O Ossec HIDS 2.6 está no forno. A versão beta desta que para mim é uma das melhores ferramentas de segurança da atualidade foi anunciada recentemente pelo Daniel Cid, criador e principal mantenedor.
Venho acompanhando a evolução desta versão através do respositório no Bitbucket.
Vejam algumas funcionalidades anunciadas:
Suporte IPv6
Novas regras para OpenBSD, Clamav, BRO-ids, active response logs,etc
Criação e configuração automatizada das chaves dos agentes através do os-authd
Melhorias nos relatórios de alteração dos arquivos
Bloqueio contra tentativas de intrusão repetitivas
Algumas destas novas funcionalidades estão sendo bastante úteis no meu dia a dia.
Relatórios de alteração dos arquivos
A checagem de integridade faz parte do Ossec desde de sua criação. Este versão diponibiliza uma relatório mais apurado dos arquivos alterados. Um exemplo interessante é o monitoramento das alterações dentro do diretório /var/www. Para isso adicione uma tag directories dentro do arquivo /var/ossec/etc/ossec.conf com as seguintes opções:
realtime=”yes”
report_changes=”yes”
Info:
realtime – Fará o monitoramento em tempo real do diretório
report_changes – Informará o que foi alterado em um arquivo
OBS: Outras opções podem ser encontradas no Manual do Ossec HIDS
Segue o exemplo de um simples relatório gerado após está alteração:
zcat /var/ossec/logs/alerts/2011/May/*.gz | /var/ossec/bin/ossec-reportd
Top entries for ‘Filenames’:
————————————————
/etc/apache2/sites-available/XXX.. |3 |
/etc/apache2/sites-enabled/XXX |3 |
/etc/ld.so.cache |2 |
/etc/ossec-init.conf |2 |
/etc/alternatives/www-browser |1 |
/etc/alternatives/www-browser.1.gz |1 |
/etc/apache2/sites-available/XXX |1 |
/etc/apache2/sites-enabled/XXX |1 |
/etc/init.d/.depend.boot |1 |
/etc/init.d/.depend.start |1 |
/etc/init.d/.depend.stop |1 |
/etc/mailcap |1 |
/usr/bin/www-browser |1 |
Bloqueio contra tentativas de intrusão repetitivas
Isso soa como música para meus ouvidos. Venho usando esta funcionalidade a algum tempo e realmente faz a diferença em servidores muito visados com os de FTP por exemplo. Para habilitá-la siga o exemplo apresentado no blog do DCid
Os desenvolvedores do Ossec HIDS estão mandando muito bem. Por enquanto não estou encontrando bugs nos testes desta versão beta, tenham certeza que eles estão sendo realizados em sistemas onde as tentativas de invasão são constantes.