FortiGate

FortiGate-Decoder anpassen für Geo-Filterung fehlerhafter VPN-Anmeldungen

Problemstellung

Beim Einsatz von Wazuh zur Überwachung von FortiGate-Logs gibt es ein Problem mit der Erkennung und Verarbeitung von fehlerhaften VPN-Anmeldungen.

Das Wazuh FortiGate-Decoder-Set verarbeitet die Quell-IP-Adresse (remip) aus den Logs korrekt, aber diese wird nicht an den Geo-Filter weitergegeben. Das liegt daran, dass Wazuh für Geo-Filter-Regeln das Feld srcip verwendet.

Gerade bei fehlgeschlagenen VPN-Anmeldeversuchen, die auf mögliche Brute-Force-Angriffe oder unautorisierte Zugriffsversuche hinweisen können, ist es wichtig, die Geo-Informationen korrekt auszuwerten.

Lösung: Anpassung des Decoders

Damit die Quell-IP-Adresse fehlerhafter VPN-Anmeldungen korrekt als srcip erkannt wird, müssen wir die Konfiguration des FortiGate-Decoders anpassen.

1. Standard-Decoder deaktivieren

Da die Original-Decoder in Wazuh durch Updates überschrieben werden, müssen wir den Standard-Decoder deaktivieren. Dazu fügen wir in der ossec.conf folgende Zeile ein:

<ruleset>
  ...
  <decoder_exclude>0100-fortigate_decoders.xml</decoder_exclude>
  ...
</ruleset>

2. Angepasste Decoder-Datei speichern

Nun kopieren wir die Originaldatei in das lokale Verzeichnis für benutzerdefinierte Decodern:

cp /var/ossec/ruleset/decoders/0100-fortigate_decoders.xml /var/ossec/etc/decoders/

Anschließend öffnen wir die Datei:

nano /var/ossec/etc/decoders/0100-fortigate_decoders.xml

In Zeile 595 finden wir die folgende Deklaration:

<order>remip</order>

Diese ersetzen wir durch:

<order>srcip</order>

3. Wazuh-Dienst neu starten

Damit die Änderungen wirksam werden, muss Wazuh neu gestartet werden:

systemctl restart wazuh-manager

Nach dem Neustart nutzt Wazuh die angepasste Decoder-Datei aus /var/ossec/etc/decoders/ und verarbeitet die Quell-IP nun als srcip.

Ergebnis

Mit dieser Änderung werden fehlgeschlagene VPN-Anmeldeversuche nun mit einer korrekten Geo-Information versehen. Das ermöglicht eine genauere Analyse und Blockierung verdächtiger IP-Adressen aus bestimmten Ländern oder Regionen.

Da Wazuh regelmäßig Updates erhält, sollte die angepasste Datei nach Updates überprüft werden, um Änderungen an den FortiGate-Decodern nicht zu verpassen.