Wazuh Blocken von bösartigen Akteure (Apache)

Aus Xinux Wiki
Version vom 30. Januar 2025, 08:54 Uhr von Maximilian.pottgiesser (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „== Blockieren eines bekannten bösartigen Akteurs == In diesem Anwendungsfall zeigen wir, wie man bösartige IP-Adressen vom Zugriff auf Webressourcen eines W…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Blockieren eines bekannten bösartigen Akteurs

In diesem Anwendungsfall zeigen wir, wie man bösartige IP-Adressen vom Zugriff auf Webressourcen eines Webservers blockiert. Sie richten Apache-Webserver auf Ubuntu und Windows-Endpunkten ein und versuchen, von einem RHEL-Endpunkt darauf zuzugreifen.

Dieser Fall verwendet eine öffentliche IP-Reputationsdatenbank, die die IP-Adressen einiger bösartiger Akteure enthält. Eine IP-Reputationsdatenbank ist eine Sammlung von IP-Adressen, die als bösartig markiert wurden. Der RHEL-Endpunkt spielt hier die Rolle des bösartigen Akteurs, daher wird dessen IP-Adresse der Reputationsdatenbank hinzugefügt. Anschließend konfigurieren Sie Wazuh, um den Zugriff des RHEL-Endpunkts auf die Webressourcen der Apache-Webserver für 60 Sekunden zu blockieren. Dies soll Angreifer davon abhalten, ihre bösartigen Aktivitäten fortzusetzen.

Konfiguration

Ubuntu-Endpunkt

Führen Sie die folgenden Schritte aus, um einen Apache-Webserver zu installieren und seine Protokolle mit dem Wazuh-Agenten zu überwachen.

  1. Aktualisieren Sie die lokalen Pakete und installieren Sie den Apache-Webserver:


sudo apt update
sudo apt install apache2


Falls die Firewall aktiviert ist, passen Sie die Firewall an, um den externen Zugriff auf die Webports zu ermöglichen. Überspringen Sie diesen Schritt, wenn die Firewall deaktiviert ist: 


sudo ufw status
sudo ufw app list
sudo ufw allow 'Apache'


Überprüfen Sie den Status des Apache-Dienstes, um zu bestätigen, dass der Webserver läuft: 


sudo systemctl status apache2


Verwenden Sie den Befehl `curl` oder öffnen Sie `http://<UBUNTU_IP>` im Browser, um die Apache-Startseite anzuzeigen und die Installation zu überprüfen: 


curl http://<UBUNTU_IP>


Fügen Sie das folgende in die Datei `/var/ossec/etc/ossec.conf` ein, um den Wazuh-Agenten zu konfigurieren und die Apache-Zugriffsprotokolle zu überwachen: 


<localfile>
 <log_format>syslog</log_format>
 <location>/var/log/apache2/access.log</location>
</localfile>


Starten Sie den Wazuh-Agenten neu, um die Änderungen anzuwenden: 


sudo systemctl restart wazuh-agent

Wazuh-Server

Sie müssen die folgenden Schritte auf dem Wazuh-Server ausführen, um die IP-Adresse des RHEL-Endpunkts zu einer CDB-Liste hinzuzufügen und anschließend Regeln und Active Response zu konfigurieren.

Laden Sie die Dienstprogramme herunter und konfigurieren Sie die CDB-Liste

Installieren Sie das Dienstprogramm `wget`, um die notwendigen Artefakte über die Kommandozeile herunterzuladen: 


sudo yum update && sudo yum install -y wget


Laden Sie die Alienvault-IP-Reputationsdatenbank herunter: 


sudo wget https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/alienvault_reputation.ipset -O /var/ossec/etc/lists/alienvault_reputation.ipset


Fügen Sie die IP-Adresse des Angreifers zur IP-Reputationsdatenbank hinzu. Ersetzen Sie `<ATTACKER_IP>` durch die IP-Adresse des RHEL-Endpunkts: 


sudo echo "<ATTACKER_IP>" >> /var/ossec/etc/lists/alienvault_reputation.ipset


Laden Sie ein Skript herunter, um von .ipset-Format auf .cdb-Listenformat zu konvertieren: 


sudo wget https://wazuh.com/resources/iplist-to-cdblist.py -O /tmp/iplist-to-cdblist.py


