WIKI sur Linux (ADB)

« LINUX:Wazuh-Décodeurs et Règles » : différence entre les versions

← Modification précédenteModification suivante →
Aucun résumé des modifications
Aucun résumé des modifications
Ligne 217 : Ligne 217 :


=2<sup>ème</sup> cas=
=2<sup>ème</sup> cas=
Une attaque de premier niveau consiste à repérer les ports réseaux ouverts sur un serveur; pour y parvenir, on utilise un programme particulier, le "Port Scanner". Au niveau du firewall, il est facile de les repérer; on ajoute alors une entrée dans le journal d'IPTABLES; dans mon cas, ce fichier se nomme "/var/log/iptables". On va donc sur base de ce message bloquer cette personne.
Une attaque de premier niveau consiste à repérer les ports réseaux ouverts sur un serveur; pour y parvenir, on utilise un programme particulier, un "Port Scanner". Au niveau du firewall, il est facile d'ajouter une règle ayant une action "-j LOG" pour les repérer; il ajoute alors une entrée dans le journal d'IPTABLES; dans mon cas, ce fichier se nomme "/var/log/iptables". On va donc sur base de ce message bloquer cette personne.




Ligne 259 : Ligne 259 :
         mail: 'False'
         mail: 'False'
----
----
On constate que l'adresse IP source est bien détectée ("srcip"). C'est une règle ("4100") de type firewall qui s'active mais son niveau est "0" sans provoquer d'alarme. Le message spécifique du journal d'IPTABLES est bien repéré ("action").
On constate que l'adresse IP de la source est bien détectée ("srcip"). C'est une règle ("4100") de type firewall qui s'active mais son niveau est "0" sans provoquer d'alarme. Le message spécifique du journal d'IPTABLES est bien repéré sous le champs "action".




Ligne 277 : Ligne 277 :


==Règle personnelle==
==Règle personnelle==
On va donc créer un fichier qui va contenir nos règles personnelles liées au firewall. On le nommera "/var/ossec/etc/rules/perso-fw_rules.xml". Ici c'est le champs "action" qui va nous servir à concevoir notre règle. Cette règle fera suite à la détection préalable faite par la règle "4100".
On va donc créer un fichier qui va contenir nos règles personnelles liées au firewall. On le nommera "/var/ossec/etc/rules/perso-fw_rules.xml". Ici c'est le champs "action" qui va nous servir à activer notre règle. Cette règle fera suite à la détection préalable faite par la règle "4100". Le niveau d'alarme est "7".


Voici cette règle:
Voici cette règle:
Ligne 292 : Ligne 292 :


==Validation==
==Validation==
Il passe à l'étape évaluation. On lance la commande:
On passe à l'étape évaluation. On lance la commande:
  /var/ossec/bin/wazuh-logtest
  /var/ossec/bin/wazuh-logtest
Résultat:  
Résultat:  
Récupérée de "https://www.adbweb.gslb.eu/wiki/index.php?title=LINUX:Wazuh-Décodeurs_et_Règles"