it-swarm-es.com

¿Cómo puedo detectar intrusiones no deseadas en mis servidores?

¿Cómo monitorean otros administradores sus servidores para detectar cualquier acceso no autorizado y/o intentos de piratería? En una organización más grande, es más fácil lanzar a la gente al problema, pero en una tienda más pequeña, ¿cómo puede monitorear eficazmente sus servidores?

Tiendo a escanear los registros del servidor en busca de cualquier cosa que me llame la atención, pero es muy fácil pasar por alto cosas. En un caso, nos avisó el poco espacio en el disco duro: nuestro servidor fue tomado como un sitio FTP; hicieron un gran trabajo ocultando los archivos jugando con la tabla FAT. A menos que conozca el nombre específico de la carpeta, no aparecerá en el Explorador, en DOS o al buscar archivos.

¿Qué otras técnicas y/o herramientas están usando las personas?

16
Paul Mrozowski

Depende en parte del tipo de sistema en el que esté ejecutando. Esbozaré algunas sugerencias para Linux, porque estoy más familiarizado con él. La mayoría de ellos también se aplican a Windows, pero no conozco las herramientas ...

  • Utilice un IDS

    SNORT® es un sistema de detección y prevención de intrusiones en redes de código abierto que utiliza un lenguaje basado en reglas, que combina los beneficios de los métodos de inspección basados ​​en firmas, protocolos y anomalías. Con millones de descargas hasta la fecha, Snort es la tecnología de prevención y detección de intrusos más implementada en todo el mundo y se ha convertido en el estándar de facto para la industria.

    Snort lee el tráfico de la red y puede buscar cosas como "pruebas de manejo por lápiz" en las que alguien simplemente ejecuta un escaneo completo de metasploit en sus servidores. Es bueno saber este tipo de cosas, en mi opinión.

  • Usa los registros ...

    Dependiendo de su uso, puede configurarlo para saber cada vez que un usuario inicia sesión, o inicia sesión desde una IP extraña, o cuando la raíz inicia sesión, o cuando alguien intenta iniciar sesión. De hecho, el servidor me envía un correo electrónico cada mensaje de registro superior a Debug. Sí, incluso Note. Filtre algunos de ellos, por supuesto, pero cada mañana cuando recibo 10 correos electrónicos sobre cosas, me dan ganas de arreglarlo para que deje de suceder.

  • Supervise su configuración: de hecho, mantengo todo mi/etc en Subversion para poder realizar un seguimiento de las revisiones.

  • Ejecute escaneos. Herramientas como Lynis y Rootkit Hunter pueden darle alertas sobre posibles agujeros de seguridad en sus aplicaciones. Hay programas que mantienen un hash o un árbol de hash de todos sus contenedores y pueden alertarlo sobre cambios.

  • Supervise su servidor, tal como mencionó el espacio en disco, los gráficos pueden darle una pista si algo es inusual. Yo uso Cacti para vigilar la CPU, el tráfico de red, el espacio en disco, las temperaturas, etc. Si algo se ve extraño es extraño y deberías descubrir por qué es extraño.

9
Tom Ritter

Automatice todo lo que pueda ... eche un vistazo a proyectos como OSSEC http://www.ossec.net/ Instalación cliente/servidor ... configuración realmente fácil y el ajuste tampoco está mal. Una forma sencilla de saber si se ha cambiado algo, incluidas las entradas del registro. Incluso en una tienda pequeña, consideraría configurar un servidor de Syslog para que pueda digerir todos sus registros en un solo lugar. Consulte el agente syslog http://syslogserver.com/syslogagent.html si solo desea enviar sus registros de Windows a un servidor syslog para su análisis.

2
trent

En Linux, utilizo logcheck para informar regularmente sobre entradas sospechosas en mis archivos de registro. También es muy útil para detectar eventos inesperados no relacionados con la seguridad.

2
Mikeage