OSSEC : après quelques semaines
OSSEC : après quelques semaines jppAprès quelques semaines la vie avec OSSEC se passe très bien. Le nombre de messages n'est pas très élevé, sauf lors de mises à jour logicielles sur l'une des machines. Celle-ci déclenche en effet un certain nombre de messages pour :
- la mise à jour elle-même (détection sur dpkg.log)
- la modification des programmes (changement de l'empreinte)
Les messages surviennent très rapidement après la mise à jour et, très souvent, les messages groupent un certain nombre de modifications ce qui réduit fortement leur nombre.
On voit rapidement les tentatives d'accès indues, tous les "rigolos" qui essayent de forcer votre mot de passe SSH... ils essayent en général les users "Administrator" ou parfois "Administrateur", C'est bizarre celà me dit quelque chose ce genre de user...
Toutes les erreurs de connexion, avec les mots de passe à la gomme qu'on est obligé d'utiliser il est vite fait de se mélanger les doigts et de frapper un mot de passe erroné.
De même les tentatives d'accès sur le serveur FTP sont signalées et, en prime, OSSEC bloque l'IP correspondante pendant un temps paramétrable (600 secondes par défaut).
La machine OSSEC étant aussi ma passerelle Internet il faut soigneusement mettre en "White list" les machines du réseau interne car si elles font des choses non prévues (ou "vilaines") leur IP est bloquée assez rapidement.
J'ai ainsi constaté qu'un simple "apt-get update" va chercher des fichiers qui n'existent pas sur les serveurs et le proxy SQUID note soigneusement ces accès "loupés" ce qui déclenche un message et le blocage de l'IP "fautive", la White List est ici la bienvenue.
Exemple de message OSSEC :
OSSEC HIDS Notification.2010 Sep 14 23:29:39
Received From: xxxxx->syscheck
Rule: 550 fired (level 7) -> "Integrity checksum changed."
Portion of the log(s):
Integrity checksum changed for: '/etc/bind/db.192.1'
Size changed from '1603' to '1657'
Ownership was '0', now it is '105'
Old md5sum was: '99bd18192e46198c2330a2f4b715fd00'
New md5sum is : '146b5b6ddd094f633f1f55961ed17055'
Old sha1sum was: 'aeacec95643c35ab23f9b45fdc0b4d137a04a38d'
New sha1sum is : '39ccae1efc06a417b856242694fbe0931836b623'
--END OF NOTIFICATION
En effet j'ai procédé à une mise à jour d'un fichier de mon petit DNS interne, le signalement est rapide.
OSSEC HIDS Notification. 2010 Sep 15 23:17:02
Received From: (pcnic) 192.168.1.7->syscheck
Rule: 550 fired (level 7) -> "Integrity checksum changed."
Portion of the log(s):
Integrity checksum changed for: 'ossec.conf'
Size changed from '7554' to '7634'
Old md5sum was: '91e2cfd5503cb7eeee496f6b83a195b4'
New md5sum is : 'be35b5b28f893182a6c730e9533ed64d'
Old sha1sum was: 'e0d47353e1d3339a7d4a5b080fb2853ed1ad8cc0'
New sha1sum is : 'c25c7b4d2a6ea97c842f106df645874c5985a5ea'
--END OF NOTIFICATION
Là j'ai ajusté une règle pour modifier les conditions de syscheck sur le répertoire "c:\program files", la réaction a été très rapide car l'option "realtime" est activée sur les répertoires "sensibles".
Pour les machines Windows j'attends le prochain "patch tuesday" pour voir ce qui est déclenché.
En bref c'est un très bon logiciel qui semble très complet. Le paramétrage offre de grandes possibilités pour "filtrer" des messages superflus, le mot "error" dans un message logué est très mal vu ! Je suis abonné à une liste de distribution dont l'adresse de retour par défaut comporte le mot fatidique "error@....", une petite surcharge de règle et le tour est joué, les messages du log comportant un destinataire "error@...." ne déclenchent plus rien.
Il faut essayer d'être assez précis dans ce type de filtre pour ne pas cacher de vrais "ERRORS".
Ca y est, les patchs Windows sont arrivés et il y en a 11. Je déclenche cette mise à jour et je vais observer les messages de OSSEC dès leur arrivée.
Tiens c'est curieux, déjà une heure de passée et aucun message ?!?!
La machine en question vient de migrer sur un nouveau matériel à processeur ATOM et carte mini dans le même boitier que celui du petit frontal Internet pour un encombrement et une consommation minimum.
J'attends le prochain passage de patchs.