Thomas.will: /* Wazuh-Server */

2025-03-09T14:59:08Z

Wazuh-Server

Thomas.will am 30. Januar 2025 um 09:44 Uhr

2025-01-30T09:44:41Z

Maximilian.pottgiesser: Die Seite wurde neu angelegt: „== Blockieren eines bekannten bösartigen Akteurs == In diesem Anwendungsfall zeigen wir, wie man bösartige IP-Adressen vom Zugriff auf Webressourcen eines W…“

2025-01-30T08:54:53Z

Die Seite wurde neu angelegt: „== Blockieren eines bekannten bösartigen Akteurs == In diesem Anwendungsfall zeigen wir, wie man bösartige IP-Adressen vom Zugriff auf Webressourcen eines W…“

Neue Seite

== Blockieren eines bekannten bösartigen Akteurs ==

In diesem Anwendungsfall zeigen wir, wie man bösartige IP-Adressen vom Zugriff auf Webressourcen eines Webservers blockiert. Sie richten Apache-Webserver auf Ubuntu und Windows-Endpunkten ein und versuchen, von einem RHEL-Endpunkt darauf zuzugreifen.

Dieser Fall verwendet eine öffentliche IP-Reputationsdatenbank, die die IP-Adressen einiger bösartiger Akteure enthält. Eine IP-Reputationsdatenbank ist eine Sammlung von IP-Adressen, die als bösartig markiert wurden. Der RHEL-Endpunkt spielt hier die Rolle des bösartigen Akteurs, daher wird dessen IP-Adresse der Reputationsdatenbank hinzugefügt. Anschließend konfigurieren Sie Wazuh, um den Zugriff des RHEL-Endpunkts auf die Webressourcen der Apache-Webserver für 60 Sekunden zu blockieren. Dies soll Angreifer davon abhalten, ihre bösartigen Aktivitäten fortzusetzen.

== Konfiguration ==

=== Ubuntu-Endpunkt ===

Führen Sie die folgenden Schritte aus, um einen Apache-Webserver zu installieren und seine Protokolle mit dem Wazuh-Agenten zu überwachen.

# Aktualisieren Sie die lokalen Pakete und installieren Sie den Apache-Webserver:

sudo apt update
sudo apt install apache2

Falls die Firewall aktiviert ist, passen Sie die Firewall an, um den externen Zugriff auf die Webports zu ermöglichen. Überspringen Sie diesen Schritt, wenn die Firewall deaktiviert ist:

sudo ufw status
sudo ufw app list
sudo ufw allow 'Apache'

Überprüfen Sie den Status des Apache-Dienstes, um zu bestätigen, dass der Webserver läuft:

sudo systemctl status apache2

Verwenden Sie den Befehl `curl` oder öffnen Sie `http://<UBUNTU_IP>` im Browser, um die Apache-Startseite anzuzeigen und die Installation zu überprüfen:

curl http://<UBUNTU_IP>

Fügen Sie das folgende in die Datei `/var/ossec/etc/ossec.conf` ein, um den Wazuh-Agenten zu konfigurieren und die Apache-Zugriffsprotokolle zu überwachen:

<localfile>
<log_format>syslog</log_format>
<location>/var/log/apache2/access.log</location>
</localfile>

Starten Sie den Wazuh-Agenten neu, um die Änderungen anzuwenden:

sudo systemctl restart wazuh-agent

=== Wazuh-Server ===

Sie müssen die folgenden Schritte auf dem Wazuh-Server ausführen, um die IP-Adresse des RHEL-Endpunkts zu einer CDB-Liste hinzuzufügen und anschließend Regeln und Active Response zu konfigurieren.

==== Laden Sie die Dienstprogramme herunter und konfigurieren Sie die CDB-Liste ====

Installieren Sie das Dienstprogramm `wget`, um die notwendigen Artefakte über die Kommandozeile herunterzuladen:

sudo yum update && sudo yum install -y wget

Laden Sie die Alienvault-IP-Reputationsdatenbank herunter:

sudo wget https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/alienvault_reputation.ipset -O /var/ossec/etc/lists/alienvault_reputation.ipset

Fügen Sie die IP-Adresse des Angreifers zur IP-Reputationsdatenbank hinzu. Ersetzen Sie `<ATTACKER_IP>` durch die IP-Adresse des RHEL-Endpunkts:

sudo echo "<ATTACKER_IP>" >> /var/ossec/etc/lists/alienvault_reputation.ipset

Laden Sie ein Skript herunter, um von .ipset-Format auf .cdb-Listenformat zu konvertieren:

sudo wget https://wazuh.com/resources/iplist-to-cdblist.py -O /tmp/iplist-to-cdblist.py

Konvertieren Sie die Datei `alienvault_reputation.ipset` in das .cdb-Format mit dem zuvor heruntergeladenen Skript:

sudo /var/ossec/framework/python/bin/python3 /tmp/iplist-to-cdblist.py /var/ossec/etc/lists/alienvault_reputation.ipset /var/ossec/etc/lists/blacklist-alienvault

Optional: Entfernen Sie die Dateien `alienvault_reputation.ipset` und `iplist-to-cdblist.py`, da diese nicht mehr benötigt werden:

sudo rm -rf /var/ossec/etc/lists/alienvault_reputation.ipset
sudo rm -rf /tmp/iplist-to-cdblist.py

