OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

You would like to contribute something for IPFire?
User avatar
gocart
Posts: 509
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » September 10th, 2017, 7:50 am

@UE vielen Dank.. es funktionieren beide Varianten. Habe aber keine Ahnung wieso. ??? ??? Ich muss mich mehr mit regex (die mächtige Sprache der wirren Zeichen) beschäftigen. Ein bisschen bin ich schon schlauer geworden wie sich das zusammen setzt.

Grüße, gocart

User avatar
gocart
Posts: 509
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » September 10th, 2017, 10:04 am

@UE meine Experimente werden so langsam... Decoder:

Code: Select all

<!--
Decoder postfix-newconn
Sep  8 00:06:35 proxy postfix/smtpd[12888]: connect from unknown[ IP ]
Decoder postfix-lostconn
Sep  8 02:00:33 proxy postfix/smtpd[20875]: lost connection after AUTH...
Sep 10 00:08:35 proxy postfix/smtpd[24188]: lost connection after CONNECT from...
 -->

<decoder name="postfix-newconn">
  <use_own_name>true</use_own_name>
  <parent>postfix</parent>
  <prematch>^connect from</prematch>
  <regex>[(\d+.\d+.\d+.\d+)]</regex>
  <order>srcip</order>
</decoder>

<decoder name="postfix-lostconn">
  <use_own_name>true</use_own_name>
  <parent>postfix</parent>
  <prematch>^lost connection after</prematch>
  <regex>[(\d+.\d+.\d+.\d+)]</regex>
  <order>srcip</order>
</decoder>
Und Rules... :

Code: Select all

<!-- @(#) $Id: ./etc/rules/postfix_dos_rules.xml, 2017/09/08 gocart Exp $
  -  Additional postfix rules for OSSEC.
  -  Author: Marcel Lorenz
  -  License: http://www.ossec.net/en/licensing.html
  -->

<!-- Number of connects -->
<var name="POSTFIX_CONN">50</var>

<!-- Timeframe in seconds -->
<var name="POSTFIX_TIME">10</var>

<group name="syslog,postfix,">

  <!-- Decoder select rules -->
  <rule id="3400" level="0">
    <decoded_as>postfix-newconn</decoded_as>
    <description>Grouping of the postfix new connection rules.</description>
  </rule>

  <rule id="3410" level="0">
    <decoded_as>postfix-lostconn</decoded_as>
    <description>Grouping of the postfix lost connection rules.</description>
  </rule>


  <!-- treat new unknown connections -->

  <!-- connect from unkown -->
  <rule id="3401" level="6">
    <if_sid>3400</if_sid>
    <match>unknown</match>
    <description>Connect with no reverse DNS</description>
  </rule>

  <!-- count connects from unkown -->
  <rule id="3402" level="6" frequency="$POSTFIX_CONN" timeframe="$POSTFIX_TIME">
    <if_matched_sid>3401</if_matched_sid>
    <same_source_ip />
    <description>To many connect events from same source.</description>
    <group>attack,</group>
  </rule>

  <!-- treat unknown connections end -->

  <!-- treat lost connections -->

  <!-- lost connection after AUTH -->
  <rule id="3411" level="6">
    <if_sid>3410</if_sid>
    <match>AUTH</match>
    <description>lost connection after AUTH</description>
  </rule>

  <!-- count lost connections after AUTH -->
  <rule id="3415" level="6" frequency="$POSTFIX_CONN" timeframe="$POSTFIX_TIME">
    <if_matched_sid>3411</if_matched_sid>
    <same_source_ip />
    <description>To many lost connection after AUTH events from same source.</description>
    <group>attack,</group>
  </rule>

  <!-- lost connection after CONNECT -->
  <rule id="3420" level="6">
    <if_sid>3410</if_sid>
    <match>CONNECT</match>
    <description>lost connection after CONNECT</description>
  </rule>

  <!-- count lost connections after CONNECT -->
  <rule id="3421" level="6" frequency="$POSTFIX_CONN" timeframe="$POSTFIX_TIME">
    <if_matched_sid>3420</if_matched_sid>
    <same_source_ip />
    <description>To many lost connection after CONNECT events from same source.</description>
    <group>attack,</group>
  </rule>

