it-swarm-pt.tech

Como posso detectar invasões indesejadas em meus servidores?

Como outros administradores estão monitorando seus servidores para detectar qualquer acesso não autorizado e/ou tentativa de hacking? Em uma organização maior, é mais fácil colocar as pessoas no problema, mas em uma loja menor, como você pode monitorar seus servidores com eficácia?

Costumo examinar os logs do servidor em busca de qualquer coisa que salte sobre mim, mas é muito fácil deixar passar algo. Em um caso, fomos avisados ​​por pouco espaço no disco rígido: nosso servidor foi tomado como um site FTP - eles fizeram um ótimo trabalho ocultando os arquivos bagunçando a tabela FAT. A menos que você soubesse o nome específico da pasta, ela não apareceria no Explorer, no DOS ou ao pesquisar arquivos.

Que outras técnicas e/ou ferramentas as pessoas estão usando?

16
Paul Mrozowski

Em parte, depende do tipo de sistema em que você está executando. Vou esboçar algumas sugestões para Linux, porque estou mais familiarizado com ele. A maioria deles se aplica ao Windows também, mas não conheço as ferramentas ...

  • Use um IDS

    SNORT® é um sistema de prevenção e detecção de intrusão de rede de código aberto que utiliza uma linguagem baseada em regras, que combina os benefícios dos métodos de inspeção baseados em assinatura, protocolo e anomalia. Com milhões de downloads até o momento, o Snort é a tecnologia de detecção e prevenção de intrusão mais amplamente implantada em todo o mundo e se tornou o padrão de fato para a indústria.

    O Snort lê o tráfego da rede e pode procurar coisas como "teste drive by pen", onde alguém executa uma varredura metaploit inteira em seus servidores. É bom saber dessas coisas, na minha opinião.

  • Use os registros ...

    Dependendo do seu uso, você pode configurá-lo para saber sempre que um usuário faz login, ou faz login de um IP estranho, ou sempre que o root faz login, ou sempre que alguém tenta fazer o login. Na verdade, o servidor me envia um e-mail a cada mensagem de log superior a Debug. Sim, até Observe. Eu filtro alguns deles, é claro, mas todas as manhãs quando recebo 10 e-mails sobre coisas, fico com vontade de consertar para que pare de acontecer.

  • Monitore sua configuração - Na verdade, mantenho todo o meu/etc no Subversion para que possa rastrear as revisões.

  • Execute varreduras. Ferramentas como Lynis e Rootkit Hunter podem fornecer alertas sobre possíveis falhas de segurança em seus aplicativos. Existem programas que mantêm uma árvore de hash ou hash de todas as suas caixas e podem alertá-lo sobre mudanças.

  • Monitore seu servidor - Assim como você mencionou o espaço em disco - os gráficos podem dar uma dica se algo estiver incomum. Eu uso Cacti para ficar de olho na CPU, tráfego de rede, espaço em disco, temperaturas, etc. Se algo parece estranho é estranho e você deve descobrir por que é estranho.

9
Tom Ritter

Automatize tudo o que puder ... dê uma olhada em projetos como OSSEC http://www.ossec.net/ Instalação cliente/servidor ... configuração realmente fácil e o ajuste também não é ruim. Uma maneira fácil de saber se algo foi alterado, incluindo entradas de registro. Mesmo em uma pequena loja, eu tentaria configurar um servidor de syslog para que você pudesse digerir todos os logs em um só lugar. Verifique o agente syslog http://syslogserver.com/syslogagent.html se você deseja apenas enviar os logs do Windows a um servidor syslog para análise.

2
trent

No Linux, eu uso logcheck para relatar regularmente entradas suspeitas em meus arquivos de log. Também é muito útil para detectar eventos inesperados não relacionados à segurança.

2
Mikeage