SIEM: Wie Wazuh bei der Webserver Analyse hilft.

Sicherheitsanalyse eines ungeschützten Honeypot-Webservers mit Wazuh
So minimierte ich täglich über 17.000 Angriffe

Im Bereich der IT-Sicherheit ist es entscheidend, nicht nur präventive Maßnahmen zu treffen, sondern auch auf realen Daten basierende Erkenntnisse über das Angreiferverhalten zu gewinnen. In einem aktuellen Testprojekt setzte ich das Open-Source-SIEM Wazuh ein, um eine Schwachstellenanalyse eines bewusst ungeschützten Webservers zu betreiben. Dieser Webserver war so konfiguriert, dass er auf den Ports 80 (HTTP) und 443 (HTTPS) lauschte, ohne jedoch Inhalte bereitzustellen. Der Server war „leer“ und diente ausschließlich als Honeypot – als Köder für potenzielle Angreifer.

Ziel des Projekts

Mein Ziel war es, Daten über Angriffe und typische Anfragemuster zu sammeln, die an einen frei zugänglichen, ungesicherten Webserver gesendet werden. Die Analyse dieser Daten sollte mir aufzeigen, wie ein produktiver Server mit echten Daten bei einer ähnlichen Konfiguration angegriffen werden könnte und welche Maßnahmen zur Abwehr solcher Angriffe sinnvoll wären.

Wazuh als zentrale Monitoring-Lösung

Als Wazuh Gold Partner und Experte für Open-Source-Sicherheitslösungen bei Gray-Hat IT-Security Consulting setze ich Wazuh als SIEM-System ein, um nicht nur detaillierte Analysen, sondern auch vollständige Sicherheitsstrategien für Unternehmen zu entwickeln. Hier habe ich die Apache-Access-Logs des Servers ins JSON-Format konvertiert und durch Wazuh in Echtzeit ausgewertet. Ein individuell konfiguriertes Wazuh-Dashboard visualisierte die gewonnenen Daten und ermöglichte so eine tiefergehende Analyse der Angriffe.

Das Dashboard stellte unter anderem dar:

• Uhrzeit der Anfragen: Um Muster im zeitlichen Ablauf der Angriffe zu identifizieren.
• Herkunftsland: Welche geografischen Regionen die meisten Anfragen sendeten.
• CRUD-Befehl: Ob GET-, POST- oder andere CRUD-Operationen ausgeführt wurden.
• Verbindungstyp: Differenziert nach TLS-verschlüsselten und unverschlüsselten Anfragen.
• Komplette Anfrageinformationen: Dies ermöglichte mir, genau zu analysieren, welche Art von Angriffen oder Scans die Hacker versuchten.

Ergebnisse des Testtages – 24. August 2024

Über mehrere Monate sammelte ich Daten und am 24. August 2024 betrachtete ich über einen vollen Tag hinweg die Daten zu den Angriffen. Das Ergebnis war verblüffend: Innerhalb von 24 Stunden gingen 17.391 schädliche Anfragen auf dem leeren Webserver ein. Die Menge dieser Anfragen machte deutlich, was ein produktiver Webserver an Belastungen und Sicherheitsrisiken hätte, wenn er ohne Schutzmaßnahmen betrieben würde. Zu den Folgen gehören:

• Überfüllte Log-Files: Die Flut an Anfragen sorgt dafür, dass Logs schnell anwachsen und die Datenübersicht erschwert wird.
• Erhöhte Systemlasten: Auch ein leerer Server verbraucht bei dieser Menge an Anfragen spürbare Ressourcen.
• Risiko erfolgreicher Angriffe: Ein produktiv genutzter Server wäre einem extrem hohen Risiko ausgesetzt, falls solche Angriffe unkontrolliert blieben.

Lösung durch automatisierte Blockierung bekannter schädlicher IP-Adressen

Auf Basis dieser Erkenntnisse erstellte ich wenige Tage später ein BASH-Skript, das täglich eine Liste von über 35.000 bekannten schädlichen IP-Adressen  in ein IP-Set einfügt und diese in die lokale Firewall (FirewallD) einspeist. Das Ziel: Angriffe proaktiv abzuwehren und die Zahl der schädlichen Anfragen drastisch zu reduzieren.

Das Resultat:

Durch das täglich aktualisierte IP-Set konnte ich die Zahl der Angriffe auf den Honeypot-Webserver massiv senken. Anstelle von 17.391 Anfragen erreichten den Server pro Tag nun maximal 30 verdächtige oder schädliche Anfragen. Die positiven Effekte waren sofort spürbar:

• Deutlich kleinere Log-Files: Die Übersichtlichkeit in den Logs hat sich enorm verbessert.
• Minimale Systemlasten: Der Server benötigt indessen kaum noch Ressourcen, um Anfragen abzuwehren.
• Erhöhte Sicherheit ohne zusätzliche Kosten: Auf eine Web Application Firewall (WAF) konnte verzichtet werden, was erhebliche Kosteneinsparungen brachte.

Fazit: Effektiver Schutz und Kostenersparnis durch Wazuh und Automatisierung

Die Kombination aus Wazuh zur Überwachung und Automatisierung mit einem IP-Blocking-Skript hat bewiesen, wie effektiv sich eine Flut von Angriffen kontrollieren lässt. Ohne Wazuh und die präzise Darstellung der Angriffe im Dashboard wären die Angriffsversuche zwar aufgefallen, jedoch nicht mit dieser Detailtiefe analysierbar gewesen. Dank der automatisierten Blockierungsliste konnte ich zusätzlich Kosten für externe Sicherheitslösungen sparen, ohne Kompromisse bei der Sicherheit einzugehen.

Meine Dienstleistungen für Sie: SIEM-Systeme, Systemhärtung und Compliance-Anforderungen

Als Wazuh Gold Partner biete ich mit meinem Unternehmen Gray-Hat IT-Security Consulting professionelle Unterstützung bei der Implementierung von SIEM-Systemen auf Wazuh-Basis. Meine Expertise umfasst nicht nur die fachgerechte Etablierung eines SIEM-Systems, sondern auch die systematische Härtung Ihrer Server und Netzwerke, sodass selbst produktive Umgebungen optimal geschützt sind. Dabei berücksichtige ich wichtige Compliance-Anforderungen wie ISO 27001:2022 und NIS-2, um sicherzustellen, dass Ihre IT-Infrastruktur nicht nur sicher, sondern auch mit Ihrer Compliance bzw. ISMS konform sind.

Falls Sie ebenfalls Ihre Sicherheitslage mit Wazuh optimieren, Ihre Systeme härten oder spezifische Compliance-Anforderungen erfüllen möchten, unterstütze ich Sie gerne mit meiner Erfahrung und einem umfassenden Angebot an Lösungen.