  <!-- treat lost connections end -->

</group> <!-- SYSLOG,POSTFIX -->
bei den Test mit ossec-logtest sieht es soweit gut aus.:

Code: Select all

**Phase 1: Completed pre-decoding.
       full event: 'Sep 10 00:08:35 proxy postfix/smtpd[24188]: lost connection after CONNECT from 187-126-237-55.user.veloxzone.com.br[187.126.237.55]'
       hostname: 'proxy'
       program_name: 'postfix/smtpd'
       log: 'lost connection after CONNECT from 187-126-237-55.user.veloxzone.com.br[187.126.237.55]'

**Phase 2: Completed decoding.
       decoder: 'postfix'
       srcip: '187.126.237.55'

**Phase 3: Completed filtering (rules).
       Rule id: '3420'
       Level: '6'
       Description: 'lost connection after CONNECT'
**Alert to be generated.
Die Regeln arbeiten mit den Variablen oben um die Anzahl der Verbindungen einzelner IP Adressen zu überwachen und das bei überschreiten des Schwellwerts in der Firewall zu blocken. Die Werte sind erst mal nach Gutdünken festgelegt. Ps. wenn du für irgendwas bessere Ideen oder englische Formulierungen hast bin ich nicht böse darüber wenn du sie mit mit teilst...

Grüße, gocart

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » September 10th, 2017, 12:26 pm

Moin gocart,
gocart wrote:
September 10th, 2017, 7:50 am
@UE vielen Dank.. es funktionieren beide Varianten. Habe aber keine Ahnung wieso. ??? ???
Der hier z.b.

Code: Select all

<regex>unknown[(\S+\.)]</regex>
geht mit [234.234.234.234] oder [234.234.234.234 ] aber nicht mit [ 234.234.234.234] oder [ 234.234.234.234 ]
hingegen der hier

Code: Select all

<regex>unknown[\s*(\S+\.\s*)]</regex>
geht auch mit [ 234.234.234.234 ] oder [234.234.234.234 ] oder [ 234.234.234.234]
'\S' wäre alles ausser Leerzeichen nach der OSSEC RegEx Doku (ich denke auch Tabs) kann sein das er die Klammer nach dem RegEx deswegen mitinterpretiert. Wenn er nach '\S' aber ein '\.' bekommt nimmt er sich alle numerics gefolgt von einem Dot was denke ich ein C RegEx ist aber nach der OSSEC Doku --> http://ossec-docs.readthedocs.io/en/lat ... regex.html nicht dokumentiert ist, Bug oder Feature ? Weiss ich auch gerade nicht...
gocart wrote:
September 10th, 2017, 10:04 am
und das bei überschreiten des Schwellwerts in der Firewall zu blocken.
das wäre dann u.a. auch die /etc/hosts.deny z.b. --> https://forum.ipfire.org/viewtopic.php? ... 924#p45245 , ansonsten sieht dass doch schon gut aus :) die Composits werden bestimmt noch spannend machen aber schon einen netten Eindruck.
gocart wrote:
September 10th, 2017, 10:04 am
wenn du für irgendwas bessere Ideen oder englische Formulierungen hast bin ich nicht böse darüber wenn du sie mit mit teilst...
Zum Decoder noch eine Idee:
Es wird für generell geraten offset´s so oft wie möglich zu verwenden z.b.

Code: Select all

<decoder name="postfix-lostconn">
  <use_own_name>true</use_own_name>
  <parent>postfix</parent>
  <prematch offset="after_parent">AUTH from unknown</prematch>
  <regex offset="after_parent">[(\S+\.)]</regex>
  <order>srcip</order>
</decoder>
zum nachlesen --> http://www.ossec.net/ossec-docs/OSSEC-book-ch4.pdf gibt´s auch bei OSSEC direkt find ich aber gerade nicht:
When the <prematch> finishes evaluating, it will read everything up to “Sun Jun 4 22:08:39 2007 ”, so there is no point in reading it all again. Because of that, in our regex, we use: <regex offset=“after_prematch”>^test: Login USER (\w+)</regex> so that it starts reading at “test: Login USER dcid” instead of the whole log. If your decoder has a “parent” decoder (explained later), you can use “after_\parent” to make sure your decoder does not read everything that the parent already did.
- Bei den "Descriptions" könntest du z.b. anstatt

Code: Select all

<description>lost connection after AUTH</description>
mit

Code: Select all

<description>Postfix: lost connection after AUTH</description>
arbeiten. Sieht schicker und lässt sich besser überschauen wie ich finde.

