« LINUX:Wazuh: HIDS » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
Ligne 23 : | Ligne 23 : | ||
[[FILE:LINUX: | [[FILE:LINUX:Wazuh.1.ppdf|800px|center]] | ||
Ligne 31 : | Ligne 31 : | ||
[[FILE:LINUX: | [[FILE:LINUX:Wazuh.2.pdf|800px|center]] | ||
Version du 29 avril 2022 à 21:53
→ retour au menu pour contrer les attaques
But
Wazuh est un HIDS. Un HIDS (Host Intrusion Detection Systems) est une application qui analyse ce qui se passe sur une machine et sur ses interfaces réseaux. Quand elle repère une activité anormale, elle active une action. Autrement dit elle tache de repérer ceux qui effectuent une activité malveillante à son encontre.
Au contraire les NIDS (Network Intrusion Detection Systems) analysent le trafic réseau qui veut traverser une machine et de repérer les activités anormales pour les contrecarrer. Il sera donc placé sur un noeud du réseau (router, bridge,...).
Notons que l'attaque peut aussi arriver de l'intérieur.
Wazuh est basé à l'origine sur le logiciel OSSEC. Il corrige beaucoup de fonctionnalités et va plus loin.
La documentation se trouve à l'URL suivante (version 4): https://documentation.wazuh.com/4.0/user-manual/overview.html
Schéma fonctionnel
Dans sa configuration de base, Wazuh est constitué de deux composants: le serveur (Wazuh-manager) et de l'agent (Wazuh-agent). L'ensemble du logiciel Wazuh a des extensions permettant une visualisation des résultats et des conseils. Nous n'aborderons par ce second aspect.
- Wazuh-manager le serveur: Le serveur est l'élément central qui rassemble tous les éléments, les analyse et entame des actions éventuelles. On choisit une machine (A) sur laquelle on installe le serveur; mais en même temps un client local sera installé. Cet agent local portera le n° "000"; les échanges avec le serveur se feront via un socket Unix. La partie serveur n'existe que pour Linux.
- Wazuh-agent le client: Sur la machine du serveur (A), on a déjà un agent local. Cette première machine est surveillée. A côté, il faut aussi surveiller d'autres machines. Sur celles-ci, on installe l'agent distant. Les échanges avec le serveur se font via le port TCP 1514 par défaut. Dans le schéma ci-dessous, la pointe de la flèche désigne le serveur au sens service réseau.
A côté un autre service est présent via le port TCP 1515. Ce service est utile lors de la première connexion de l'agent distant au serveur; il récupère auprès du serveur une clé unique qui servira par la suite aux échanges sécurisés entre des deux. Dès ce premier échange fait, il ne sert plus. Par défaut, le n° s'incrémente au fur et à mesure pour chaque agent ("001", "002",...). Le groupe par défaut est "default". La partie agent existe pour divers Unix, Linux et MacOS compris, et Windows.
L'agent est chargé de rassembler les informations locales: journaux, analyse des fichiers, repérage de fonctions malfaisantes (Trojans, Rootkits,...), de problèmes de configurations,... Il envoie ces informations au serveur.
Le serveur décode, analyse ces éléments en suivant un ensemble de règles. En fonction des résultats, des actions sont effectuées: la journalisation, l'envoi de mails et enfin l'exécution d'une action spécifique sur l'agent émetteur (ou autres). Tous ces échanges se font via le port TCP 1514 par défaut entre le serveur et les agents distants.
Recommandation: Le serveur doit être une machine à part, protégée et non celle qui subira de plein fouet les attaques. Car si l'agent est compromis, il aura normalement eu le temps d'envoyer quelques informations au serveur qui aura eu tout le temps de traiter.
Remarque: Nous n'abordons pas la récupération de journaux via le port 514 (UDP ou TCP) suivant la fonctionnalité "Syslog". De même un port TCP 55000 est activé sur le serveur pour l'utilisation des APIs. Il est utile si on ajoute les paquets "elasticsearch", "filebeat", "opendistroforelasticsearch-kibana" qui ajoutent des interfaces Web d'analyses des résultats. Cette facette ne sera également pas abordée. Notons que ce dernier point demande pas mal de ressources.
Installation
Dépôt
Avant l'installation, il faut pouvoir accéder au dépôt. On procède par la création d'un fichier "wazuh.repo" dans le répertoire "/etc/yum.repos.d". Ce fichier est à créer sur le serveur et sur chaque agent distant.
