Re: question IDS? reponse: OSSEC HIDS
Le Samedi 20 Janvier 2007 02:32, vous avez écrit : active-response !-- This response is going to execute the host-deny - command for every event that fires a rule with - level (severity) = 6. - The IP is going to be blocked for 600 seconds. -- commandhost-deny/command locationlocal/location level6/level timeout1800/timeout /active-response Bonjour Je suis bien un peu couillon ! J'ai changé le timeout pour qu'il corresponde à 5 heures et je n'ai même pas vu la severity !??? :) Pour apache j'ai compris : (c'est vous qui détenniez la solution) Dans ossec.conf la partie : active-response . /active-response Il n'y a pas de : command nameapache-drop/name executableapache-drop.sh/executable expectsrcip/expect timeout_allowedyes/timeout_allowed /command qui est confirmé par le fait qu'il n'y a pas de : /var/ossec/active-response/bin/apache-drop.sh Rem : apache-drop.sh peut être = à firewall-drop.sh !!!
Re: question IDS? reponse: OSSEC HIDS
j'aurais juste une question, arrivez vous à lire vos log apache access (si toute fois vous avez un serveur web sur votre machine)? si oui, quel est votre configuration? vous informe t'il des tentative d'attaque de type SQL XSS INCLUDE? (normalement oui) je vous remerci d'avance « qui est confirmé par le fait qu'il n'y a pas de : /var/ossec/active-response/bin/apache-drop.sh Rem : apache-drop.sh peut être = à firewall-drop.sh !!! » je vous conseil l'utilisation par défault à savoir: firewall-drop.sh = bloque par un symple iptables host-deny.sh = bloque par l'ajout dans /etc/hosts.deny -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: question IDS? reponse: OSSEC HIDS
Le Samedi 20 Janvier 2007 15:01, [EMAIL PROTECTED] a écrit : j'aurais juste une question, arrivez vous à lire vos log apache access (si toute fois vous avez un serveur web sur votre machine)? Oui ! (Mais suppute une difficulté dans votre question que je ne détecte pas !???) si oui, quel est votre configuration? Apache ? OSSEC ? vous informe t'il des tentative d'attaque de type SQL XSS INCLUDE? (normalement oui) Comment les reconnaitre dans les log ?
Re: question IDS , reponse: ossec
Bonsoir, Question idiote, y a t'il un moyen de régler la sensibilité des règles... Les fichiers dans /var/ossec/rules/ ? A comment ossec choisit d'agir ou pas ? Quel(s) niveau(x) faut-il configurer ? Bref c'est l'apprentissage !
Re: question IDS? reponse: OSSEC HIDS
Voilà, franchement c'est un très bon produit, je pense le combiné avec des logs d'iptables pour contrôlé les scannes et autres trucs louche (actuellement je l'ai combiné avec iplog, il faut rajouté quelque régles (sur le wiki il offre un tutorial pour le faire) mais iplog est moins bien qu'un iptables fait sois même je pense). J'ai toujours des problèmes avec mes logs access apaches :( il ne veut pas les traités (enfin je vais cherché) Sans oublié que OSSEC est un programmes qui est basé sur les LOG donc APRES, c'est pour ça qu'il faut l'utilisé avec un firewall et une distrib mise à jours le plus régulièrement possible il permet d'assuré à 100% vos arrière dans le cas ou le firewall et la distrib ne soit pas éfficace (détection de rootkit, de buffer overflow, d'attaques diverses sur diverses services (même apache, donc vérifié si une personnes joues avec les URL pour y faire de l'injection SQL, de l'INCLUDE ou l'XSS) car OSSEC répondra aux pire par un: iptables -A INPUT -s attaquant -j DROP Laurent Besson a écrit : Bonsoir, Question idiote, y a t'il un moyen de régler la sensibilité des règles... Les fichiers dans /var/ossec/rules/ ? A comment ossec choisit d'agir ou pas ? Quel(s) niveau(x) faut-il configurer ? Bref c'est l'apprentissage ! dans la config (/var/ossec/etc/ossec.conf) /* alerts log_alert_level1/log_alert_level /alerts */ ici, c'est le niveau à partir duquel les alertes sont enregistrer. toujours dans la config (/var/ossec/etc/ossec.conf) /* active-response !-- This response is going to execute the host-deny - command for every event that fires a rule with - level (severity) = 6. - The IP is going to be blocked for 600 seconds. -- commandhost-deny/command locationlocal/location level6/level timeout1800/timeout /active-response */ ou levelX/level représente le niveau à partir duquel la réponse active s'activera. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: question IDS , reponse: ossec
Effectivement (j'ai testé) il est très bien. http://www.ossec.net/wiki/index.php/Log_Samples_IPlog#traceroute il y a des combinaisons sympa à faire personnellement il ne prend pas mes apaches access.log :( Merci pour votre aide :) Laurent Besson a écrit : Le Mercredi 17 Janvier 2007 17:58, [EMAIL PROTECTED] a écrit : Personnellement c'est aussi une installation local (1 seul post) que j'aurais à faire, je ne sais pas si je peux te demandé un petit morceau de log (histoire de voir si il est aussi performant qu'il en a l'aire) avec les sortes d'attaque et les parades qu'il a intreprit (que tu as paramétré) (si par exemple les scan de ports son enregistré avec l'IP de l'attaquant? si il est possible de faire d'autre notification que par mail?) En brût pour les premiers 12 h de tests... [EMAIL PROTECTED] lolo]# tail -f /var/ossec/logs/active-responses.log jeu jan 18 11:11:48 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh add - 63.241.61.7 1169115108.385524 30114 jeu jan 18 11:11:48 CET 2007 /var/ossec/active-response/bin/host-deny.sh add - 63.241.61.7 1169115108.385524 30114 jeu jan 18 11:22:18 CET 2007 /var/ossec/active-response/bin/host-deny.sh delete - 63.241.61.7 1169115108.385524 30114 jeu jan 18 11:22:18 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh delete - 63.241.61.7 1169115108.385524 30114 jeu jan 18 19:32:44 CET 2007 /var/ossec/active-response/bin/host-deny.sh add - 201.236.4.225 1169145163.509834 3302 jeu jan 18 19:32:44 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh add - 201.236.4.225 1169145163.509834 3302 jeu jan 18 19:43:13 CET 2007 /var/ossec/active-response/bin/host-deny.sh delete - 201.236.4.225 1169145163.509834 3302 jeu jan 18 19:43:13 CET 2007 /var/ossec/active-response/bin/firewall-drop.sh delete - 201.236.4.225 1169145163.509834 3302 Pour /var/ossec/logs/ossec.log il ne produit pas grand chose sauf si tu mets dans /var/ossec/etc/internal_options.conf: # Windows debug (used by the windows agent) windows.debug=1 # Syscheck (local, server and unix agent) syscheck.debug=1 # Remoted (server debug) remoted.debug=1 # Analysisd (server or local) analysisd.debug=1 # Log collector (server, local or unix agent) logcollector.debug=1 redémarre ossec : /etc/init.d/ossec restart -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: question IDS , reponse: ossec
Le Jeudi 18 Janvier 2007 23:44, [EMAIL PROTECTED] a écrit : http://www.ossec.net/wiki/index.php/Log_Samples_IPlog#traceroute il y a des combinaisons sympa à faire Ah je vais voir cela ! :) personnellement il ne prend pas mes apaches access.log :( Moi il me note quelque chose dans : http://www.system-linux.net/ossec-wui/index.php J'ai installé ossec-wui (interface web) :