- User definierte Rules sollten von 100000 bis 119999 gehen damit es keine Kollision mit schon vorhandenen oder noch kommenden gibt. Ist auch hier --> http://www.ossec.net/ossec-docs/OSSEC-book-ch4.pdf zu finden.
User-defined rules should range from 100,000 to 119,999. If you choose any other ID, it might collide with the official ones from the OSSEC HIDS project
- Du kannst dir auch nochmal Gedanken wegen der Alert Levels machen 6 oder 9 event. ? Lässt sich hier --> http://ossec-docs.readthedocs.io/en/lat ... evels.html auch nochmal nachlesen.

- Hast du dir schon mal die Groups angeschaut (Group Type) ?

- Du kannst deine Logs auch regulär mal testen, reported sieht da auch ganz interessant aus --> http://ossec-docs.readthedocs.io/en/lat ... gtest.html .

- Nimmst du die 'local*' Files für decoder und rules ?

- --> https://github.com/ossec/ossec-hids/blo ... _rules.xml <-- kennst du den schon ? Hab da im Netz auch was für den Spamassassin gesehen find´s aber gerade nicht mehr ::)

Mal für auf die Schnelle.

Grüsse und noch nen schönen Sonntag.

UE
Image
Image
Image

User avatar
gocart
Posts: 509
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » September 10th, 2017, 2:35 pm

@UE Danke für die Erklärung mit dem RegEx! :)

Das mit dem <prematch offset="after_parent"> ist eingebaut und der der Description Text auch. Aber die ID's lasse ich erst mal so sonst bin ich verwirrt mit den Zahlen.(vorerst ;)) Level 9 ist auch besser / zutreffender. Momentan nutze ich local_decoder.xml. Habe aber schon gesehen, dass man das auf einen Ordner wie mit den Rules umstellen kann. Wird auch so werden denke ich wenn wir mehr Decoder mitliefern.
Hast du dir schon mal die Groups angeschaut (Group Type)
Habe die ganzen Seiten in Tabs offen Groups, Regular Expression Syntax, Rules Classification, Decoders Syntax und noch viele viele mehr... ::)

Das für Spamassassin habe ich schon gesehen, nützt nur leider nix das SA als Modul in Amavisd geladen wird und da sehen die Meldungen im Log anders aus. Wäre wieder ein Extra Decoder... Eskalatioooon... ;D

Grüße, gocart

User avatar
gocart
Posts: 509
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » September 10th, 2017, 4:26 pm

@UE Die Schwellwerte werden auch getriggert cat /var/log/mail | /var/ossec/bin/ossec-logtest -a Alerts Ausgabe:

Code: Select all

** Alert 1505060364.242: - syslog,postfix,attack,
2017 Sep 10 16:19:24 proxy->stdin
Rule: 3401 (level 2) -> 'Postfix: Connect with no reverse DNS'
Src IP: 182.100.69.53
Sep  5 10:53:54 proxy postfix/smtpd[14904]: connect from unknown[182.100.69.53]