Weisen Sie dem generierten File die richtigen Berechtigungen und Eigentümerschaft zu:

sudo chown wazuh:wazuh /var/ossec/etc/lists/blacklist-alienvault

==== Konfigurieren Sie das Active Response-Modul zum Blockieren der bösartigen IP-Adresse ====

Fügen Sie eine benutzerdefinierte Regel hinzu, um ein Wazuh Active Response-Skript auszulösen. Dies erfolgt in der Datei `/var/ossec/etc/rules/local_rules.xml` auf dem Wazuh-Server:

<group name="attack,">
<rule id="100100" level="10">
<if_group>web|attack|attacks</if_group>
<list field="srcip" lookup="address_match_key">etc/lists/blacklist-alienvault</list>
<description>IP-Adresse in der AlienVault-Reputationsdatenbank gefunden.</description>
</rule>
</group>

Bearbeiten Sie die Datei `/var/ossec/etc/ossec.conf` auf dem Wazuh-Server und fügen Sie die `etc/lists/blacklist-alienvault`-Liste in den `<ruleset>`-Bereich ein:

<ossec_config>
<ruleset>

<decoder_dir>ruleset/decoders</decoder_dir>
<rule_dir>ruleset/rules</rule_dir>
<rule_exclude>0215-policy_rules.xml</rule_exclude>
<list>etc/lists/audit-keys</list>
<list>etc/lists/amazon/aws-eventnames</list>
<list>etc/lists/security-eventchannel</list>
<list>etc/lists/blacklist-alienvault</list>


<decoder_dir>etc/decoders</decoder_dir>
<rule_dir>etc/rules</rule_dir>
</ruleset>
</ossec_config>

Fügen Sie den Block für die Active Response in die Datei `/var/ossec/etc/ossec.conf` auf dem Wazuh-Server ein:

Für den Ubuntu-Endpunkt:

Der `firewall-drop`-Befehl integriert sich mit der lokalen iptables-Firewall von Ubuntu und blockiert eingehende Netzwerkverbindungen vom Angreifer-Endpunkt für 60 Sekunden:

<ossec_config>
<active-response>
<command>firewall-drop</command>
<location>local</location>
<rules_id>100100</rules_id>
<timeout>60</timeout>
</active-response>
</ossec_config>

Starten Sie den Wazuh-Manager neu, um die Änderungen anzuwenden:

sudo systemctl restart wazuh-manager

=== Angriffsemulation ===

Zugriff auf einen der Webserver vom RHEL-Endpunkt aus unter Verwendung der entsprechenden IP-Adresse. Ersetzen Sie `<WEBSERVER_IP>` durch den entsprechenden Wert und führen Sie den folgenden Befehl vom Angreifer-Endpunkt aus:

curl http://<WEBSERVER_IP>

Der Angreifer-Endpunkt verbindet sich beim ersten Mal mit den Webservern des Opfers. Nach der ersten Verbindung blockiert das Wazuh Active Response-Modul alle nachfolgenden Verbindungen zu den Webservern für 60 Sekunden.

=== Visualisierung der Alarme ===

Sie können die Alarmdaten im Wazuh-Dashboard visualisieren. Gehen Sie dazu zum Modul "Threat Hunting" und fügen Sie die Filter in der Suchleiste hinzu, um die Alarme abzufragen.

@@ Zeile 54: / Zeile 54: @@
 === Wazuh-Server ===
-Sie müssen die folgenden Schritte auf dem Wazuh-Server ausführen, um die IP-Adresse des RHEL-Endpunkts zu einer CDB-Liste hinzuzufügen und anschließend Regeln und Active Response zu konfigurieren.
+Sie müssen die folgenden Schritte auf dem Wazuh-Server ausführen, um die IP-Adresse des Endpunkts zu einer CDB-Liste hinzuzufügen und anschließend Regeln und Active Response zu konfigurieren.
 ==== Laden Sie die Dienstprogramme herunter und konfigurieren Sie die CDB-Liste ====
@@ Zeile 61: / Zeile 61: @@
-  sudo yum update && sudo yum install -y wget
+  sudo apt update && sudo apt install -y wget
@@ Zeile 156: / Zeile 156: @@
   sudo systemctl restart wazuh-manager
 === Angriffsemulation ===

@@ Zeile 127: / Zeile 127: @@
      <list>etc/lists/amazon/aws-eventnames</list>
      <list>etc/lists/security-eventchannel</list>
-     <list>etc/lists/blacklist-alienvault</list>
+     '''<list>etc/lists/blacklist-alienvault</list>'''
      <!-- Benutzerdefinierter Regelsatz -->

Wazuh Blocken von bösartigen Akteure (Apache) - Versionsgeschichte

Thomas.will: /* Wazuh-Server */

Thomas.will am 30. Januar 2025 um 09:44 Uhr

Maximilian.pottgiesser: Die Seite wurde neu angelegt: „== Blockieren eines bekannten bösartigen Akteurs == In diesem Anwendungsfall zeigen wir, wie man bösartige IP-Adressen vom Zugriff auf Webressourcen eines W…“