Voici son contenu:
[wazuh] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=EL-$releasever - Wazuh baseurl=https://packages.wazuh.com/4.x/yum/ protect=1
Il est préférable ensuite de procéder à un nettoyage:
dnf clean all
Installation sur le serveur
On installe le paquet suivant sur le serveur:
dnf install wazuh-manager
Installation sur chaque agent distant
On installe le paquet suivant sur l'agent:
dnf install wazuh-agent
Configurer le mur de feu ou FireWall
Comme des échanges se font via le réseau entre le serveur et les agents, il faut ajouter deux règles au FireWall.
- Voici ces règles pour IPTABLES à mettre sur le serveur:
-A INPUT -p tcp -m tcp --dport 1514 -s 192.168.1.0/24 -j ACCEPT -A INPUT -p tcp -m tcp --dport 1515 -s 192.168.1.0/24 -j ACCEPT
Ici on ouvre l'accès à tous le LAN local. On peux être plus restrictif:
- En activant la seconde règle que quand on veut ajouter une nouvelle machine agent.
- En nommant explicitement les adresses IP des agents plutôt que de l'ouvrir à tout le réseau local.
- Voici ces règles pour IPTABLES à mettre sur les agents en supposant que l'adresse IP du serveur est 192.168.1.110:
-A OUTPUT -p tcp -m tcp --dport 1514 -d 192.168.1.110 -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 1515 -d 192.168.1.110 -j ACCEPT
On peut faire la même remarque pour la seconde règle que pour le serveur. Dès que l'agent est reconnu par le serveur, elle peut être éliminée.
Configuration
Configuration du serveur (manager et agent local)
Cette partie concerne la machine dénommée "A".
Le logiciel est installé dans le répertoire "/var/ossec". Le fichier de configuration se trouve dans le sous-répertoire "/var/ossec/etc" et se nomme "ossec.conf". Cette configuration regroupe les options pour la partie Manager et celle concernant l'agent local.
Nous allons modifier quelques sections.
Manager
Le manager nécessite quelques aménagements.
En premier lieu, on modifie le fichier "/var/ossec/etc/ossec.conf".
La première étape est d'être averti par mail si une alerte de déclenche. On définit les paramètres de messagerie. On utilise le serveur de messagerie Postfix local ("smtp_server") et on envoie le message à l'utilisateur "root" local ("email_to"). On nomme l'adresse mail de l'émetteur selon les contraintes du serveur de messagerie ("email_from").
<global> <email_notification>yes</email_notification> <smtp_server>localhost</smtp_server> <email_from>'ossecm@home.dom'</email_from> <email_to>'root@home.dom</email_to> </global>
Ensuite on définit le niveau à partir duquel l'alerte est envoyée dans les journaux ("log_alert_level") et par mail ("email_alert_level"). Chaque alerte possède un niveau qui va de 0 à 16. Le n° 0 signifie l’absence d'alerte. Ces niveaux sont à adapter progressivement en fonction des besoins. Au début, il faut observer ce qui se passe. On adapte les niveaux en fonction.
<alerts> <log_alert_level>4</log_alert_level> <email_alert_level>5</email_alert_level> </alerts>
Dans mon cas, j'ai modifié quelques autres options. Pour une question de clarté, je ne reprend que l'option concernée située dans ses blocs parents. On active la surveillance liée à la distribution "RedHat" comme nous utilisons "Fedora".
<vulnerability-detector> <enabled>yes</enabled> <provider name="redhat"> <enabled>yes</enabled> </provider> </vulnerability-detector>
On élimine le bloc concernant l'option "cluster".
<cluster> </cluster>
Un autre fichier de configuration est central: "/var/ossec/etc/internal_options.conf". Ce fichier comporte des paramètres importants liés au fonctionnement de Wazuh. Ces options sont à manipuler avec précautions. On ne le change pas. Tout paramètre que l'on veut modifier, est à faire dans le fichier local "/var/ossec/etc/local_internal_options.conf". S'il n'existe pas, on le crée.
Nous avons modifié un de ces paramètres afin que le sujet de l'email soit plus explicite. Ceci me facilite la vie en me permettant de classer automatiquement certains mail d'alerte.
maild.full_subject=1
Agent local
Les agents ont leur lot de modifications. On effectue des modifications dans le fichier "/var/ossec/etc/ossec.conf". Ces modifications se retrouveront aussi dans les machines hébergeant l'agent distant (machines "B" et suivantes).
On définit les fichiers journaux que vous voulez surveiller.