** Alert 1505060364.243: mail  - syslog,postfix,attack,
2017 Sep 10 16:19:24 proxy->stdin
Rule: 3412 (level 9) -> 'Postfix: To many lost connection after AUTH events from same source.'
Src IP: 182.100.69.53
Sep  5 10:53:55 proxy postfix/smtpd[14904]: lost connection after AUTH from unknown[182.100.69.53]
Sep  5 10:53:54 proxy postfix/smtpd[14937]: lost connection after AUTH from unknown[182.100.69.53]
Sep  5 10:53:45 proxy postfix/smtpd[14904]: lost connection after AUTH from unknown[182.100.69.53]
Sep  5 10:53:42 proxy postfix/smtpd[14937]: lost connection after AUTH from unknown[182.100.69.53]
Sep  5 10:53:41 proxy postfix/smtpd[14937]: lost connection after AUTH from unknown[182.100.69.53]
Sep  5 10:53:39 proxy postfix/smtpd[14856]: lost connection after AUTH from unknown[182.100.69.53]
Sep  5 10:53:37 proxy postfix/smtpd[14856]: lost connection after AUTH from unknown[182.100.69.53]
Sep  5 10:53:21 proxy postfix/smtpd[14856]: lost connection after AUTH from unknown[182.100.69.53]
Sep  5 10:53:21 proxy postfix/smtpd[14904]: lost connection after AUTH from unknown[182.100.69.53]
Sep  5 10:53:21 proxy postfix/smtpd[14856]: lost connection after AUTH from unknown[182.100.69.53]
Sep  5 10:53:19 proxy postfix/smtpd[14856]: lost connection after AUTH from unknown[182.100.69.53]
Sep  5 10:53:11 proxy postfix/smtpd[14856]: lost connection after AUTH from unknown[182.100.69.53]
Sieht soweit gut aus... Wie geht es weiter mit Active Response bzw. da muss dich bestimmt auch wieder was gebaut werden...
Grüße, gocart

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » September 11th, 2017, 8:05 am

Moin gocart,
gocart wrote:
September 10th, 2017, 4:26 pm
Sieht soweit gut aus... Wie geht es weiter mit Active Response bzw. da muss dich bestimmt auch wieder was gebaut werden...
Da gibt´s eigentlich schon so einiges, firewall-drop.sh, host-deny.sh, route-null.sh, ip-custumblock.sh, ... , je nachdem was getan werden soll. Getriggert wird über Rule ID, Group ID oder über den Level. Die Active response arbeitet über zwei Sektionen die du in der ossec.conf definieren/aktivieren kannst. Das ist einmal der

Code: Select all

<command>
   ....
</command>
und der

Code: Select all

<active-response>
   ....
</active-response>
Bereich. Die Wazuh Seite find ich da aufgeräumter im Überlick --> https://documentation.wazuh.com/2.0/use ... works.html aber OSSEC bietet da auch einiges an --> http://ossec-docs.readthedocs.io/en/lat ... ponse.html# .
Eigene Skripten kannst du auch schreiben denke aber erstmal nicht das du das brauchst, kannst dich ja mal umschauen.

Grüsse,

UE
Image
Image
Image

User avatar
gocart
Posts: 509
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » September 11th, 2017, 9:27 am

Moin UE... Hatte letzten Freitag OSSEC mal testweise auf dem ersten Produktivsystem installiert. Heute habe ich mal in die Logs vom WE geschaut und er tut schon mächtig Firewall-Drop machen :o :o . Meine Postfix Rules habe vorhin mal noch eingebaut. Mal sehen wie die sich bewähren...
Mal einen Auszug aus dem Log:

Code: Select all

Mon Sep 11 10:06:31 CEST 2017 /var/ossec/active-response/bin/firewall-drop.sh delete - 192.3.229.230 1505116547.98163 3302
Mon Sep 11 10:10:22 CEST 2017 /var/ossec/active-response/bin/host-deny.sh add - 192.3.229.230 1505117422.115205 3306
Mon Sep 11 10:10:22 CEST 2017 /var/ossec/active-response/bin/firewall-drop.sh add - 192.3.229.230 1505117422.115205 3306
Mon Sep 11 10:14:52 CEST 2017 /var/ossec/active-response/bin/firewall-drop.sh delete - 103.242.152.101 1505117011.113343 3302
Mon Sep 11 10:14:52 CEST 2017 /var/ossec/active-response/bin/host-deny.sh delete - 103.242.152.101 1505117011.113343 3302
Mon Sep 11 10:20:52 CEST 2017 /var/ossec/active-response/bin/host-deny.sh delete - 192.3.229.230 1505117422.115205 3306
Mon Sep 11 10:20:52 CEST 2017 /var/ossec/active-response/bin/firewall-drop.sh delete - 192.3.229.230 1505117422.115205 3306
Mon Sep 11 10:26:11 CEST 2017 /var/ossec/active-response/bin/host-deny.sh add - 62.113.195.6 1505118370.117900 3301
Schicke Sache... 8) Die 330x sind die Postfix Regeln. postfix_rules.xml

