Come posso rilevare intrusioni indesiderate sui miei server?

In che modo gli altri amministratori monitorano i propri server per rilevare eventuali accessi non autorizzati e / o tentativi di hacking? In un'organizzazione più grande è più facile far conoscere il problema alle persone, ma in un negozio più piccolo come è possibile monitorare efficacemente i server?

Tendo a scansionare i registri del server alla ricerca di tutto ciò che mi salta fuori, ma è davvero facile perdere qualcosa. In un caso siamo stati esclusi da uno spazio insufficiente sul disco rigido: il nostro server è stato acquisito come sito FTP - hanno fatto un ottimo lavoro nascondendo i file giocando con la tabella FAT. A meno che non conoscessi il nome specifico della cartella che non verrà visualizzato in Explorer, da DOS o durante la ricerca di file.

Quali altre tecniche e / o strumenti stanno usando le persone?

Dipende in parte dal tipo di sistema su cui stai eseguendo. Descriverò alcuni suggerimenti per Linux, perché ne ho più familiarità. La maggior parte si applica anche a Windows, ma non conosco gli strumenti ...

• Usa un IDS

  SNORT® è un sistema di prevenzione e rilevamento delle intrusioni di rete open source che utilizza un linguaggio basato sulle regole, che combina i vantaggi dei metodi di ispezione basati su firma, protocollo e anomalie. Con milioni di download fino ad oggi, Snort è la tecnologia di rilevamento e prevenzione delle intrusioni più diffusa al mondo ed è diventata di fatto lo standard per l'industria.

  Snort legge il traffico di rete e può cercare cose come "test drive by pen" in cui qualcuno esegue solo una scansione metasploit completa sui tuoi server. Bello sapere questo genere di cose, secondo me.

• Usa i registri ...

  A seconda dell'utilizzo, è possibile configurarlo in modo da sapere ogni volta che un utente accede, o accede da un IP dispari, o ogni volta che si accede alla radice o ogni volta che qualcuno tenta di accedere. In realtà ho il server e-mail me ogni messaggio di registro superiore a Debug. Sì, anche avviso. Ovviamente ne filtro alcuni, ma ogni mattina quando ricevo 10 e-mail su cose mi viene voglia di risolverlo in modo che non accada più.

• Monitora la tua configurazione - In realtà mantengo il mio intero / etc in sovversione in modo da poter tenere traccia delle revisioni.

• Esegui scansioni. Strumenti come Lynis e Rootkit Hunter possono avvisarti di possibili falle nella sicurezza delle tue applicazioni. Esistono programmi che mantengono un albero di hash o hash di tutti i tuoi contenitori e possono avvisarti delle modifiche.

• Monitora il tuo server - Proprio come hai detto spazio su disco - i grafici possono darti un suggerimento se qualcosa è insolito. Uso i cactus per tenere d'occhio CPU, traffico di rete, spazio su disco, temperature, ecc. Se qualcosa sembra strano è strano e dovresti scoprire perché è strano.

Automatizza tutto ciò che puoi ... dai un'occhiata a progetti come OSSEC http://www.ossec.net/ Installazione client / server ... installazione davvero semplice e anche la messa a punto non è male. Un modo semplice per sapere se qualcosa è stato cambiato, comprese le voci di registro. Anche in un piccolo negozio guarderei alla configurazione di un server syslog in modo da poter digerire tutti i log in un unico posto. Controlla l'agente syslog http://syslogserver.com/syslogagent.html se stai solo cercando di inviare i log di Windows a un server syslog per l'analisi.

Su Linux, utilizzo logcheck per segnalare regolarmente voci sospette nei miei file di registro. È anche molto utile per rilevare eventi imprevisti non correlati alla sicurezza.