<localfile> <log_format>apache</log_format> <location>/var/log/httpd/error_log</location> <age>1d</age> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/httpd/access_log</location> <age>1d</age> </localfile> <localfile> <log_format>audit</log_format> <location>/var/log/audit/audit.log</location> <age>1d</age> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/messages</location> <age>1d</age> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/secure</location> <age>1d</age> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/maillog</location> <age>1d</age> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/dnf.rpm.log</location> <age>1d</age> </localfile>
Dans mon cas, le fireWall a son journal particulier ("/var/log/iptables"); nous l'ajoutons.
<localfile> <log_format>syslog</log_format> <location>/var/log/iptables</location> </localfile>
S'il y en a d'autres, on les ajoute.
Le bloc suivant est nécessaire si vous activez la réaction à une tentative d'intrusion; nous verrons cet aspect par la suite.
<localfile> <log_format>json</log_format> <location>/var/ossec/logs/active-responses.log</location> </localfile>
Dans mon cas, j'ai modifié une autre option. Pour une question de clarté, je ne reprend que l'option concernée située dans ses blocs parents.
L'analyse des paquets logiciels est désactivé.
<wodle name="syscollector"> <packages>no</packages> </wodle>
On garde la définition de cette commande.
<command> <name>restart-wazuh</name> <executable>restart-wazuh</executable> </command>
Ainsi que celle que nous utiliserons par la suite dans le cadre de la réaction à une tentative d'intrusion.
<command> <name>firewall-drop</name> <executable>firewall-drop</executable> <timeout_allowed>yes</timeout_allowed> </command>
Les autres "command" peuvent être éliminées.
Une section mérite votre attention. Le serveur vérifie les modifications apportées à un certains nombre de fichiers et spécialement le répertoire "/etc" qui contient toutes les configurations. J'ai installé "WebMin" et certains fichiers se modifient continuellement; nous allons donc les ignorer.
<syscheck> <ignore>/etc/webmin/system-status/info</ignore> <ignore>/etc/webmin/system-status/history</ignore> </syscheck>
Configuration de l'agent
Comme sur le serveur, le logiciel est installé dans le répertoire "/var/ossec". Le fichier de configuration se trouve dans le sous-répertoire "/var/ossec/etc" et se nomme "ossec.conf".
Wazuh possède la capacité de centralisation de la majeure partie de la configuration des agents. Cette partie sera placée sur le serveur "Manager" et le "Manager" enverra une copie de cette configuration à chaque Agent. Après réception, l'agent redémarre pour intégrer cette configuration partagée grâce à la commande gardée plus haut ("restart-wazuh").
Agent distant
Cette partie concerne les machines dénommées "B" et suivantes potentielles.
Sa configuration se trouve dans le fichier "/var/ossec/etc/ossec.conf". Nous ne gardons que la section "client"). Elle est fondamentale car on y définit l'adresse IP du serveur partie "Manager". Le reste est à mettre de côté pour un usage ultérieur.
<ossec_config> <client> <server> <address>192.168.1.110</address> <port>1514</port> <protocol>tcp</protocol> </server> <config-profile>fedora, fedora34</config-profile> <notify_time>10</notify_time> <time-reconnect>60</time-reconnect> <auto_restart>yes</auto_restart> <crypto_method>aes</crypto_method> </client> </ossec_config>
Au passage, remarquons que l'installation a reconnu le nom de notre distribution.
Maintenant passons à la partie partagée. L'installation ne comprend pas cette configuration; il faut donc la créer. Cette configuration sera à faire sur la machine "A".
On se base sur la partie du fichier de configuration d'origine de l'agent distant que nous avons mis de côté plus haut. Elle est à placer dans un fichier nommé "agent.conf". Elle doit être incluse entre les balises suivantes:
<agent_config> </agent_config>
en remplacement des balises:
<ossec_config> </ossec_config>
On y applique les modifications effectuées pour l'agent local vues plus haut.
Ce fichier est à placer sur le serveur. Il est possible de définir des groupes d'agents ayant chacun une configuration appropriée. Un groupe est défini par défaut et se nomme "default". Tout nouvel agent y est intégré d'office; il est possible de créer d'autres groupes et ensuite de migrer un agent d'un groupe à l'autre. Nous n'utiliserons ici que ce groupe "default". Les fichiers de configuration des agents de ce groupe se retrouvent dans le répertoire "/var/ossec/etc/shared/default". On remarque que le nom de ce répertoire est le même que celui du groupe. On y ajoute le fichier "agent.conf" créé ci-dessus.
