domingo, 22 de marzo de 2009

OSSEC 2.0 un buen analizador de logs para Linux

OSSEC es un IDS Open Source, analiza los logs del sistema, la integridad de archivos, con políticas de supervisión, detección de rootkit, alerta en tiempo real y respuesta activa.

Funciona en los siguientes sistemas operativos:
  • GNU/Linux (todas las distribuciones, incluyendo RHEL, Ubuntu, Slackware, Debian, etc)
  • Windows XP,2000,2003,Vista,2008
  • VMWare ESX 3.0,3.5 (incluyendo CIS checks)
  • FreeBSD (Todas las versiones)
  • OpenBSD (Todas las versiones)
  • NetBSD (Todas las versiones)
  • Solaris 2.7,2.8,2.9 y 10
  • AIX 5.3 y 5.3
  • HP-UX 10, 11, 11i
  • MacOSX 10
Soporta los siguientes dispositivos a través de syslog remoto
  • Cisco PIX, ASA and FWSM (Todas las versiones)
  • Cisco IOS routers (Todas las versiones)
  • Juniper Netscreen (Todas las versiones)
  • SonicWall firewall (Todas las versiones)
  • Checkpoint firewall (Todas las versiones)
  • Cisco IOS IDS/IPS module (Todas las versiones)
  • Sourcefire (Snort) IDS/IPS (Todas las versiones)
  • Dragon NIDS (Todas las versiones)
  • Checkpoint Smart Defense (Todas las versiones)
  • McAfee VirusScan Enterprise (v8 y v8.5)
  • Bluecoat proxy (all versions)
  • Cisco VPN concentrators (Todas las versiones)
Monitorización de bases de datos:
  • MySQL (Todas las versiones)
  • PostgreSQL (Todas las versiones)
  • Oracle, MSSQL (Muy pronto)
Y otros formatos de logs
  • Unix solo:
    • Unix Pam
    • sshd (OpenSSH)
    • Solaris telnetd
    • Samba
    • Su
    • Sudo
    • Xinetd
    • Adduser/deluser/etc
    • Cron/Crontab
    • Solaris BSM Auditing
    • Dpkg (Debian package) logs
    • Yum logs
  • Servidores FTP:
    • Proftpd
    • Pure-ftpd
    • vsftpd
    • wu-ftpd
    • Microsoft FTP server
    • Solaris ftpd
    • Mac OS FTP server
  • Servidores de correo:
    • Imapd and pop3d
    • Postfix
    • Sendmail
    • vpopmail
    • Microsoft Exchange
    • Courier imapd/pop3d/pop3-ssl
    • vm-pop3d
    • SMF-SAV (Sendmail Sender Address Validator)
    • Procmail
    • Mailscanner
  • Servidores Web:
    • Apache web server (logs de acceso y error)
    • IIS 5/6 web server (NSCA y W3C extentido)
    • Zeus web server
  • Aplicaciones Web:
    • Horde imp
    • Modsecurity
  • Firewalls:
    • Iptables firewall
    • Shorewall (iptables-based) firewall
    • Solaris ipfilter firewall
    • AIX ipsec/firewall
    • Netscreen firewall
    • Windows firewall
    • Cisco PIX/ASA/FWSM
    • SonicWall firewall
    • Checkpoint firewall
  • Bases de datos:
    • MySQL
    • PostgreSQL
  • NIDS:
    • Cisco IOS IDS/IPS module
    • Snort IDS
    • Dragon NIDS
    • Checkpoint Smart defense
  • Aplicaciones de seguridad:
    • Symantec Anti Virus
    • Symantec Web Security
    • Nmap
    • Arpwatch
    • McAfee VirusScan Enterprise (v8 and v8.5)
  • Otros:
    • Named (bind)
    • Squid proxy
    • Bluecoat proxy
    • Cisco VPN Concentrator
    • Cisco IOS routers
    • Asterisk
    • Vmware ESX
  • Windows event logs
  • Windows Routing y Remote Access logs
  • Generic unix authentiction (adduser, logins, etc)
Consume muy pocos recursos y envía avisos a través de correo electrónico de las alertas y sus niveles, todo esto es configurable, la instalación es muy sencilla.

Después de descargar OSSEC 2.0 y descomprimir el archivo, con privilegios de root se debe ejecutar "./install.sh"

Después ejecutar el siguiente comando para arrancarlo:

/var/ossec/bin/ossec-control start

Hay mucha información y muy detallada de su funcionamiento en la página oficial de Ossec, la seguridad total es imposible de conseguir, pero con esta herramienta podemos estar algo más tranquilos.
Etiquetas:

domingo, 8 de marzo de 2009

Bloquear IP en Linux (Fedora 10)

Es muy útil bloquear puntualmente a ciertas IPs molestas, que por ejemplo no paran de hacer ataques de denegación de servicio cuando tenemos el emule, o cualquier tipo de ip molestas con actividades molestas.

Sin necesidad de utilizar IPTABLES directamente, de una forma más sencilla podemos hacerlo con el archivo rc.firewall.blocked situado en /etc/rc.d y una lista de ips plana como la siguiente.

Este es un ejemplo de rc.firewall.blocked:
111.222.333.111 # Comentario sobre la ip
444.555.666.777 # algún comentario más
# Es recomendable anotar el motivo de cada denegación.

Paso 1
Crear el archivo rc.firewall.blocked ( touch /etc/rc.d/rc.firewall.blocked ) y dentro anotar todas las ips que queramos bloquear.

Por ejemplo pongamos una serie de ips a bloquear.
89.254.45.9 # Web de Cracker prioridad 01.
87.231.11.5 # Web Spam prioridad 5.
#84.34.144.4 # Temporalmente desactivada, verificar el log.
Con las anotaciones podemos recordar porque se denego y que futuras acciones se deben tomar con ips sospechosas.

Paso 2
Una vez que se ha creado el archivo rc.firewall.blocked es hora de darle permisos y cambiar el propietario a root.

Para hacer este archivo ejecutable y cambiarle los permisos y el propietario ejecutar los siguientes comandos:

[root@nexus7 /]# chmod 644 /etc/rc.d/rc.firewall.blocked
[root@nexus7 /]# chown 0.0 /etc/rc.d/rc.firewall.blocked
Etiquetas:
Suscribirse a: Entradas (Atom)