Tutorial OSSEC: Bloqueando o atacante com a resposta ativa
HTML-код
- Опубликовано: 3 окт 2024
- Objetivo principal:
Avaliar o funcionamento do "Active response" do OSSEC.
Objetivos secundários:
Introdução ao OSSEC;
Instalação do OSSEC;
Configuração default do OSSEC.
O vídeo apresenta uma instalação do OSSEC HIDS no Linux CentOS. Concluída a instalação, habilitamos as principais funcionalidades default presentes na ferramenta.
Nosso objetivo principal é testar a resposta ativa: ao detectar um ataque com criticidade alta, o OSSEC bloqueia os pacotes do atacante.
O ataque escolhido foi o de brute-force na porta 22/tcp (SSH). É um ataque bastante popular e efetivo que acontece com frequência em qualquer servidor com a porta padrão do SSH exposta na internet.
Para realizar o ataque utilizamos o xhydra (versão gráfica GTK do Hydra).
Keep droping!
Parabéns pelo vídeo. Simples, objetivo e sem enrolação. Espero que continue fazendo mais vídeos tutoriais.
+André Alencar Obrigado! Em breve novos vídeos.
Parabéns pelo vídeo. Muito bom.
+Mario Mayerle Filho (m2f0) Obrigado!
Se a regra de um drop em um ip conhecido, como desbloqueia?
excelente vede-o aula parabéns , tenho uma duvidas poderia me ajudar, como configura e-mail para envio de alerta , sem ser muito chato e nem folgado kkk
poderia fazer uma aula sobre essa configuração de e-mail.
marciano brito Mó forgado, hein? kkkkkk Segue: blog.iz.inf.br/2015/03/configuracao-de-postfix-relay-atraves.html
Ótimo vídeo e bem didático.
Fiquei com uma dúvida: no cenário em questão, você configura a resposta ativa no próprio servidor. Caso o ataque fosse direcionado a algum cliente, que estivesse rodando o agente, o servidor envia o comando para ele afim de bloquear o atacante? Ou essa feature só funciona no servidor mesmo?
Um abraço!
Obrigado +Tiago Leal Essa feature funciona em qualquer cliente rodando o agente do OSSEC. O que o agente faz é notificar o servidor. Por sua vez o servidor dispara uma notificação para o administrador do sistema.