Grüße, gocart

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » September 11th, 2017, 10:13 am

Das sieht doch schick aus :) .
Du kannst auch mit 'repeated_offenders' arbeiten --> http://ossec-docs.readthedocs.io/en/lat ... se-options z.b.

Code: Select all

<repeated_offenders>30,60,120</repeated_offenders>
somit kannst du den Block auch Stufenweise erhöhen. 5 kommaseparierte Einträge sollten gehen.

Magst du deine Konfiguration zur Active Response noch Posten ? Client/Server oder Lokal ?

Grüsse,

UE
Image
Image
Image

User avatar
gocart
Posts: 509
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » September 11th, 2017, 11:26 am

@UE repeated_offenders ist eine gute Idee bzw. habe ich mit in die Default Konfig übernommen. Die Active Repsonse Config ist unverändert aus der original Vorlage ossec-server.conf:

Code: Select all

  <!-- Active Response Config -->
  <active-response>
    <!-- This response is going to execute the host-deny
       - command for every event that fires a rule with
       - level (severity) >= 6.
       - The IP is going to be blocked for  600 seconds.
      -->
    <command>host-deny</command>
    <location>local</location>
    <level>6</level>
    <timeout>600</timeout>
  </active-response>

  <active-response>
    <!-- Firewall Drop response. Block the IP for
       - 600 seconds on the firewall (iptables,
       - ipfilter, etc).
      -->
    <command>firewall-drop</command>
    <location>local</location>
    <level>6</level>
    <timeout>600</timeout>    
  </active-response>  
Der dropt alles ab Level 6. Die Postfix Rules sind Level 6. Wobei noch die Frage im Raum steht ob die hosts.deny Regel überhaupt gebraucht wird, da "filewall drop" ja moderner ist und eigentlich ausreicht. Der Drop geht teilweise so fix, dass Postfix in den Timeout geht was aber erst mal nicht weiter schlimm ist bzw. keine Auswirkungen hat. :

Code: Select all

Sep 11 13:07:08 proxy postfix/smtpd[24852]: timeout after DATA from unknown[212.156.145.14]
Grüße, gocart

User avatar
gocart
Posts: 509
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » September 11th, 2017, 3:40 pm

@UE bin schon wieder schlauer. Punkt 1: Hosts.deny geht unter IPFire nicht und kann damit raus. Punkt 2.: für Postfix sind 10min block viel zu kurz. Daher probiere ich gerade mal eine separate Active Response mit dem Selector <rules_group>spam</rules_group>: und deutlich längeren Zeiten 4h 12h 24h und 48h. Mal sehen wie das wirkt.

Code: Select all

  <active-response>
    <!-- Firewall Drop response.
       - Block the IP from postfix log for 4 hours
       - on the firewall (iptables, ipfilter, etc).
      -->
    <disabled>no</disabled>
    <command>firewall-drop</command>
    <location>local</location>
    <rules_group>spam</rules_group>
    <timeout>14400</timeout>
    <repeated_offenders>720,1440,2880</repeated_offenders>
  </active-response>

  <active-response>
    <!-- Firewall Drop response. Block the IP for
       - 600 seconds on the firewall (iptables, ipfilter, etc).
       - This is a default rule
      -->
    <disabled>no</disabled>
    <command>firewall-drop</command>
    <location>local</location>
    <level>6</level>
    <timeout>600</timeout>
    <repeated_offenders>30,60,120</repeated_offenders> 
  </active-response>
Die geblocken IP's sind übrigens im IPFire WebIF in der Firewall-Ansicht unter IPTables zu sehen. Die Frage ist noch obe sich die verschiedenen Response Konfigs beharken. Die Spam Gruppe ist auch in der Level 6 Gruppe. Da muss man wahrscheinlich auf die Reihenfolge aufpassen. Ach und übrigens, Mail Alerts versenden geht auch. Lasse mir das direkt über Postfix an den Mailserver weiter leiten...
Grüße, gocart
Last edited by gocart on September 12th, 2017, 9:38 am, edited 1 time in total.