Konvertieren Sie die Datei `alienvault_reputation.ipset` in das .cdb-Format mit dem zuvor heruntergeladenen Skript: 


sudo /var/ossec/framework/python/bin/python3 /tmp/iplist-to-cdblist.py /var/ossec/etc/lists/alienvault_reputation.ipset /var/ossec/etc/lists/blacklist-alienvault


Optional: Entfernen Sie die Dateien `alienvault_reputation.ipset` und `iplist-to-cdblist.py`, da diese nicht mehr benötigt werden: 


sudo rm -rf /var/ossec/etc/lists/alienvault_reputation.ipset
sudo rm -rf /tmp/iplist-to-cdblist.py


Weisen Sie dem generierten File die richtigen Berechtigungen und Eigentümerschaft zu: 


sudo chown wazuh:wazuh /var/ossec/etc/lists/blacklist-alienvault


Konfigurieren Sie das Active Response-Modul zum Blockieren der bösartigen IP-Adresse

Fügen Sie eine benutzerdefinierte Regel hinzu, um ein Wazuh Active Response-Skript auszulösen. Dies erfolgt in der Datei `/var/ossec/etc/rules/local_rules.xml` auf dem Wazuh-Server: 


<group name="attack,">
 <rule id="100100" level="10">
   <if_group>web|attack|attacks</if_group>
   <list field="srcip" lookup="address_match_key">etc/lists/blacklist-alienvault</list>
   <description>IP-Adresse in der AlienVault-Reputationsdatenbank gefunden.</description>
 </rule>
</group>


Bearbeiten Sie die Datei `/var/ossec/etc/ossec.conf` auf dem Wazuh-Server und fügen Sie die `etc/lists/blacklist-alienvault`-Liste in den `<ruleset>`-Bereich ein: 


<ossec_config>
 <ruleset>
   <decoder_dir>ruleset/decoders</decoder_dir>
   <rule_dir>ruleset/rules</rule_dir>
   <rule_exclude>0215-policy_rules.xml</rule_exclude>
   <list>etc/lists/audit-keys</list>
   <list>etc/lists/amazon/aws-eventnames</list>
   <list>etc/lists/security-eventchannel</list>
   <list>etc/lists/blacklist-alienvault</list>

   <decoder_dir>etc/decoders</decoder_dir>
   <rule_dir>etc/rules</rule_dir>
 </ruleset>
</ossec_config>


Fügen Sie den Block für die Active Response in die Datei `/var/ossec/etc/ossec.conf` auf dem Wazuh-Server ein:

Für den Ubuntu-Endpunkt:

Der `firewall-drop`-Befehl integriert sich mit der lokalen iptables-Firewall von Ubuntu und blockiert eingehende Netzwerkverbindungen vom Angreifer-Endpunkt für 60 Sekunden: 


<ossec_config>
 <active-response>
   <command>firewall-drop</command>
   <location>local</location>
   <rules_id>100100</rules_id>
   <timeout>60</timeout>
 </active-response>
</ossec_config>


Starten Sie den Wazuh-Manager neu, um die Änderungen anzuwenden: 

sudo systemctl restart wazuh-manager


Angriffsemulation

Zugriff auf einen der Webserver vom RHEL-Endpunkt aus unter Verwendung der entsprechenden IP-Adresse. Ersetzen Sie `<WEBSERVER_IP>` durch den entsprechenden Wert und führen Sie den folgenden Befehl vom Angreifer-Endpunkt aus: 


curl http://<WEBSERVER_IP>


Der Angreifer-Endpunkt verbindet sich beim ersten Mal mit den Webservern des Opfers. Nach der ersten Verbindung blockiert das Wazuh Active Response-Modul alle nachfolgenden Verbindungen zu den Webservern für 60 Sekunden.

Visualisierung der Alarme

Sie können die Alarmdaten im Wazuh-Dashboard visualisieren. Gehen Sie dazu zum Modul "Threat Hunting" und fügen Sie die Filter in der Suchleiste hinzu, um die Alarme abzufragen.

Abgerufen von „http://wiki.ixheim.de/index.php?title=Wazuh_Blocken_von_bösartigen_Akteure_(Apache)&oldid=58758