Dès que l'agent se connecte au serveur, le contenu de ce répertoire sera recopié sur la machine agent dans le répertoire "/var/ossec/etc/shared". L'agent intègre automatiquement cette configuration. Toute modification ultérieure sur le serveur de ce fichier "agent.conf" est automatiquement répercutée et activée sur les agents de ce groupe.
Si on crée un autre groupe, on recopie ces fichiers dans un répertoire parallèle portant le nom de ce groupe. On personnalise en conséquence le fichier "agent.conf".
Remarque
On ne touche pas au reste. Sur le site Web de Wazuh, la documentation vous aidera pour aller plus loin. De nombreuses sections peuvent être éliminées, activées ou désactivées en fonction de vos préférences.
Activation des réactions à une tentative d'intrusion
Le but d'un HIDS est de détecter des actions malveillante. En fonction du type d'attaque, il est primordial de réagir pour la contrer. Le type d'action présentée consiste à ajouter une règle dans le firewall qui exclu l'accès à cet personne via son adresse IP et ceci pendant un certain temps. Nous utilisons IPTABLES comme firewall.
Le mode d'action est le suivant. Le Manager analyse les informations récupérées de l'Agent. Pour les cas positifs, il émet une action à destination de l'Agent. Cet agent exécute cette action. Il y a donc une configuration à effectuer au niveau du Manager et une au niveau de l'Agent distant.
Configuration du serveur (Manager)
Sur le serveur (Manager) (machine "A"), il faut activer une section dans le fichier "/var/ossec/etc/ossec.conf".
<active-response> <disabled>no</disabled> <command>firewall-drop</command> <location>local</location> <timeout>86400</timeout> <rules_id>31103, 31104, 31105, 31106, 31109, 31110, 31151, 31152, 31153, 31154, 31161, 31162, 31163, 31164, 31165, 31166, 31167, 31168, 31169, 31508, 31509, 31510, 31514, 31515, 31516, 31550</rules_id> </active-response>
Explication des options:
- la commande "firewall-drop" définie précédemment sera activée sur l'agent; elle ajoutera une règle d'exclusion (DROP) dans le firewall IPTABLES.
- Elle s'exécutera sur la machine ayant subit l'attaque ("local"). Il existe d'autres destinations possibles.
- Cette action sera annulée après un certain temps (86400 secondes ou une journée).
- On liste ensuite les règles qui demandent une action ("rules_id").
Ces attaques sont repérées en analysant les journaux sur base de règles. Au final, une règle est activée; chacune possède un niveau d'alerte: le niveau "0" étant le plus bas et signifiant qu'il n'y a pas de problème. Chaque règle est identifiée par un n° unique. On liste donc toutes les règles qui doivent enclencher une action. Les différents n° sont séparés par une virgule et remarque importante, cette option doit être seule et reprise sur une seule ligne!!! J'ai essayé pour une question de lisibilité de la répartir sur plusieurs lignes; toute action devient alors inopérante.
On retrouve la définition de toutes ces règles dans les fichiers se trouvant dans le répertoire "/var/ossec/ruleset/rules" sur le serveur. Elles sont regroupées par applications. Repérez les applications sensibles dans votre cas et dans le fichier concerné, le descriptif ("description") dont le niveau d'alerte ("level") est supérieur ou égal à 7 vous aidera dans notre choix. Amendez aussi la liste en fonction des alertes reçues par mail. La liste données est indicative. Il est également possible d'ajouter nos propres règles dans le répertoire "/var/ossec/etc/rules".
L'option "white_list" permet de définir les machines qui ne seront pas exclues. Ceci permet de ne pas se bloquer soi-même. Dans l'exemple, nous avons mis sur liste blanche notre serveur et la machine agent. On suppose alors que l'agent ne sera pas compromis; ce qui est discutable.
<global> <white_list>127.0.0.1</white_list> <white_list>^localhost.localdomain$</white_list> <white_list>192.168.1.110</white_list> <white_list>192.168.1.100</white_list> </global>
Lors de vos tests, vous risquez de vous bloquer vous-même. Ayez une voie alternative pour pouvoir vous débloquer.
Configuration de l'agent distant
Le fichier de configuration "/var/ossec/etc/internal_options.conf" déjà évoqué sur le serveur, existe aussi sur l'agent distant (machines "B" et suivantes). Il y a une option à activer pour permettre l'exécution les parades demandées par le Manager. Ce paramètre est à ajouter dans le fichier local "/var/ossec/etc/local_internal_options.conf". S'il n'existe pas, on le crée.
logcollector.remote_commands=1
Le journal "/var/ossec/logs/active-responses.log"
Les actions arrivent sur l'agent local ou distant en fonction du destinataire. Elles sont reprises dans le fichier "/var/ossec/logs/active-responses.log" au format JSON.
