Como posso detectar intrusões indesejadas em meus servidores?

Navegue suas respostas
16

Como os outros administradores monitoram seus servidores para detectar acesso não autorizado e / ou tentativas de invasão? Em uma organização maior, é mais fácil jogar as pessoas para o problema, mas em uma loja menor, como você pode efetivamente monitorar seus servidores?

Eu tenho a tendência de vasculhar os logs do servidor procurando por algo que pule para mim, mas é realmente fácil perder as coisas. Em um caso, fomos avisados por baixo espaço no disco rígido: o nosso servidor foi tomado como um site FTP - eles fizeram um ótimo trabalho escondendo os arquivos, mexendo com a tabela FAT. A menos que você saiba o nome específico da pasta, ele não aparecerá no Explorer, no DOS ou na pesquisa de arquivos.

Quais outras técnicas e / ou ferramentas as pessoas usam?

    
por Paul Mrozowski 30.04.2009 / 14:49

3 respostas

9

Depende parcialmente do tipo de sistema em que você está executando. Vou descrever algumas sugestões para o Linux, porque estou mais familiarizado com isso. A maioria deles também se aplica ao Windows, mas eu não conheço as ferramentas ...

  • Use um IDS

    SNORT® is an open source network intrusion prevention and detection system utilizing a rule-driven language, which combines the benefits of signature, protocol and anomaly based inspection methods. With millions of downloads to date, Snort is the most widely deployed intrusion detection and prevention technology worldwide and has become the de facto standard for the industry.

    O Snort lê o tráfego de rede e pode procurar por coisas como "teste da unidade por caneta", em que alguém apenas executa uma varredura de metasploit inteira em seus servidores. É bom saber esse tipo de coisa, na minha opinião.

  • Use os registros ...

    Dependendo do seu uso, você pode configurá-lo para que você saiba sempre que um usuário fizer login ou efetuar login a partir de um IP ímpar ou sempre que o usuário fizer login ou sempre que alguém tentar fazer login. Na verdade, eu tenho o servidor me enviando um e-mail a cada mensagem de log maior que Debug. Sim, até mesmo aviso. Eu filto alguns deles, é claro, mas toda manhã, quando eu recebo 10 e-mails sobre coisas, isso me faz querer consertar, então isso pára de acontecer.

  • Monitore sua configuração - na verdade, mantenho todo o meu / etc no subversion para que eu possa acompanhar as revisões.

  • Execute verificações. Ferramentas como Lynis e Rootkit Hunter pode fornecer alertas para possíveis falhas de segurança em seus aplicativos. Existem programas que mantêm um hash ou hash tree de todos os seus bins e podem alertá-lo sobre alterações.

  • Monitore seu servidor - Assim como você mencionou o espaço em disco - os gráficos podem lhe dar uma dica se algo for incomum. Eu uso Cactos para ficar de olho em CPU, tráfego de rede, espaço em disco, temperaturas, etc. Se algo parece estranho é ímpar e você deve descobrir porque é estranho.

por 30.04.2009 / 15:46
2

Automatize tudo o que puder ... dê uma olhada em projetos como link do OSSEC Instalação de cliente / servidor ... configuração e a afinação também não é ruim. Uma maneira fácil de saber se algo foi alterado, incluindo entradas de registro. Mesmo em uma pequena loja, eu gostaria de configurar um servidor syslog para que você possa digerir todos os seus registros em um só lugar. Verifique o link do do agente do syslog se você estiver apenas procurando enviar seus logs do Windows para um servidor syslog para análise.

    
por 30.04.2009 / 14:59
2

No Linux, eu uso verificação de log para informar regularmente entradas suspeitas em meus arquivos de log. Também é muito útil para detectar eventos inesperados não relacionados à segurança.

    
por 01.05.2009 / 12:02

Tags

Como você gerencia o Java em seu ambiente Windows / Active Directory? ssh não está mais usando ~ / .ssh / config