¿Cómo puedo detectar intrusiones no deseadas en mis servidores?

16

¿Cómo supervisan otros administradores sus servidores para detectar cualquier acceso no autorizado y / o intentos de piratería? En una organización más grande es más fácil atraer a la gente al problema, pero en una tienda más pequeña, ¿cómo puede monitorear efectivamente sus servidores?

Tiendo a escanear a través de los registros del servidor en busca de cualquier cosa que me salte a la vista, pero es muy fácil perder cosas. En un caso, nos avisó que había poco espacio en el disco duro: nuestro servidor fue tomado como un sitio FTP; hicieron un gran trabajo al ocultar los archivos jugando con la tabla FAT. A menos que conozca el nombre específico de la carpeta, no se mostrará en el Explorador, desde DOS o al buscar archivos.

¿Qué otras técnicas y / o herramientas están usando las personas?

Paul Mrozowski
fuente

Respuestas:

9

Depende en parte del tipo de sistema en el que se esté ejecutando. Voy a esbozar algunas sugerencias para Linux, porque estoy más familiarizado con él. La mayoría de ellos también se aplican a Windows, pero no conozco las herramientas ...

  • Use un IDS

    SNORT® es un sistema de prevención y detección de intrusos de red de código abierto que utiliza un lenguaje basado en reglas, que combina los beneficios de los métodos de inspección basados ​​en firma, protocolo y anomalías. Con millones de descargas hasta la fecha, Snort es la tecnología de detección y prevención de intrusiones más ampliamente implementada en todo el mundo y se ha convertido en el estándar de facto para la industria.

    Snort lee el tráfico de red y puede buscar cosas como "prueba de manejo con lápiz" donde alguien simplemente ejecuta un escaneo de metasploit completo contra sus servidores. Bueno saber este tipo de cosas, en mi opinión.

  • Utilizar los registros ...

    Dependiendo de su uso, puede configurarlo para que sepa cuándo un usuario inicia sesión, o inicia sesión desde una IP extraña, o cuando la raíz inicia sesión, o cuando alguien intenta iniciar sesión. De hecho, el servidor me envía un correo electrónico con cada mensaje de registro superior a Debug. Sí, incluso Aviso. Filtrado algunos de ellos, por supuesto, pero cada mañana cuando recibo 10 correos electrónicos sobre cosas, me dan ganas de arreglarlo para que deje de suceder.

  • Supervise su configuración: de hecho, mantengo todo mi / etc en subversion para poder seguir las revisiones.

  • Ejecutar análisis. Herramientas como Lynis y Rootkit Hunter pueden brindarle alertas sobre posibles agujeros de seguridad en sus aplicaciones. Hay programas que mantienen un hash o un árbol de hash de todos sus contenedores y pueden alertarlo sobre los cambios.

  • Supervise su servidor: al igual que mencionó el espacio en disco, los gráficos pueden darle una pista si algo es inusual. Uso Cacti para vigilar la CPU, el tráfico de red, el espacio en disco, las temperaturas, etc. Si algo parece extraño, es extraño y deberías averiguar por qué es extraño.

Tom Ritter
fuente
+1 para / etc en subversion!
Andy Lee Robinson
Sin saber sobre SNORT, comencé a escribir mi propio IDS hace 10 años, pero aún no lo he publicado. Analiza registros de syslogs / apache canalizados en tiempo real usando perl y mysql con iptables. Si hay N eventos en un período, o inmediatos (w00tw00t, etc.), la dirección se corta con un cortafuegos, se agrega a un dnsbl y genera una queja al ISP. El 95% de los ISP son delincuentes, por lo que crea una lista negra de ISP defectuosos a partir de correos devueltos mediante sendmail y mysql, aunque tiene cierto éxito en la limpieza de máquinas comprometidas y proporciona cierta satisfacción.
Andy Lee Robinson
2

Automatice todo lo que pueda ... eche un vistazo a proyectos como OSSEC http://www.ossec.net/ Instalación de cliente / servidor ... configuración realmente fácil y el ajuste tampoco es malo. Una manera fácil de saber si algo ha cambiado, incluidas las entradas del registro. Incluso en una tienda pequeña, me gustaría configurar un servidor syslog para que pueda digerir todos sus registros en un solo lugar. Visite el agente de syslog http://syslogserver.com/syslogagent.html si solo está buscando enviar sus registros de Windows a un servidor de Syslog para su análisis.

Trent
fuente
2

En Linux, uso logcheck para informar regularmente entradas sospechosas en mis archivos de registro. También es muy útil para detectar eventos inesperados no relacionados con la seguridad.

Mikeage
fuente
Ese dominio está a la venta ahora, la herramienta no se puede encontrar allí.
Andreas Reiff