¿Qué significan las entradas del registro de auditoría de UFW?

11

A veces recibo muchas de estas entradas de registro de AUDITORÍA en 

...

[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0

...

¿Cuál es el significado de este? ¿Cuándo ocurren y por qué? ¿Debería y puedo desactivar estas entradas específicas? No deseo deshabilitar el registro UFW, pero no estoy seguro de si estas líneas son útiles en absoluto.

Tenga en cuenta que esto no ocurre realmente en /var/log/ufw.log. Solo ocurre en /var/log/syslog. ¿Por qué es este el caso?

Más información

  • mi registro se establece en medio: Logging: on (medium)
firewall logging ufw Tom
fuente

Respuestas:

3

Establezca su inicio de sesión lowpara eliminar los AUDITmensajes.

El propósito de AUDIT (por lo que estoy viendo) está relacionado con el registro no predeterminado / recomendado; sin embargo, eso es una suposición, y parece que no puedo encontrar nada concreto con eso.

jrg
fuente
El nivel de registro está en el menú de opciones.
MUY Bélgica
@MUYBelgium menú de opciones de qué herramienta?
jrg
9

Eso depende de la línea. Por lo general, es Campo = valor.

Hay IN, OUT, la interfaz entrante o saliente (o ambos, para el paquete que se acaba de retransmitir).

Algunos de ellos son:

  • TOS , por tipo de servicio,
  • DST es ip de destino,
  • SRC es fuente ip
  • TTL es hora de vivir, un pequeño contador decrementa cada vez que se pasa un paquete a través de otro enrutador (por lo tanto, si hay un bucle, el paquete se destruye una vez a 0)
  • DF es un bit de "no fragmentar", que pide que el paquete no se fragmente cuando se envía
  • PROTO es el protocolo (principalmente TCP y UDP)
  • SPT es el puerto de origen
  • DPT es el puerto de destino

etc.

Debería echar un vistazo a la documentación de TCP / UDP / IP, donde todo se explica de una manera más detallada que podría hacer.

Tomemos el primero, eso significa que 176.58.105.134 envió un paquete UDP en el puerto 123 para 194.238.48.2. Eso es para ntp. Así que supongo que alguien intenta usar su computadora como un servidor ntp, probablemente por error.

Para la otra línea, eso es curioso, eso es tráfico en la interfaz de bucle invertido (lo), es decir, eso no va a ninguna parte, va y viene de su computadora.

Verificaría si algo está escuchando en el puerto tcp 30002 con lsofo netstat.

Misceláneos
fuente
Gracias. El puerto 30002 es un árbitro mongodb en ejecución. Sin ntpembargo, no sé nada , ¿debería preocuparme?
Tom
No. NTP es solo para establecer el tiempo, probablemente ya lo haya usado sin saberlo (cuando marca "usar red para sincronizar el tiempo" en gnome, usa ntp). Simplemente sincroniza el tiempo en una red. ¿Quizás la ip era parte del grupo global de la red ntp ( pool.ntp.org/fr ), de ahí la solicitud de alguien en Internet?
Varios
2

Además de lo que se ha dicho, también es posible inferir lo que se registrará mediante la inspección de las reglas de iptables . Específicamente, las reglas de coincidencia que se están registrando se pueden filtrar así sudo iptables -L | grep -i "log":

ufw-before-logging-input  all  --  anywhere             anywhere
ufw-after-logging-input  all  --  anywhere             anywhere
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-before-logging-output  all  --  anywhere             anywhere
ufw-after-logging-output  all  --  anywhere             anywhere
Chain ufw-after-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG        all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)

Esas son, en su mayor parte, reglas predeterminadas. La inspección de la salida anterior revela las ufw-before-*cadenas para generar registros de [AUDITORÍA UFW ...].

No soy un gran experto en iptables y el manual de UFW no es muy útil en esto, pero por lo que puedo decir, las reglas que coinciden con esta cadena se encuentran en /etc/ufw/before.rules .

Por ejemplo, las líneas a continuación permiten conexiones de bucle invertido que podrían haber activado las dos últimas líneas de ejemplo en su registro (las que comienzan con [UFW AUDIT] IN = lo)

# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....

En cuanto a mi parte, recibo muchos paquetes LLMNR registrados en el puerto 5353:

Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126

Que creo que son causadas por el siguiente en rules.before:

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

Una forma de desactivarlos es activar lo siguiente:

sudo ufw deny 5353
Sebastian Müller
fuente