Jak mogę wykryć niechciane wtargnięcia na moje serwery?

W jaki sposób inni administratorzy monitorują swoje serwery, aby wykryć nieautoryzowany dostęp i / lub próby włamania? W większej organizacji łatwiej jest rzucić ludzi na problem, ale w mniejszym sklepie, jak możesz skutecznie monitorować swoje serwery?

Zwykle przeglądam logi serwera, szukając czegoś, co mnie zaskoczy, ale naprawdę łatwo coś przeoczyć. W jednym przypadku poradziła nam niska ilość miejsca na dysku twardym: nasz serwer został przejęty jako witryna FTP - świetnie spisali się, ukrywając pliki, bawiąc się tabelą FAT. O ile nie znasz konkretnej nazwy folderu, nie będzie on wyświetlany w Eksploratorze, z DOS-a lub podczas wyszukiwania plików.

Jakie inne techniki i / lub narzędzia są używane przez ludzi?

Zależy to częściowo od rodzaju systemu, na którym pracujesz. Przedstawię kilka sugestii dotyczących Linuksa, ponieważ jestem bardziej zaznajomiony z tym. Większość z nich dotyczy również systemu Windows, ale nie znam narzędzi ...

• Użyj IDS

  SNORT® to system zapobiegania włamaniom i wykrywania włamań do sieci o otwartym kodzie źródłowym, wykorzystujący język oparty na regułach, który łączy zalety metod kontroli opartych na sygnaturach, protokołach i anomaliach. Dzięki milionom pobrań do tej pory Snort jest najczęściej stosowaną technologią wykrywania i zapobiegania włamaniom na całym świecie i stał się de facto standardem w branży.

  Snort odczytuje ruch sieciowy i może szukać takich rzeczy, jak „testowanie za pomocą pióra”, gdzie ktoś po prostu wykonuje cały skan metasploitów na twoich serwerach. Moim zdaniem dobrze wiedzieć takie rzeczy.

• Użyj dzienników ...

  W zależności od sposobu użycia możesz to skonfigurować, abyś wiedział, kiedy użytkownik loguje się lub loguje z nieparzystego adresu IP, lub kiedy loguje się root, lub kiedy ktoś próbuje się zalogować. Właściwie mam serwer e-mail do mnie każdy komunikat dziennika wyższy niż debugowanie. Tak, nawet Zawiadomienie. Oczywiście niektóre z nich filtruję, ale każdego ranka, gdy otrzymuję 10 e-maili na ten temat, chcę to naprawić, aby przestało się dziać.

• Monitoruj swoją konfigurację - faktycznie utrzymuję cały plik / etc w wersji subversion, aby móc śledzić poprawki.

• Uruchom skanowanie. Narzędzia takie jak Lynis i Rootkit Hunter mogą ostrzegać o możliwych lukach bezpieczeństwa w aplikacjach. Istnieją programy, które utrzymują hash lub drzewo hash wszystkich twoich pojemników i mogą ostrzegać cię o zmianach.

• Monitoruj serwer - tak jak wspomniałeś o przestrzeni dyskowej - wykresy mogą dać ci wskazówkę, jeśli coś jest nietypowe. Używam kaktusów, aby kontrolować procesor, ruch w sieci, miejsce na dysku, temperaturę itp. Jeśli coś wygląda dziwnie, jest dziwne i powinieneś dowiedzieć się, dlaczego jest dziwne.

Zautomatyzuj wszystko, co możesz ... spójrz na projekty takie jak OSSEC http://www.ossec.net/ Instalacja klienta / serwera ... naprawdę łatwa konfiguracja i strojenie też nie jest złe. Łatwy sposób stwierdzić, czy coś zostało zmienione, w tym wpisy rejestru. Nawet w małym sklepie chciałbym skonfigurować serwer syslog, abyś mógł przetrawić wszystkie logi w jednym miejscu. Sprawdź agenta syslog http://syslogserver.com/syslogagent.html, jeśli chcesz wysłać dzienniki systemu Windows do serwera syslog w celu analizy.

W Linuksie używam logcheck, aby regularnie zgłaszać podejrzane wpisy w moich plikach dziennika. Jest także bardzo przydatny do wykrywania nieoczekiwanych zdarzeń niezwiązanych z bezpieczeństwem.