Como posso monitorar, gravar e verificar se as portas do meu LUbuntu foram verificadas ou conectadas por outros computadores?

2

Instalei alguns servidores no LUbuntu 18.04, como o servidor postgresql, o servidor mysql, o servidor vino, e posso ter instalado e executado alguns servidores sem saber. Eu raramente pretendo que eles sejam acessíveis a partir de outro computador, e não tomei nenhuma medida para configurar os servidores para torná-los seguros até que eu possa encontrar algum tempo para se familiarizar com eles, então estou preocupado com o problema de segurança.

Como posso monitorar, gravar e verificar se as portas do meu LUbuntu foram escaneadas ou conectadas por outros computadores, seja dentro do meu Wi-Fi local ou da Internet (no caso de as máquinas no meu wifi local dentro ou fora do meu controle são acessíveis a partir da Internet)?

Por exemplo, há algum tempo atrás, meu servidor de vino escreveu mensagens no stdout informando que alguns IPs estranhos da Internet conseguiram invadir meu wifi local e se conectar a ele. Eu parei de executá-lo desde então, e ainda não tenho tempo e idéia para resolver esse problema. link  Eu tenho as mesmas preocupações sobre os outros servidores em execução no meu Lubuntu. Então, gostaria de verificar e monitorar as conexões com eles, apenas para encontrar qualquer problema no momento (não tentar resolvê-los até adquirir algum conhecimento e habilidades).

    
por Tim 14.09.2018 / 01:26

1 resposta

1

A pergunta que você está fazendo é geralmente uma temática muito mais ampla de um ponto de vista de administrador de rede / sysadmin e depende de suas necessidades, tamanho e políticas de segurança.

As soluções geradoras de log na sua rede para detectar intrusos podem variar de:

  • registros específicos do aplicativo;
  • registros específicos do dispositivo (por exemplo, firewalls, roteadores, etc.)
  • registros de autenticação
  • Registros DHCP / DNS
  • logs do iptables
  • Soluções de detecção de intrusões (IDS)
  • potes de mel
  • soluções netflow

Quanto à coleta desses registros, você geralmente pode ter:

  • um servidor syslog central;
  • um coletor de líquido
  • soluções que correlacionam seus registros com eventos externos (por exemplo, listas negras de segurança de IP).

No entanto, a partir da descrição da sua pergunta, eu ficaria mais preocupado em fazer o firewall / separar efetivamente a rede interna da Internet.

Quanto a dar dicas sobre ferramentas específicas e interessantes na área de sistemas de segurança / intrusão, veja:

How PSAD detects attacks?

Detecting port scans can accomplished by sniffing packets off the wire. This is the method used for many Intrusion Detection Systems. In this case PSAD simply reads syslog. The syslog messages are generated by IPTables firewall logging. The PSAD scripts parse the logs to find relevant information and creates simple reports.

In the world of information security, the most common intrusion detection system (IDS) you will ever encounter is Snort. As you probably already know, an IDS works similarly to antivirus (AV) software on your desktop; It attempts to identify malicious software on your network and warns you of its presence.

Como você instala e configura o OSSEC? no Ubuntu Linux

OSSEC is an open source host-based intrusion detection system that can be used to keep track of servers activity. It supports most operating systems such as Linux, FreeBSD, OpenBSD, Windows, Solaris and much more. It is used to monitor one server or multiple servers in server/agent mode and give you a real-time view into what’s happening on your server. OSSEC has a cross-platform architecture that enables you to monitor multiple systems from centralized location.

Suricata

Suricata is a free and open source, mature, fast and robust network threat detection engine.

The Suricata engine is capable of real time intrusion detection (IDS), inline intrusion prevention (IPS), network security monitoring (NSM) and offline pcap processing.

Suricata inspects the network traffic using a powerful and extensive rules and signature language, and has powerful Lua scripting support for detection of complex threats.

With standard input and output formats like YAML and JSON integrations with tools like existing SIEMs, Splunk, Logstash/Elasticsearch, Kibana, and other database become effortless

veja também O projeto honeynet

PS Minha rede interna em casa é completamente protegida por firewall, e a única maneira de entrar / usar serviços internos (SSH / site / voIP / VMs / sensores de temperatura) é através de uma VPN IPsec.

Se eu puder evitá-lo, nunca exponho servidores web ou serviços SSH à Internet como um todo.

As soluções baseadas em VNC também são inerentemente inseguras e não devem ser expostas na Internet.

O psad deve ser interessante para uma rede pequena, talvez suricata, tente executar seu próprio serviço DNS e assista os registros

    
por 14.09.2018 / 02:03