ids_rule

Vista técnica

Un rol para gestionar reglas y firmas para muchos sistemas de detección de intrusiones diferentes, que se definen como "proveedores" para el rol.

Lista actual de proveedores soportados:

• snort

Requisitos

Red Hat Enterprise Linux 7.x, o una distribución de Linux derivada como CentOS 7, Scientific Linux 7, etc.

• idstools

Variables del rol

• ids_provider - Esto define qué proveedor de IDS (Valor por defecto: "snort")
• ids_rule - La regla que deseas agregar o eliminar del conjunto de reglas gestionadas
• ids_rule_state - Debe ser uno de present o absent
• ids_rules_file - El archivo de reglas que se gestiona (por defecto: /etc/snort/rules/local.rules)

Dependencias

Las dependencias variarán según el proveedor

Dependencias de snort

Ejemplo de Playbook

- name: gestionar reglas de snort
  hosts: idshosts
  become: yes
  become_user: root
  gather_facts: false

  vars:
    ids_provider: snort
    protocol: tcp
    source_port: any
    source_ip: any
    dest_port: any
    dest_ip: any

  tasks:
    - name: Agregar regla de ataque por contraseña de snort
      include_role:
        name: "ids_rule"
      vars:
        ids_rule: 'alert {{protocol}} {{source_ip}} {{source_port}} -> {{dest_ip}} {{dest_port}}  (msg:"Intento de ataque a /etc/passwd"; uricontent:"/etc/passwd"; classtype:attempted-user; sid:99000004; priority:1; rev:1;)'
        ids_rules_file: '/etc/snort/rules/local.rules'
        ids_rule_state: present

Licencia

GPLv3

Información del autor

Equipo de Automatización de Seguridad de Ansible