denke du brauchst make zum Installieren der Wazun packages, kannst du aber über Pakfire installieren und nach der Wazuh Installation auch wieder deinstallieren.

Installation ist wie gehabt, gewünschtes Paket laden entpacken mit 'tar xvfz {PACKETNAME}' und da ist dann die install.sh zu finden ( mit ./install.sh ausführen ) was den Wazuh installer anschmeisst der dann den Rest macht.
Wenn du Snort auf dem Fire hast würde ich Wazuh nach der Installation noch nicht starten (obwohl er das anbietet) da in der Konfig das Log Format für Snort noch definiert werden muss also entweder

Code: Select all

  <localfile>
    <log_format>snort-full</log_format>
    <location>/var/log/snort/alert</location>
  </localfile>

oder

Code: Select all

  <localfile>
    <log_format>snort-fast</log_format>
    <location>/var/log/snort/alert</location>
  </localfile>
. Wenn du mit dem ELK Stack arbeitest dann musst du wegen der Versionen schauen. Das neue Kibana will noch nicht mit dem derzeit aktuellen Wazuh. Ich glaube die 6.0.1er Version ist derzeit Maximum.
gocart wrote:
February 10th, 2018, 7:01 am
nein habe ich nicht... :) Braucht Wazuh übrigens nicht auch PHP für die Webseite?
Dacht ich mir´s doch ;) und nein Wazuh übermittelt mittels Logstash (Einsammler) an Elasticsearch (NoSQL JSON DB) wo Kibana dann die Visualisierung übernimmt und der ist dann in Java geschrieben. Macht so aber auf dem Fire eh kein Sinn da kein Java. In der Konstellation dann halt einen Agent auf dem Fire und der Rest macht dann eine andere Maschine, macht eh mehr Sinn wenn man´s bunt haben möchte...
gocart wrote:
February 10th, 2018, 7:01 am
Vor dir stammt doch das Squidclamav Addon für IPfire wenn ich mich recht entsinne.
Eigentlich Nö ::) , was mich auch nicht traurig stimmt :P .
gocart wrote:
February 10th, 2018, 7:01 am
Habe also das Squidguard aus IPfire rausgeschmissen und durch c-icap ersetzt. Hab sogar die Webif CGI's angepasst (uuhhh Perl...) Der Urlfilter läuft auch über c-icap (srv_url_check Modul). Es gehen zwar noch nicht alle Details aber wenn da von deiner Seite Interesse bestehen sollte...
Hört sich gut an, Interesse schon, mal schauen was das Zeiteisen in den nächsten Tagen so sagt...

Liebe Grüsse erstmal und einen bezaubernden Samstag euch.

UE
Image
Image
Image

Drexbengel48
Posts: 6
Joined: June 12th, 2017, 4:50 am
Location: Berlin

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by Drexbengel48 » February 11th, 2018, 3:50 am

Hi ummegge,

Danke für das Bereitstellen!

Die Hybridinstallation ist einwandfrei durchgelaufen!

Ist es auch möglich das wazuh unter Status --> Addon-Dienste zur Anzeige zu bringen, was müsste ich genau anpassen?

LG
Drexbengel48
Image

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » February 11th, 2018, 10:01 am

Moin Drexbengel48,
hab mal alles einwenig umgebaut und erweitert. Du kannst nun auch Wazuh über den In- Uninstaller integrieren, der sollte dann alles machen auch die Statusanzeige im WUI. Vielleicht deinstallierst du auch mittels Skript und installierst wieder.

Hab den Eingangstopic ein wenig angepasst --> viewtopic.php?f=4&t=4924 <-- da finden sich alle Infos zur Installation u.a. ;) .

Bei Fehler/Fragen/Erweiterungen einfach hier schreiben.

Grüsse,

UE

EDIT: Audit und OpenSCAP sind gerade am bauen und wenn da was gebraucht wird einfach bescheid geben.
Image
Image
Image

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » February 17th, 2018, 6:14 pm

Hallo zusammen,
sieht so aus als ob OSSEC und Wazuh auch mit der neuen OpenSSL-1.1.0g lib gut zusammenarbeiten.

