Назад | Перейти на главную страницу

Может ли OSSEC с активным ответом справиться с проблемами на уровне кластера?

Мы используем OSSEC по модели клиент-сервер. ClientA & КлиентB серверы - это веб-серверы за балансировщиком нагрузки. Оба они отправляют информацию на один сервер OSSEC (ServerA), где он соответственно вызывает активный ответ (т. е. динамическую блокировку IP).

clientA (агент OSSEC) -> ServerA (сервер OSSEC)

clientB (агент OSSEC) -> ServerA (сервер OSSEC)

Функция активного ответа OSSEC по большей части работает отлично. Однако проблема в том, что даже если clientA и clientB «сгруппированы», сервер OSSEC будет блокировать нарушающий IP-адрес конечного пользователя, относящийся к каждому клиенту.

Имея в виду, если ServerA блокирует IP-адрес конечного пользователя 1.2.3.4 на clientA, это же действие не отражается на clientB.

Прочитав руководство OSSEC, я почти уверен, что нет способа решить этот сценарий. Или есть?

Если нет, я искал совета или предложений от сообщества, чтобы узнать, есть ли альтернативный способ справиться с этим.

Спасибо.

Если я вас правильно понял, вы хотите, чтобы активный ответ запускался как на clientA, так и на clientB.

В таком случае я бы порекомендовал вам взглянуть на документацию Active Response.

Вы можете определить, где запускается активный ответ:

расположение

Где команда должна быть выполнена. У вас есть четыре варианта:

Разрешается:

местный: на агенте, создавшем событие

сервер: на сервере OSSEC

определенный агент: на конкретном агенте (при использовании этой опции вам необходимо установить agent_id для использования)

все: или везде.

источник: http://ossec-docs.readthedocs.io/en/latest/syntax/head_ossec_config.active-response.html