Как я могу обнаружить нежелательные вторжения на мои серверы?
Как другие администраторы контролируют свои серверы для обнаружения любых попыток несанкционированного доступа и / или взлома? В крупной организации легче бросить людей на проблему, но в меньшем магазине, как вы можете эффективно контролировать свои серверы?
Я склонен сканировать журналы сервера в поисках чего-то, что бросается в глаза, но это действительно легко пропустить. В одном случае нам не хватило места на жестком диске: наш сервер стал FTP-сайтом - они отлично поработали, скрыв файлы, покопавшись в таблице FAT. Если вы не знаете конкретное имя папки, оно не будет отображаться в Проводнике, из DOS или при поиске файлов.
Какие еще методы и / или инструменты используют люди?
3 ответа
Это частично зависит от того, на какой системе вы работаете. Я изложу некоторые предложения для Linux, потому что я более знаком с ним. Большинство из них относится и к Windows, но я не знаю, инструменты...
Используйте IDS
SNORT® - это система с открытым исходным кодом для предотвращения и обнаружения вторжений, использующая язык на основе правил, который сочетает в себе преимущества методов проверки на основе сигнатур, протоколов и аномалий. На сегодняшний день Snort является самой распространенной технологией обнаружения и предотвращения вторжений, которая стала стандартом де-факто для отрасли.
Snort считывает сетевой трафик и может искать такие вещи, как "тестирование с помощью пера", когда кто-то просто выполняет полное сканирование метасплойтов на ваших серверах. Приятно знать такие вещи, на мой взгляд.
Используйте журналы...
В зависимости от вашего использования вы можете настроить его так, чтобы вы знали, когда пользователь входит в систему или входит с нечетного IP-адреса, или всякий раз, когда root входит в систему, или когда кто-то пытается войти в систему. На самом деле у меня есть сервер, который посылает мне по электронной почте каждое сообщение в журнале выше, чем Debug. Да, даже обратите внимание. Конечно, я отфильтровываю некоторые из них, но каждое утро, когда я получаю 10 писем о вещах, мне хочется исправить это, чтобы это перестало происходить.
Контролируйте свою конфигурацию - я фактически держу весь мой / etc в subversion, чтобы я мог отслеживать изменения.
Запустите сканирование. Такие инструменты, как Lynis и Rootkit Hunter, могут предупредить вас о возможных пробелах в ваших приложениях. Существуют программы, которые поддерживают хэш или дерево хешей всех ваших корзин и могут предупреждать вас об изменениях.
Контролируйте свой сервер - так же, как вы упомянули дисковое пространство - графики могут дать вам подсказку, если что-то необычное. Я использую Cacti, чтобы следить за процессором, сетевым трафиком, дисковым пространством, температурой и т. Д. Если что-то выглядит странно, это странно, и вы должны выяснить, почему это странно.
В Linux я использую logcheck, чтобы регулярно сообщать о подозрительных записях в моих файлах журнала. Это также очень полезно для обнаружения непредвиденных событий, не связанных с безопасностью.
Автоматизируйте все, что вы можете... взгляните на такие проекты, как OSSEC http://www.ossec.net/ Установка клиент / сервер... действительно простая установка, и настройка тоже неплохая. Простой способ узнать, если что-то было изменено, включая записи в реестре. Даже в небольшом магазине я бы посмотрел на настройку сервера системного журнала, чтобы вы могли переварить все ваши журналы в одном месте. Обратитесь к агенту системного журнала http://syslogserver.com/syslogagent.html если вы только хотите отправить свои журналы Windows на сервер системного журнала для анализа.