Fonctionnement du firewall proactif

Nous avons installé sur l'ensemble de nos serveurs un firewall proactif : OSSEC.

Fonctions

La fonction principale de ce firewall et de bloquer les intrusions sur le serveur, mais aussi d'assurer l'intégrité des programmes fonctionnant sur le serveur en essayant de détecter tout "rootkit".

Pour bloquer les intrusions, il scanne en permanence l'ensemble des logs du serveurs et grâce à ses règles ("rules") de scan, il bloque toute intrusion en s'appuyant sur iptables.

Le blocage est effectué en bloquant l'IP à l'origine de l'attaque pendant une durée de 20 mn. Ceci permet à des utilisateurs ayant malencontreusement perdu leur mot de passe de ne pas rester bloqué.

Ossec avertit également notre support qui peut intervenir plus efficacement.

Ossec est installé sur le serveur dans le répertoire /var/ossec

LOGS

Vous pouvez consulter les logs de fonctionnement suivants:
  • /var/ossec/logs/ossec.log (fonctionnement de Ossec)
  • /var/ossec/logs/active-responses.log (les actions de blocages effectuées)
  • /var/ossec/logs/alerts/alerts.log (les alertes générées par OSSEC)
Configuration

Le fichier de configuration d'OSSEC est :
/var/ossec/etc/ossec.conf

Nous vous invitons à ne changer la configuration ou les règles de fonctionnement que si vous avez une parfaite connaissance de cet outil. La sécurité de votre serveur en dépend.

Problèmes courants

Vous êtes bloqué par Ossec

En effectuant des modifications sur votre site ou votre serveur, vous vous trouvez bloqué par Ossec suite à des erreurs 404 sur vos pages ou toute autre erreur entrainant un blocage.
Dans ce cas, soit vous attendez 20 mn pour que votre serveur vous laisse à nouveau vous reconnecter , soit vous rebooté votre serveur à partir de l'interface client. Vous pouvez, pendant le temps de vos modifications arréter Ossec en ligne de commande:
  service ossec stop
Bien que nous ne conseillons pas cette methode, n'oubliez pas de redémarrer le service ensuite:
  service ossec start

Si vous disposez d'une IP fixe, vous pouvez vous "whitelister" en modifiant le fichier de configuration /var/ossec/etc/ossec.conf en ajoutant la ligne suivante dans la partie <global> :
  <white_list>xxx.xxx.xxx.xxx</white_list>
xxx.xxx.xxx.xxx est bien sur à remplacer par votre propre ip.
redémarrez le service ensuite en ligne de commande :
  service ossec restart

Si vous ne disposez pas d'une IP fixe, rebootez votre box de connexion, vous obtiendrez une nouvelle IP et pourrez vous reconnecter au serveur.

Aide

Nous vous invitons à lire les documents suivants sur Ossec:

Nous sommes également à votre disposition pour vous aider à améliorer les règles et la configuration d'Ossec sur votre serveur. N'hésitez pas à contacter notre support.

Avertissement

Le fait d'arréter Ossec sur votre serveur vous prive du service de support inclus sur nos serveurs. En cas d'intervention de notre part suite à des problèmes liés au non fonctionnement d'Ossec, notre support vous serait facturé au temps passé.

Je li Vam ovaj odgovor pomogao?

 Ispiši članak

Također pročitajte

Regénérer votre certificat SSL

Vous pouvez regénérer gratuitement tout certificat de sécurité...

Générer une clef SSH

Génération d'une clef SSHPour générer et installer une clef SSH...

Génerer un CSR

Générer un CSR en ligne de commande Connectez vous en SSH à votre...

Mon poste de travail est-il infecté

Connection SSH

Les connections telnet ne sont plus autorisées sur nos serveurs pour des raisons de...