Fonctionnement du firewall proactif

Nous avons installé sur l'ensemble de nos serveurs un firewall proactif : OSSEC.

Fonctions

La fonction principale de ce firewall et de bloquer les intrusions sur le serveur, mais aussi d'assurer l'intégrité des programmes fonctionnant sur le serveur en essayant de détecter tout "rootkit".

Pour bloquer les intrusions, il scanne en permanence l'ensemble des logs du serveurs et grâce à ses règles ("rules") de scan, il bloque toute intrusion en s'appuyant sur iptables.

Le blocage est effectué en bloquant l'IP à l'origine de l'attaque pendant une durée de 20 mn. Ceci permet à des utilisateurs ayant malencontreusement perdu leur mot de passe de ne pas rester bloqué.

Ossec avertit également notre support qui peut intervenir plus efficacement.

Ossec est installé sur le serveur dans le répertoire /var/ossec

LOGS

Vous pouvez consulter les logs de fonctionnement suivants:
  • /var/ossec/logs/ossec.log (fonctionnement de Ossec)
  • /var/ossec/logs/active-responses.log (les actions de blocages effectuées)
  • /var/ossec/logs/alerts/alerts.log (les alertes générées par OSSEC)
Configuration

Le fichier de configuration d'OSSEC est :
/var/ossec/etc/ossec.conf

Nous vous invitons à ne changer la configuration ou les règles de fonctionnement que si vous avez une parfaite connaissance de cet outil. La sécurité de votre serveur en dépend.

Problèmes courants

Vous êtes bloqué par Ossec

En effectuant des modifications sur votre site ou votre serveur, vous vous trouvez bloqué par Ossec suite à des erreurs 404 sur vos pages ou toute autre erreur entrainant un blocage.
Dans ce cas, soit vous attendez 20 mn pour que votre serveur vous laisse à nouveau vous reconnecter , soit vous rebooté votre serveur à partir de l'interface client. Vous pouvez, pendant le temps de vos modifications arréter Ossec en ligne de commande:
  service ossec stop
Bien que nous ne conseillons pas cette methode, n'oubliez pas de redémarrer le service ensuite:
  service ossec start

Si vous disposez d'une IP fixe, vous pouvez vous "whitelister" en modifiant le fichier de configuration /var/ossec/etc/ossec.conf en ajoutant la ligne suivante dans la partie <global> :
  <white_list>xxx.xxx.xxx.xxx</white_list>
xxx.xxx.xxx.xxx est bien sur à remplacer par votre propre ip.
redémarrez le service ensuite en ligne de commande :
  service ossec restart

Si vous ne disposez pas d'une IP fixe, rebootez votre box de connexion, vous obtiendrez une nouvelle IP et pourrez vous reconnecter au serveur.

Aide

Nous vous invitons à lire les documents suivants sur Ossec:

Nous sommes également à votre disposition pour vous aider à améliorer les règles et la configuration d'Ossec sur votre serveur. N'hésitez pas à contacter notre support.

Avertissement

Le fait d'arréter Ossec sur votre serveur vous prive du service de support inclus sur nos serveurs. En cas d'intervention de notre part suite à des problèmes liés au non fonctionnement d'Ossec, notre support vous serait facturé au temps passé.

Hjälpte svaret dig?

 Skriv ut denna artikeln

Läs även

Le Bug Heartbleed

Le Bug Heartbleed Le bug Heartbleed est une vulnérabilité découverte dans...

Mon poste de travail est-il infecté

Fonctionnement de notre anti-virus hébergement mutualisé

Sur tous nos hébergements mutualisés vous disposez d'un anti-virus...

Serveur anti spam

Serveurs Anti SpamNous utlisons les filtres anti spam les plus avancés disponibles sur...

Le parapluie d'Espace 2001

Le Parapluie d'Espace 2001Nos analyses ont montré qu'une IP attaquant un serveur en attaquait...