PRUEBAS DE CONCEPTO WAZUH MANAGER
POC 1: BLOQUEO DE DIRECCIÓN IP MALICIOSA CONOCIDA.
Se configurará servidor web Apache en Ubuntu y se intenta acceder a ellos desde un terminal Debian que simulara a un atacante con una IP con baja reputación en listas de IP maliciosas.
| TERMINAL |
DESCRIPCIÓN |
| Debian | Terminal del atacante que se conecta al servidor web de la víctima en el que usa la capacidad de la lista CDB de Wazuh para marcar su dirección IP como maliciosa. |
| Ubuntu | Terminal de la víctima que ejecuta un servidor web Apache 2.4.54. Se utiliza el módulo de respuesta activa de Wazuh para bloquear automáticamente las conexiones desde el terminal del atacante. |
Configuración.
En Wazuh Manager.
Se debe agregar la dirección IP del extremo de Debian a una lista negra de usuarios peligrosos para la red y luego configurar las reglas y la respuesta activa.
En la guía de procedimientos de prueba de Wazuh manager se encuentran pasos de instalación del comando:
sudo apt update && sudo apt install -y wget
Descargue la base de datos de reputación de IP de Alienvault:
sudo wget https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/alienvault_reputation.ipset -O /var/ossec/etc/lists/alienvault_reputation.ipset
Agregamos la dirección IP del extremo del atacante (Debian) a la base de datos de reputación de IP. La dirección IP de Debian en el ejemplo es (192.168.24.84).
sudo echo 192.168.24.84 >> /var/ossec/etc/lists/alienvault_reputation.ipset
Descargamos el siguiente script para convertir del formato “.ipset” (formato utilizado para crear conjuntos de direcciones IP que se pueden usar como tablas para comparación) al formato “.cdb” (formato de lista que utiliza wazuh enlistar las direcciones maliciosas para su posterior bloqueo).
sudo wget https://wazuh.com/resources/iplist-to-cdblist.py -O /tmp/iplist-to-cdblist.py
Convertimos el archivo “alienvault_reputation.ipset” a un formato “.cdb” usando el script descargado previamente:
sudo /var/ossec/framework/python/bin/python3 /tmp/iplist-to-cdblist.py /var/ossec/etc/lists/alienvault_reputation.ipset /var/ossec/etc/lists/blacklist-alienvault
Eliminamos “alienvault_reputation.ipset” y el script “iplist-to-cdblist.py”, para que no sean usados erronea o de forma maliciosa.
sudo rm -rf /var/ossec/etc/lists/alienvault_reputation.ipsetsudo rm -rf /tmp/iplist-to-cdblist.py
Asignamos los permisos y la propiedad correctos al archivo generado:
sudo chown wazuh:wazuh /var/ossec/etc/lists/blacklist-alienvault
La siguiente regla personalizada se utiliza para para activar una secuencia de comandos de respuesta activa de Wazuh cuando se detecte un evento en el cual se haya reconocido una dirección IP maliciosa realizando intercambio de información con puntos finales monitoreados por Wazuh manager, para esto ingresamos al archivo de reglas personalizadas de Wazuh.
sudo nano /var/ossec/etc/rules/local_rules.xml
En el archivo de conjunto de reglas personalizado del servidor Wazuh:
<group name="attack,">
<rule id="100100" level="11">
<if_group>web|attack|attacks</if_group>
<list field="srcip" lookup="address_match_key">etc/lists/blacklist-alienvault</list>
<description>IP address found in AlienVault reputation database.</description>
</rule>
</group>
Editamos el archivo de configuración del servidor Wazuh.sudo nano /var/ossec/etc/ossec.conf
Para que se pueda comparar con la lista de direcciones de alienvault agregamos la lista creada “etc/lists/blacklist-alienvault” a la sección “<ruleset>”.<ossec_config>
<ruleset>
<!-- Default ruleset -->
<decoder_dir>ruleset/decoders</decoder_dir>
<rule_dir>ruleset/rules</rule_dir>
<rule_exclude>0215-policy_rules.xml</rule_exclude>
<list>etc/lists/audit-keys</list>
<list>etc/lists/amazon/aws-eventnames</list>
<list>etc/lists/security-eventchannel</list>
<list>etc/lists/blacklist-alienvault</list>
<!-- User-defined ruleset -->
<decoder_dir>etc/decoders</decoder_dir>
<rule_dir>etc/rules</rule_dir>
</ruleset>
</ossec_config>
Agrega una respuesta activa al wazuh manager (con permisos de root):sudo nano /var/ossec/etc/ossec.conf
Se debe quitar el símbolo de comentario al apartado <active-response> y escribir de acuerdo al ID de la regla creada en este caso 100100. <active-response>
<command>firewall-drop</command>
<location>local</location>
<rules_id>100100</rules_id>
</active-response>
En la víctima terminal Ubuntu.
Se instala un servidor web con Apache para las pruebas, este tendrá un agente que constantemente está realizando el monitoreo de los registros de acceso del servidor Apache.
Configuramos el agente de Wazuh:
sudo nano /var/ossec/etc/ossec.conf<localfile>
<log_format>syslog</log_format>
<location>/var/log/apache2/access.log</location>
</localfile>