Jak mogę wykryć niechciane wtargnięcia na moje serwery?

16

W jaki sposób inni administratorzy monitorują swoje serwery, aby wykryć nieautoryzowany dostęp i / lub próby włamania? W większej organizacji łatwiej jest rzucić ludzi na problem, ale w mniejszym sklepie, jak możesz skutecznie monitorować swoje serwery?

Zwykle przeglądam logi serwera, szukając czegoś, co mnie zaskoczy, ale naprawdę łatwo coś przeoczyć. W jednym przypadku poradziła nam niska ilość miejsca na dysku twardym: nasz serwer został przejęty jako witryna FTP - świetnie spisali się, ukrywając pliki, bawiąc się tabelą FAT. O ile nie znasz konkretnej nazwy folderu, nie będzie on wyświetlany w Eksploratorze, z DOS-a lub podczas wyszukiwania plików.

Jakie inne techniki i / lub narzędzia są używane przez ludzi?

Paweł Mrozowski
źródło

Odpowiedzi:

9

Zależy to częściowo od rodzaju systemu, na którym pracujesz. Przedstawię kilka sugestii dotyczących Linuksa, ponieważ jestem bardziej zaznajomiony z tym. Większość z nich dotyczy również systemu Windows, ale nie znam narzędzi ...

  • Użyj IDS

    SNORT® to system zapobiegania włamaniom i wykrywania włamań do sieci o otwartym kodzie źródłowym, wykorzystujący język oparty na regułach, który łączy zalety metod kontroli opartych na sygnaturach, protokołach i anomaliach. Dzięki milionom pobrań do tej pory Snort jest najczęściej stosowaną technologią wykrywania i zapobiegania włamaniom na całym świecie i stał się de facto standardem w branży.

    Snort odczytuje ruch sieciowy i może szukać takich rzeczy, jak „testowanie za pomocą pióra”, gdzie ktoś po prostu wykonuje cały skan metasploitów na twoich serwerach. Moim zdaniem dobrze wiedzieć takie rzeczy.

  • Użyj dzienników ...

    W zależności od sposobu użycia możesz to skonfigurować, abyś wiedział, kiedy użytkownik loguje się lub loguje z nieparzystego adresu IP, lub kiedy loguje się root, lub kiedy ktoś próbuje się zalogować. Właściwie mam serwer e-mail do mnie każdy komunikat dziennika wyższy niż debugowanie. Tak, nawet Zawiadomienie. Oczywiście niektóre z nich filtruję, ale każdego ranka, gdy otrzymuję 10 e-maili na ten temat, chcę to naprawić, aby przestało się dziać.

  • Monitoruj swoją konfigurację - faktycznie utrzymuję cały plik / etc w wersji subversion, aby móc śledzić poprawki.

  • Uruchom skanowanie. Narzędzia takie jak Lynis i Rootkit Hunter mogą ostrzegać o możliwych lukach bezpieczeństwa w aplikacjach. Istnieją programy, które utrzymują hash lub drzewo hash wszystkich twoich pojemników i mogą ostrzegać cię o zmianach.

  • Monitoruj serwer - tak jak wspomniałeś o przestrzeni dyskowej - wykresy mogą dać ci wskazówkę, jeśli coś jest nietypowe. Używam kaktusów, aby kontrolować procesor, ruch w sieci, miejsce na dysku, temperaturę itp. Jeśli coś wygląda dziwnie, jest dziwne i powinieneś dowiedzieć się, dlaczego jest dziwne.

Tom Ritter
źródło
+1 za / etc w subversion!
Andy Lee Robinson,
Nie wiedząc o SNORT, zacząłem pisać własne IDS 10 lat temu, ale jeszcze ich nie opublikowałem. Analizuje saplowane dzienniki syslog / apache w czasie rzeczywistym za pomocą perla i mysql z iptables. Jeśli wystąpi N zdarzeń w danym okresie lub bezpośrednio (w00tw00t itp.), Adres jest zapory ogniowej, dodawany do dnsbl i wysyła skargę do dostawcy usług internetowych. 95% dostawców usług internetowych jest przestępcami, dlatego tworzy czarną listę złych dostawców usług internetowych z odsyłanych wiadomości e-mail za pomocą sendmaila i mysql, chociaż przynosi pewne sukcesy w usuwaniu zainfekowanych maszyn i daje pewną satysfakcję.
Andy Lee Robinson,
2

Zautomatyzuj wszystko, co możesz ... spójrz na projekty takie jak OSSEC http://www.ossec.net/ Instalacja klienta / serwera ... naprawdę łatwa konfiguracja i strojenie też nie jest złe. Łatwy sposób stwierdzić, czy coś zostało zmienione, w tym wpisy rejestru. Nawet w małym sklepie chciałbym skonfigurować serwer syslog, abyś mógł przetrawić wszystkie logi w jednym miejscu. Sprawdź agenta syslog http://syslogserver.com/syslogagent.html, jeśli chcesz wysłać dzienniki systemu Windows do serwera syslog w celu analizy.

trent
źródło
2

W Linuksie używam logcheck, aby regularnie zgłaszać podejrzane wpisy w moich plikach dziennika. Jest także bardzo przydatny do wykrywania nieoczekiwanych zdarzeń niezwiązanych z bezpieczeństwem.

Mikeage
źródło
Ta domena jest teraz w sprzedaży - nie można tam znaleźć narzędzia.
Andreas Reiff,