Ossec \u00e8 un software HIDS freeware che ci permette di proteggere i nostri server dagli attacchi. Personalmente lo uso da molto tempo. Ho sostituito fail-to-ban con ossec, perch\u00e8 mi pare che funzioni meglio. Inoltre ha una funzione server, che viene bene in situazioni particolari come… la nostra.<\/p>\n\n\n\n
Ossec si pu\u00f2 installare in diverse modalit\u00e0: stand alone, server oppure agent. Il server raccoglie tutti i log degli agent e comanda agli agent cosa fare in caso di attacco. In parole povere, a me serviva che, se un agent rileva un attacco, il server invia a tutti gli agent di bloccare quel determinato IP in modo da mitigare l’attacco. Nel nostro caso vista la complessit\u00e0 della rete, i nostri web server sono colpiti da reverse proxy basati si HAProxy e non hanno la possibilit\u00e0 di divendersi in quanto il proxy rigenera la sorgente quindi il server web ‘vede’ come sorgente l’ip di HAProxy. Da qui l’idea di installare un agent su HAProxy e sui web server in modo che, nel momento che un agent su un web server rileva un attacco venga informato il server che inoltra il comando di chiusura a tutti gli agent e quindi anche all’agent di HAProxy, di fatto chiudendo la comunicazione con l’IP attaccante. Tutto questo \u00e8 semplicemente eseguito da una regola sul server dentro al blocco active-response: <\/p>\n\n\n\n
<location>all<\/location><\/p>\n\n\n\n
Con questa istruzione ossec server invia a tutti gli agent il comando di blocco.<\/p>\n\n\n\n
La GUI<\/p>\n\n\n\n
Ho trovato un documento che descrive come installare Splunk con una applicazione ossec in modo da avere una gui degna di questo nome: la gui di ossec server non ha molta utilit\u00e0 a parer mio. Inoltre si pu\u00f2 utilizzare Splunk in quanto (almeno nel mio caso) i log sono sotto alla soglia oltre la quale occorre acquistare una licenza per Splunk. Il documento che spiega molto bene un’installazione ossec ‘quick and dirty’ lo trovate a questo indirizzo: (Grazie a Nicolas Zin)<\/p>\n\n\n\n
![\"\"](\"http:\/\/gbiondi.tech2.it\/wp-content\/uploads\/2018\/10\/1.png\")
<\/figure>\n\n\n\n![\"\"](\"http:\/\/gbiondi.tech2.it\/wp-content\/uploads\/2018\/10\/2.png\")
<\/figure>\n","protected":false},"excerpt":{"rendered":"