Що означають записи журналу аудиту UFW?

11

Я іноді отримую багато цих записів журналу AUDIT

...

[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0

...

У чому сенс цього? Коли вони виникають і чому? Чи потрібно і чи можу я відключити ці конкретні записи? Я не хочу відключати журнал UFW, але я не впевнений, чи корисні ці рядки взагалі.

Зауважте, що це насправді не відбувається в /var/log/ufw.log. Це відбувається лише в /var/log/syslog. Чому це так?

Більше інформації

мій журнал встановлений на середній: Logging: on (medium)

firewall logging ufw

— Том
джерело

3

Установіть свій журнал, lowщоб видалити AUDITповідомлення.

Мета AUDIT (з того, що я бачу) пов'язана з нереєстрованим / рекомендованим веденням журналу - однак, це здогадка, і я не можу знайти щось конкретне з цим.

— jrg
джерело

Рівень журналу знаходиться в меню опцій.

— МУЙ Бельгія

@MUYБельгійні опції меню того інструменту?

— jrg

9

Це залежить від лінії. Зазвичай це поле = значення.

Існує IN, OUT, вхідний інтерфейс або вихідний (або те й інше) для пакетів, які щойно ретранслюються.

Кілька з них:

TOS , для типу послуги,
DST - це ip призначення,
SRC є джерелом ip
TTL час жити, невеликий лічильник зменшується щоразу, коли пакет передається через інший маршрутизатор (тому, якщо є цикл, пакет знищується один раз до 0)
DF - біт "не фрагмент", просить пакет, щоб він не був фрагментований при надсиланні
PROTO - це протокол (переважно TCP та UDP)
SPT - вихідний порт
DPT - порт призначення

тощо.

Вам слід поглянути на документацію TCP / UDP / IP, де все пояснено більш детально, що я коли-небудь міг би зробити.

Візьмемо перший, що означає, що 176.58.105.134 надіслав пакет UDP на порт 123 за 194.238.48.2. Це для ntp. Тож я здогадуюсь, хтось спробує використовувати ваш комп'ютер як сервер ntp, швидше за все, помилково.

Для іншого рядка, який цікаво, це трафік на інтерфейсі петлі (lo), тобто він нікуди не дінеться, він іде і надходить з вашого комп'ютера.

Я хотів би перевірити, чи щось слухає на порту tcp 30002 з lsofабо netstat.

— Різне
джерело

Дякую. Порт 30002 працює арбітром mongodb. Я нічого про це не знаю ntp, чи варто хвилюватися?

— Том

Ні. NTP - це просто встановити час, який ви, ймовірно, вже використовували, не знаючи (коли ви перевіряєте "використовувати мережу для синхронізації часу" в gnome, він використовує ntp). Він просто синхронізує час у мережі. Можливо, ip був частиною глобального пулу мережі ntp ( pool.ntp.org/fr ), звідси запит когось із Інтернету?

— Різне

2

На додаток до сказаного, можна також зробити висновок про те, що буде записано, перевіривши правила iptables . Зокрема, відповідні правила, які реєструються, можуть бути відфільтровані так sudo iptables -L | grep -i "log":

ufw-before-logging-input  all  --  anywhere             anywhere
ufw-after-logging-input  all  --  anywhere             anywhere
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-before-logging-output  all  --  anywhere             anywhere
ufw-after-logging-output  all  --  anywhere             anywhere
Chain ufw-after-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG        all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)

Це здебільшого правила за замовчуванням. Перевірка результатів вище виявляє ufw-before-*ланцюги для формування [UFW AUDIT ..] журналів.

Я не великий фахівець з iptables, і посібник з UFW не дуже допомагає в цьому, але наскільки я можу сказати правила, які відповідають цьому ланцюжку, перебувайте в /etc/ufw/before.rules .

Наприклад, рядки нижче дозволяють зворотне з'єднання, яке, можливо, викликало два останні приклади рядка у вашому журналі (ті, що починаються з [UFW AUDIT] IN = lo)

# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....

Що стосується мого боку, я отримую багато зареєстрованих пакетів LLMNR на порту 5353:

Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126

На мою думку, це викликано наступним rules.before:

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

Один із способів їх деактивації полягає в тому, щоб виконувати наступні дії:

sudo ufw deny 5353

— Себастьян Мюллер
джерело