Configurando o Ossec HIDS para monitorar os logs customizados do Apache
28 de Fevereiro de 2012, 0:00 - sem comentários aindaPor padrão o Ossec HIDS apenas monitora os arquivos de logs access.log e error.log do Apache, isto torna-se um problema quando hospedamos diversos vhosts ( sites ) no mesmo servidor.
Claro que somente será um problema para os sysadmins que não configuram os logs dos vhosts individualmente, espero que este NÃO seja o seu caso. Se você é daqueles que nem sabem onde estão localizados os logs do Apache mostrarei como configurá-los e como adequar o Ossec HIDS a esta nova realidade.
DICA: Está boa prática facilita a auditoria dos logs durante a detecção de ataques e erros.
CUSTOMIZANDO O LOG DO VHOST
Adicione as linhas CustomLog e ErrorLog no arquivo de configuração do vhost, como no exemplo abaixo:
| <VirtualHost *:80> ServerName www.acme.com ServerAdmin alexos@acme.com CustomLog /var/log/apache2/www.acme.com-access.log combined ErrorLog /var/log/apache2/www.acme.com-error.log DocumentRoot /var/www/acme/ DirectoryIndex index.php<Directory /> Order Deny,Allow Deny from all Options None AllowOverride None </Directory><Directory /var/www/acme/> Options Indexes FollowSymLinks MultiViews AllowOverride None Order Allow,Deny Allow from all </Directory> |
CONFIGURANDO O OSSEC
Edite o arquivo /var/log/ossec/ossec.conf e adicione na tag localfile os novos arquivos de log, como no exemplo abaixo:
| <localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile> |
<localfile>
<log_format>apache</log_format>
<location>/var/log/apache2/access.log</location>
</localfile>
<localfile>
<log_format>apache</log_format>
<location>/var/log/apache2/www.acme.com-access.log</location>
</localfile>
<localfile>
<log_format>apache</log_format>
<location>/var/log/apache2/www.acme.com-error.log</location>
</localfile>
Após reinciar o Apache e Ossec HIDS os alertas serão enviados de acordo com cada virtual host.
Configurando o agente do Ossec HIDS no Windows server
28 de Fevereiro de 2012, 0:00 - sem comentários aindaA instalação do Ossec no Windows é bastante intuitiva porém alguns ajustes são necessários para garantir sua total eficiência.
Após conclui-la é necessário registrar o host no Ossec Server permitindo assim a comunicação entre ambos.
No servidor execute os seguintes passos
Execute o manage_agents
/var/ossec/bin/manage_agents
****************************************
* OSSEC HIDS v2.6 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: [ Digite A para adicionar um agente ]
- Adding a new agent (use ‘\q’ to return to the main menu).
Please provide the following:
* A name for the new agent: teste [ Digite o nome do agente ]
* The IP Address of the new agent: xxx.xxx.xxx.xxx [ Digite o IP do agente ]
* An ID for the new agent[001]: [ Pressione ENTER ou informe um ID ]
Agent information:
ID:001
Name:W2k3
IP Address:192.168.0.2Confirm adding it?(y/n): y [ Digite 'y' ]
Agent added.
****************************************
* OSSEC HIDS v2.6 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: E [ Digite 'E' para obter a chave do agente ]
Available agents:
ID: 001, Name: teste, IP: 192.168.0.2
Provide the ID of the agent to extract the key (or ‘\q’ to quit): 001 [ Informe o ID do agente ]
Agent key information for ’001′ is: [ Guarde esta chave para adicionar na configuração do agente ]
MDAxIHRlc3RlIDE3Mi4xNi4wLjYgZmRkMDRiM2EyNThlYWM0ZWQ5ODU1NWZmNGY0NjM3YTVjMDI2MzA5NTg1Y2M5NjgyODczNjIxMTdiMzhlZWFlYw==
Reinicie o Ossec Server
/var/ossec/bin/ossec-control restart
Adicione no agente o ip do Ossec Server e a chave gerada anteriormente.
Por padrão o agente do Windows faz a leitura dos logs do 1o virtual host ( W3SVC1 até W3SVC254 para WEB, MSFTPSVC1 até MSFTPSVC254 para FTP e SMTPSVC1 até SMTPSVC254 para SMTP). Está configuração padrão não atente na maioria dos casos, por isso é necessário ajustar tanto o IIS quanto o Ossec.
NO IIS
Execute os seguintes passos em todos o VHOSTS existentes tanto para WEB quanto para FTP
1 – Marque as opções 1 e 2 como mostra a tela abaixo:
Guarde o caminho do arquivo de log ( LOG FILE NAME ) que na imagem acima é W3SVC767321757\exyymmdd.log. Iremos adicionar está informação no arquivo de configuração do agente.
2 – Clique na aba AVANÇADO marcando todas as opções existentes.
NO AGENTE DO OSSEC
1 – Inicie o Agent Manager e clique em VIEW -> VIEW CONFIG
Adicione a seguinte XML TAG no final do arquivo informando os diretórios apresentados anteriormente pelo IIS. Repita toda a TAG para cada diretório.
Após executar os passos acima reinicie o agente acompanhando seu log e os alertas.
ACTIVE-RESPONSE
O active-response no Windows vêm desabilitado por padrão, habilite-o alterando a TAG abaixo de yes para no.
Para monitorar os hosts bloquados acesse o CMD e digite o comando ROUTE PRINT, para remover um ip bloqueado execute o comando ROUTE REMOVE [IP]
