Як я можу виявити небажані вторгнення на своїх серверах?

Як інші адміністратори відстежують свої сервери, щоб виявити будь-який несанкціонований доступ та / або хакерські спроби? У більшій організації легше кинути людей на проблему, але в меншому магазині, як можна ефективно контролювати свої сервери?

Я схильний сканувати серверні журнали, шукаючи все, що вискакує на мене, але дуже легко пропустити речі. В одному випадку нас наштовхнуло на невеликий простір на жорсткому диску: наш сервер був захоплений як FTP-сайт - вони зробили чудову роботу, приховавши файли, заплутавшись у таблиці FAT. Якщо ви не знали конкретну назву папки, вона не відображатиметься в Провіднику, в DOS або під час пошуку файлів.

Які інші методи та / або інструменти використовують люди?

Частково це залежить від того, який тип системи ви працюєте. Я викладу кілька пропозицій для Linux, тому що я з ним більше знайомий. Більшість з них стосується і Windows, але я не знаю інструментів ...

• Використовуйте IDS

  SNORT® - це система запобігання та виявлення вторгнень з відкритим кодом, що використовує мову, керовану правилами, що поєднує в собі переваги методів перевірки підписів, протоколів та аномалій. На сьогоднішній день з мільйонами завантажень Snort - це найбільш широко розгорнута технологія виявлення та запобігання вторгнень у всьому світі і стала фактичним стандартом для галузі.

  Snort читає мережевий трафік і може шукати такі речі, як "диск за допомогою тестування пера", де хтось просто запускає ціле сканування метасплайта на ваші сервери. На мій погляд, добре знати такі речі.

• Використовуйте журнали ...

  Залежно від вашого використання ви можете налаштувати його, щоб ви знали, коли користувач увійде в систему, або ввійде через непарний IP, або кожен раз, коли root увійде в систему, або коли хтось спробує увійти. У мене фактично сервер надсилає по електронній пошті мені кожне повідомлення журналу вище, ніж налагодження. Так, навіть зауважте. Я, звичайно, фільтрую деякі з них, але щоранку, коли отримую 10 електронних листів про речі, це змушує мене виправити це, щоб це перестало відбуватися.

• Контролюйте свою конфігурацію - я фактично тримаю весь / etc в підривному режимі, щоб я міг відслідковувати зміни.

• Виконати сканування. Такі інструменти, як Lynis та Rootkit Hunter, можуть повідомляти про можливі отвори у ваших програмах. Є програми, які підтримують хеш-хеш-дерево всіх ваших бункерів і можуть попередити вас про зміни.

• Контролюйте свій сервер - Так само, як ви згадали на диску, графіки можуть дати вам підказку, якщо щось незвичне Я використовую Кактуси, щоб слідкувати за процесором, мережевим трафіком, дисковим простором, температурою тощо. Якщо щось виглядає дивно, це не дивно, і ви повинні з’ясувати, чому це не дивно.

Автоматизуйте все, що ви можете ... подивіться такі проекти, як OSSEC http://www.ossec.net/ Встановлення клієнта / сервера ... Насправді проста установка і налаштування теж непогана. Простий спосіб визначити, чи щось було змінено, включаючи записи реєстру. Навіть у маленькому магазині я би розглядав налаштування сервера syslog, щоб ви могли переварити всі ваші журнали в одному місці. Ознайомтеся з агентом syslog http://syslogserver.com/syslogagent.html, якщо ви хочете лише надіслати свої журнали Windows на сервер syslog для аналізу.

У Linux я використовую logcheck, щоб регулярно повідомляти про підозрілі записи у своїх файлах журналів. Це також дуже корисно для виявлення несподіваних подій, пов'язаних із безпекою.