Update sollte mit Core 119{20} kommen...

Irgendwelche Neuigkeiten bei jemand von euch ? Läuft Wazuh eigenltich noch bei jemandem ?

Grüssle und ein schönes WE euch,

UE
Image
Image
Image

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » March 5th, 2018, 3:58 pm

Hallo zusammen,
ummeegge wrote:
February 17th, 2018, 6:14 pm
sieht so aus als ob OSSEC und Wazuh auch mit der neuen OpenSSL-1.1.0g lib gut zusammenarbeiten.
muss ich leider redvidieren, hab die derzeit aktuelle Version 2.9.3 von OSSEC mal ohne das neue OpenSSL gebaut und da wird im neuen ENV wegen der libssl gemeckert.
Die 2.9.3 braucht nach wie vor den IPv4 Patch --> viewtopic.php?f=4&t=4924&start=30#p110524 damit sie im Fire auch funktioniert.

Wenn einer derzeit schon eine DEV Version von Core 120 (neues OpenSSL-1.1.0g) am laufen hat und hier interesse hat, finden sich hier --> https://people.ipfire.org/~ummeegge/Oss ... ire/2.9.3/ schon die neuen Binaries für 32 und 64 Bit für >= Core 120... Installer folgt nach dem Release.

Feedback ist trotzdem toll ;) .

Grüsse,

UE
Image
Image
Image

Stefan87
Posts: 39
Joined: July 20th, 2017, 11:55 pm

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by Stefan87 » April 10th, 2018, 3:29 pm

ummeegge wrote:
February 10th, 2018, 10:10 am
Hallo zusammen,
Drexbengel48 wrote:
February 10th, 2018, 4:44 am
EDIT:
Wenn du Snort auf dem Fire hast würde ich Wazuh nach der Installation noch nicht starten (obwohl er das anbietet) da in der Konfig das Log Format für Snort noch definiert werden muss also entweder

Code: Select all

  <localfile>
    <log_format>snort-full</log_format>
    <location>/var/log/snort/alert</location>
  </localfile>

oder

Code: Select all

  <localfile>
    <log_format>snort-fast</log_format>
    <location>/var/log/snort/alert</location>
  </localfile>
Wo finde ich die konfig um das log Format umzustellen

Danke

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » April 10th, 2018, 4:01 pm

Hi,
findest du regulär unter /var/ossec/etc/ossec.conf . Wenn du Snort erst nach OSSEC Installation aktiviert hast, musst du den XML Block für Snort komplett nachtragen.

UE
Image
Image
Image

Stefan87
Posts: 39
Joined: July 20th, 2017, 11:55 pm

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by Stefan87 » April 10th, 2018, 4:14 pm

okay danke

Gilt das auch für Wazuh

wenn ich nur wazu installiere ist das konfig Verzeichnis vermutlich anders

mfg

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » April 10th, 2018, 4:49 pm

Ja das gilt auch für Wazuh obgleich Wazuh ungleich schwerer ist als OSSEC und noch einiges mehr unter etc/ zu finden ist.
Nebeninfo, du kannst auch OSSEC auf dem Fire als Agent laufen lassen und die Alerts auf einen Wazuh Server (lokale Maschine mit ELK-Stack) übermitteln. Somit verbrauchst du auf dem Fire weniger Resourcen da Wazuh schon recht mächtig ist...

UE
Image
Image
Image

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » April 13th, 2018, 3:22 pm

Hallo zusammen,
Update für Ossec-2.9.3 und Wazuh-3.2.1. ist verfügbar. Installer geht allerdings nur mit >= Core 120 bzw. mit dem neuen OpenSSL-1.1.0x .
Core 120 ist mittlerweile im Testing Tree --> https://planet.ipfire.org/post/ipfire-2 ... or-testing und wird bald released werden. Wer keinen Testing Tree bei sich laufen hat sollte noch auf das Release warten, hatte gerade mal Zeit von daher gibts das Update ein wenig früher .-) .

Grüsse,

UE
Image
Image
Image

Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest