Fonctionnement du firewall proactif
Nous avons installé sur l'ensemble de nos serveurs un firewall proactif : OSSEC.
Fonctions
La fonction principale de ce firewall et de bloquer les intrusions sur le serveur, mais aussi d'assurer l'intégrité des programmes fonctionnant sur le serveur en essayant de détecter tout "rootkit".
Pour bloquer les intrusions, il scanne en permanence l'ensemble des logs du serveurs et grâce à ses règles ("rules") de scan, il bloque toute intrusion en s'appuyant sur iptables.
Le blocage est effectué en bloquant l'IP à l'origine de l'attaque pendant une durée de 20 mn. Ceci permet à des utilisateurs ayant malencontreusement perdu leur mot de passe de ne pas rester bloqué.
Ossec avertit également notre support qui peut intervenir plus efficacement.
Ossec est installé sur le serveur dans le répertoire /var/ossec
LOGS
Vous pouvez consulter les logs de fonctionnement suivants:
Configuration
- /var/ossec/logs/ossec.log (fonctionnement de Ossec)
- /var/ossec/logs/active-responses.log (les actions de blocages effectuées)
- /var/ossec/logs/alerts/alerts.log (les alertes générées par OSSEC)
Le fichier de configuration d'OSSEC est :
/var/ossec/etc/ossec.conf
Nous vous invitons à ne changer la configuration ou les règles de fonctionnement que si vous avez une parfaite connaissance de cet outil. La sécurité de votre serveur en dépend.
Problèmes courants
Vous êtes bloqué par Ossec
En effectuant des modifications sur votre site ou votre serveur, vous vous trouvez bloqué par Ossec suite à des erreurs 404 sur vos pages ou toute autre erreur entrainant un blocage.
Dans ce cas, soit vous attendez 20 mn pour que votre serveur vous laisse à nouveau vous reconnecter , soit vous rebooté votre serveur à partir de l'interface client. Vous pouvez, pendant le temps de vos modifications arréter Ossec en ligne de commande:
service ossec stop
Bien que nous ne conseillons pas cette methode, n'oubliez pas de redémarrer le service ensuite:
service ossec start
Si vous disposez d'une IP fixe, vous pouvez vous "whitelister" en modifiant le fichier de configuration /var/ossec/etc/ossec.conf en ajoutant la ligne suivante dans la partie <global> :
<white_list>xxx.xxx.xxx.xxx</white_list>
xxx.xxx.xxx.xxx est bien sur à remplacer par votre propre ip.
redémarrez le service ensuite en ligne de commande :
service ossec restart
Si vous ne disposez pas d'une IP fixe, rebootez votre box de connexion, vous obtiendrez une nouvelle IP et pourrez vous reconnecter au serveur.
Aide
Nous vous invitons à lire les documents suivants sur Ossec:
Nous sommes également à votre disposition pour vous aider à améliorer les règles et la configuration d'Ossec sur votre serveur. N'hésitez pas à contacter notre support.
Avertissement
Le fait d'arréter Ossec sur votre serveur vous prive du service de support inclus sur nos serveurs. En cas d'intervention de notre part suite à des problèmes liés au non fonctionnement d'Ossec, notre support vous serait facturé au temps passé.