Installazione di Wazuh agent su pfSense per il monitoraggio dei log del firewall

by | Apr 8, 2024

pfSense è un noto firewall open source basato su FreeBSD.
È possible utilizzare i repositories di FreeBSD per installare il Wazuh agent per monitorare i log di sistema ed intraprendere delle azioni in caso di alerts (active response).
In questa guida verrà mostrato come installare e configurare il Wazuh agent su pfSense.

PREREQUISITI

Un cluster Wazuh (anche a nodo singolo) ed un firewall pfSense.

ABILITAZIONE DELLE REPOSITORIES

Per abilitare le repositories di FreeBSD sarà sufficiente modificare due file.
È possibile modificare i file da terminale oppure tramite Web UI; per effettuare la modifica da interfaccia grafica, navigare su Diagnostics quindi  Edit File

Nel campo testuale sopra i pulsanti, è possibile digitare il path del file da modificare, successivamente col pulsante Load è possibile visualizzarne il contenuto e dopo aver effettuato eventuali modifiche tramite il pulsante Save è possibile salvare.

Modificare i files /usr/local/etc/pkg/repos/pfSense.conf e /usr/local/etc/pkg/repos/FreeBSD.conf come segue:

 

ATTENZIONE: Se si naviga sul tab Package Manager della Web UI o se si cerca un aggiornamento per il sistema operativo, i file appena modificati potrebbero essere sovrascritti.

INSTALLAZIONE DI  WAZUH AGENT

Dopo aver abilitato le repositories è possibile installare il pacchetto richiesto tramite terminale o tramite Web UI, tuttavia non essendo quest’ultima in modalità interattiva, essa potrebbe causare dei problemi in caso in cui il comando eseguito richieda input da parte dell’utente, perciò si consiglia di proseguire in SSH o da console.

Eseguire il seguente comando per aggiornare la lista dei pacchetti disponibili:

Verificare che il pacchetto wazuh-agent venga mostrato in seguito a questo comando ed annotarsi la versione disponibile:

Installare il pacchetto con il seguente comando, sostituendo le “x” con la versione annotata nel passaggio precedente:

CONFIGURAZIONE DEL WAZUH AGENT

Copiare il localtime nella cartella di Wazuh:

Modificare il file di configurazione /var/ossec/etc/ossec.conf per far puntare l’agent al server corretto:

Sostituire group1, group2 con i gruppi a cui si vuole aggiungere il firewall.

Solo nel caso in cui si necessitasse di configurare l’enrollment con password, decommentare la riga relativa ad authorization_pass_path ed eseguire il seguente comando:

Abilitare l’agent al boot con i seguenti comandi:

Avviare il servizio:

A questo punto dovrebbe essere possibile visualizzare l’agent dalla Wazuh Dashboard.

Opzionalmente è possibile aggiungere una crontab per ripulire i log in stallo più vecchi di 30 giorni, creando il file /etc/cron.d/wazuh:

AGGIUNGERE LE ESCLUSIONI PER IL ROOTCHECK

Il modulo Rootcheck di Wazuh potrebbe scatenare alcuni alerts per dei file di sistema creati da pfSense, per ignorarli è possibile aggiungere delle esclusioni nel file di configurazione agent.conf.
Per modificare la configurazione per il gruppo di agents a cui appartiene il firewall, navigare su Management quindi Groups:

Selezionare il gruppo a cui è stato assegnato l’agent negli step precedenti, navigare su “Files” e cliccare sulla matita per modificare “agent.conf”:

 

Aggiungere le esclusioni nel web editor e salvare cliccando su Save:

MONITORARE I LOG DEL FIREWALL

ATTENZIONE

: I decoders di Wazuh non interpretano correttamente i log di pfSense in formato syslog (RFC 5424), perciò per proseguire è necessario configurare i log di sistema in formato BSD (RFC 3164, default).

Wazuh viene distribuito con i decoders e le rules necessarie per monitorare il traffico IPv4 di pfSense (ad oggi i decoders hanno problemi ad interpretare i log del traffico IPv6).
Di default Wazuh non logga le richieste bloccate da pfSense a meno che non vengano bloccate richieste multiple dalla stessa sorgente, in questo caso viene mostrato un unico log per più richieste bloccate.
Se fosse necessario effettuare un’analisi approfondita del traffico, potrebbe essere richiesto loggare su Wazuh tutte le richieste bloccate, per effettuare ciò è necessario sovrascrivere la regola #87701.

Aggiungere nel file /var/ossec/etc/rules/0540-pfsense_rules.xml l’overwrite per la regola:

Infine è necessario configurare Wazuh per monitorare il file in cui vengono loggati gli eventi del firewall.
Tornare sul web editor (vedi AGGIUNGERE LE ESCLUSIONI PER IL ROOTCHECK) ed aggiungere le seguenti configurazioni:

In seguito al riavvio dei servizi del manager e dell’agent, i logs di pfSense dovrebbero essere disponibili sulla Wazuh Dashboard:

Scritto da Marco Valle

Mi chiamo Marco Valle e da sempre sono appassionato di Cybersicurezza e Linux.
Per lavoro implemento soluzioni open source.

Articoli Recenti

Veeam Backup

Monitoring

Friends

  • My English Lab  English School
  • ChrSystem   Infrastrutture IT
  • ACT For Cange  Mental Coach
  • Since 01  Kreative Graphics

Database

Networking

Autori

  • Raffaele Chiatto  Amministratore
  • Marco Valle  Autore Collaboratore
Categorie:pfSense | Wazuh

Related Post

2 Comments

  1. Raffaele Chiatto

    Adesso dovrebbe essere ok….
    grazie per la segnalazione

  2. Questo articolo risulta vuoto….

Submit a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Virtualizzazione

Linux

Microsoft

Apple

Backup

Database

Security

Automazione