5p9
Mentor
Mentor
Posts: 1782
Joined: May 1st, 2011, 3:27 pm

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by 5p9 » September 12th, 2017, 8:20 am

Moinsen,

ihr seid soooo fleißig :D das ist echt cool! Danke für eure Zeit die ihr hier rein steckt!
Ich kann gerade nicht viel beitragen, habe gestern Abend meine Fire zuhause neu installiert. Ist ja seit 2013 nur mit Updates versehen gewesen und vieeeele Altlasten, inkl Netzwerk-Topologiedingen die ich schon lange mal beseitigen wollte.

Jedenfalls brauch ich noch ein wenig bis ich wieder alles wichtige auf dem System habe, die ich auch wirklich benötige. Erst danach mach ich hier wieder mit!

OT: @UE wie ist es eigentlich mit der OVPN2.4er Version brauchst du da noch ein paar mehr Tester? In deinem Thread bist du quasi fast alleine.
Würde dann nach meinen iOS-Tests mit der 2.3er gern, wenn soweit alles passt, auf die 2.4 switchen. Außer sie kommt schon im nächsten Master-Build mit?!
Welcher von beiden links ist hier der aktuelle?

https://forum.ipfire.org/viewtopic.php?f=50&t=18067
viewtopic.php?t=17656#p102654

VG, 5p9

User avatar
gocart
Posts: 509
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » September 12th, 2017, 9:36 am

Hallo...

mal ein Kurzer Statusbericht. Habe OSSEC mal noch auf einem zweiten System in betrieb genommen (da ist ein bisschen mehr los) und das sind innerhalb einer halben Stunde ca. 200 IP's in der Firewall Droplist gelandet. Alles aus dem Postfix Log und den den mitgelieferten Regeln. Die erhöhten Zeiten zeigen ihre Wirkung. Das Postfix Log sieht deutlich sauberer aus und vielen RBLTRAP Einträge haben sich auf ein Minimum reduziert und da sind meine extra Regeln sind da gar noch nicht wirklich scharf gestellt. Es sind schon die Früchte der Arbeit zu sehen. :)

Grüße, gocart

5p9
Mentor
Mentor
Posts: 1782
Joined: May 1st, 2011, 3:27 pm

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by 5p9 » September 12th, 2017, 11:03 am

Hey,

welche Verion verwendet ihr jetzt für ossec? Die von UE mit dem "IDS/IPS" WUI oder die erste Verion mit dem Trent-Micro WUI?

Weiß jetzt garnicht wo ihr angekommen seid ???

Bin demnächst soweit für ossec :D

VG, 5p9

User avatar
gocart
Posts: 509
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » September 12th, 2017, 11:44 am

@5p9 UE schaut was was mit Wazuh (Elastic Stack) möglich ist und ich habe die originale OSSEC 2.9.2 ohne ein WUI einsatzfähig als Server Build ins IPFire LFS gebaut. Die Postfix Rules sind bei beiden Versionen identisch.
Gruße, gocart

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » September 12th, 2017, 4:18 pm

Hallo zusammen,
5p9 wrote:
September 12th, 2017, 8:20 am
OT: @UE wie ist es eigentlich mit der OVPN2.4er Version brauchst du da noch ein paar mehr Tester? In deinem Thread bist du quasi fast alleine.
was das Testen anbelangt bin ich alleine, obwohl es gab da einen glaub ich der das positiv mitgetestet hatte :'( :D aber was soll´s ich find die Version Super und freu mich da jeden Tag drüber...
5p9 wrote:
September 12th, 2017, 8:20 am
Würde dann nach meinen iOS-Tests mit der 2.3er gern, wenn soweit alles passt, auf die 2.4 switchen. Außer sie kommt schon im nächsten Master-Build mit?!
Nee, die kommt bestimm nicht mit dem nächster Master, obwohl die Bugfixes da mal langsam committet werden könnten, will da aber auch noch den ein oder anderen Tester mitnehmen wenn´s geht obwohl es da im Bugzilla auch schon positive Rückmeldung gab.
5p9 wrote:
September 12th, 2017, 8:20 am
Welcher von beiden links ist hier der aktuelle?