ATTENTION: Ce fichier doit exister. S'il ne l'est pas, créez-le. Il doit appartenir et accessible à l'utilisateur "ossec".
chmod 660 /var/ossec/logs/active-responses.log chown ossec:ossec /var/ossec/logs/active-responses.log
Rotation du journal "/var/ossec/logs/active-responses.log"
Les journaux de Wazuh subissent automatiquement une rotation; c'est à dire que tous les jours, chaque journal est renommé sur base de la date du jour et archivé sauf le journal "/var/ossec/logs/active-responses.log". Il va donc grandir indéfiniment.
On peut profiter dur service "logrotate" normalement installé pour effectuer cette tâche sur ce journal. Il suffit de créer un fichier que l'on nommera "wazuh" dans le répertoire "/etc/logrotate.d".
Voici son contenu sur le serveur (machine "A"):
/var/ossec/logs/active-responses.log { weekly missingok rotate 2 su ossec ossec create 0660 ossec ossec postrotate /usr/bin/systemctl restart wazuh-manager.service > /dev/null 2>&1 || true endscript }
Et voici celui sur l'agent (machines "B" et suivantes):
/var/ossec/logs/active-responses.log { weekly missingok rotate 2 su ossec ossec create 0660 ossec ossec postrotate /usr/bin/systemctl restart wazuh-agent.service > /dev/null 2>&1 || true endscript }
Dans cette configuration, la rotation se fait une fois par semaine et deux archives sont gardées. Ce processus est effectué par l'utilisateur "ossec". Les droits sur ce nouveau fichier vide est conforme à ce qui est demandé plus haut. Enfin il faut relancer le service wazuh correspondant pour qu'il identifie correctement le nouveau fichier journal créé.
Activer et lancer les services
Le service du serveur
Le service à lancer est Wazuh-manager. La première commande active le service pour qu'à chaque démarrage du serveur, le service se lance. La seconde lance directement le service. La troisième relance le service.
systemctl enable wazuh-manager systemctl start wazuh-manager systemctl restart wazuh-manager
Le service de l'agent
Le service à lancer est Wazuh-agent. La première commande active le service pour qu'à chaque démarrage du serveur, le service se lance. La seconde lance directement le service. La troisième relance le service.
systemctl enable wazuh-agent systemctl start wazuh-agent systemctl restart wazuh-agent
Dès que l'agent sera lancé, il essaye de se connecter au serveur et si c'est la première fois, il y a échange de clés entre eux via le port TCP 1515 afin que l'agent soit reconnu par la suite.
Journaux
Sur le serveur et sur les agents distants, il faut consulter les journaux de ces services. Ce journal se nomme "/var/ossec/logs/ossec.log". Repérez tout message d'erreur et tachez d'y remédier.
Si c'est possible, essayez de provoquer une alerte. Sinon attendez le lendemain; si vous êtes présent sur Internet, des actions malveillantes sont très fréquentes. Vous recevrez un mail et cette alerte sera enregistrée dans le fichier "/var/ossec/logs/alerts/alerts.log" du serveur selon les niveaux limites définis dans le fichier de configuration du serveur.
Quelques utilitaires
Ces utilitaires se trouvent dans le répertoire "/var/ossec/bin". Ceux-ci sont à exécuter sur le serveur. Elles permettront aussi de valider la reconnaissance de l'agent distant.
- wazuh-logtest : Vérifier la réaction aux règles
- agent_control -lc : Lister des agents
- agent_control -i 000 : Lister le détail de l'agent local "000"
- agent_control -i 001 : Lister le détail de l'agent distant "001"
- agent_groups -l : Lister des groupes
- agent_groups -l -g default : Lister des agents distants du groupe "default"
- agent_groups -s -i 001 : Lister le nom du groupe de l'agent distant "001"
Analyse: décodeurs et règles
Le serveur manager de Wazuh récolte les journaux auprès des agents. Ces journaux sont ensuite analysés. Une première phase consiste à décoder le journal pour y repérer des informations utiles. Sur cette base, un ensemble de règles analysent cette information prédigérée pour au final émettre un alarme graduée de 0 à 16, le niveau 0 étant l’absence d'alarme.
Statistiques
Au fur et à mesure, les attaques se diversifient et s'accumulent. A partir des adresses IP, on peut connaitre le pays d'origine et de là établir des statistiques.
→ retour au menu pour contrer les attaques