https://forum.ipfire.org/viewtopic.php?f=50&t=18067
viewtopic.php?t=17656#p102654
Der hier --> https://forum.ipfire.org/viewtopic.php?f=50&t=18067 ist der öffentlich Testingthread wo die neuen Versionen drinne sind.
Der --> viewtopic.php?t=17656#p102654 war mein Start mit der neuen 2.4er wo die ganzen Features etwas tiefer erklärt werden und meine Testings zu sehen sind.
gocart wrote:
September 12th, 2017, 9:36 am
mal ein Kurzer Statusbericht. Habe OSSEC mal noch auf einem zweiten System in betrieb genommen (da ist ein bisschen mehr los) und das sind innerhalb einer halben Stunde ca. 200 IP's in der Firewall Droplist gelandet. Alles aus dem Postfix Log und den den mitgelieferten Regeln. Die erhöhten Zeiten zeigen ihre Wirkung. Das Postfix Log sieht deutlich sauberer aus und vielen RBLTRAP Einträge haben sich auf ein Minimum reduziert und da sind meine extra Regeln sind da gar noch nicht wirklich scharf gestellt.
Das hört sich doch schonmal sehr gut an. Wie sieht´s mit False/Positives aus ? Wäre doch echt nett wenn Amavis und Spamassassin sich eine entspanntere Zeit machen können. Mit welchen Zeiten arbeitst du für <repeated_offenders> jetzt ?
gocart wrote:
September 12th, 2017, 9:36 am
Es sind schon die Früchte der Arbeit zu sehen. :)
Weisst was, ich freu mich einfach mal mit :D .
gocart wrote:
September 12th, 2017, 11:44 am
@5p9 UE schaut was was mit Wazuh (Elastic Stack) möglich ist
Der ELK-Stack bzw. Wazuh laufen bei mir schon ein paar Tage kurzes insight -->
Wazuh-ELK:

Image

und die von Wazuh mitgelieferten Kibana Templates:

Image

, hab mal die Screenshoots genommen ohne allzuviel privat data (da gibts aber noch so einiges mehr und es lassen sich auch eigene nach Gusto zusammenbauen), hab ausserdem mal OpenSCAP --> https://www.open-scap.org/ und Audit --> https://people.redhat.com/sgrubb/audit/ für den Fire gebaut und auch schon eingebaut <-- @5p9 das brauchs aber alles nicht, Audit und OpenSCAP sind auch Wazuh spezifisch würde am besten erstmal mit OSSEC ohne allem Klimmbimm anfangen. Wie gocart schon geschrieben hat, ohne WUI Einsatz im Server/Client build oder halt als 'local' Installation geht das auch alles und macht das was dass wichtigste ist, gocart bekommt auch die Alerts schon als Mail
gocart wrote:
September 11th, 2017, 3:40 pm
Ach und übrigens, Mail Alerts versenden geht auch. Lasse mir das direkt über Postfix an den Mailserver weiter leiten...
hast du da auch schon was wegen GPG Verschlüsselungen für die Mails gefunden ? Gibt´s bei Wazuh nämlich nicht.
gocart wrote:
September 11th, 2017, 3:40 pm
Daher probiere ich gerade mal eine separate Active Response mit dem Selector <rules_group>spam</rules_group>: und deutlich längeren Zeiten 4h 12h 24h und 48h. Mal sehen wie das wirkt.
Das sollte eigentlich hinhauen.
Läuft GeoIP bei dir ?

Ist die Mailscanner.xml --> https://github.com/ossec/ossec-hids/blo ... _rules.xml für euch eigentlich zu gebrauchen ?

Das Feierabendbier ruft, habt einen schönen Abend.

Grüssle,

UE
Image
Image
Image

Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest