Cosa significano le voci del registro di controllo di UFW?

11

A volte ricevo molte di queste voci di registro AUDIT 

...

[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0

...

Qual'è il significato di questo? Quando si verificano e perché? Devo e posso disabilitare queste voci specifiche? Non desidero disabilitare la registrazione UFW, ma non sono sicuro che queste righe siano utili.

Si noti che questo non si verifica effettivamente in /var/log/ufw.log. Si verifica solo in /var/log/syslog. Perché è così?

Ulteriori informazioni

  • la mia registrazione è impostata su media: Logging: on (medium)
firewall  logging  ufw 
Tom
fonte

Risposte:

3

Impostare la registrazione su lowper rimuovere i AUDITmessaggi.

Lo scopo di AUDIT (da quello che sto vedendo) è legato alla registrazione non predefinita / consigliata - tuttavia, questa è un'ipotesi e non riesco a trovare nulla di concreto con quello.

JRG
fonte
Il livello del registro è nel menu delle opzioni.
MUY Belgio,
@MUYBelgium menu delle opzioni di quale strumento?
giovedì
9

Dipende dalla linea. Di solito, è Field = value.

C'è IN, OUT, l'interfaccia in entrata o in uscita (o entrambi, per i pacchetti che sono appena inoltrati.

Alcuni di essi sono:

  • TOS , per Tipo di servizio,
  • DST è l'IP di destinazione,
  • SRC è IP di origine
  • TTL è il tempo di vivere, un piccolo contatore diminuisce ogni volta che un pacchetto viene passato attraverso un altro router (quindi se c'è un ciclo, il pacchetto si distrugge da solo una volta a 0)
  • DF è "non frammentare" bit, chiedendo al pacchetto di non essere frammentato quando inviato
  • PROTO è il protocollo (principalmente TCP e UDP)
  • SPT è la porta di origine
  • DPT è la porta di destinazione

eccetera.

Dovresti dare un'occhiata alla documentazione TCP / UDP / IP, dove tutto è spiegato in modo più dettagliato che io possa mai fare.

Prendiamo il primo, ciò significa che 176.58.105.134 ha inviato un pacchetto UDP sulla porta 123 per 194.238.48.2. Questo è per ntp. Quindi immagino che qualcuno cerchi di usare il tuo computer come server ntp, probabilmente per errore.

Per l'altra linea, è curioso, questo è il traffico sull'interfaccia di loopback (lo), cioè che non va da nessuna parte, va e viene dal tuo computer.

Vorrei verificare se qualcosa è in ascolto sulla porta tcp 30002 con lsofo netstat.

Varie
fonte
Grazie. La porta 30002 è un arbitro mongodb in esecuzione. Non ne so nulla ntp, dovrei essere preoccupato?
Tom,
No. NTP è solo per impostare il tempo, che probabilmente hai già usato senza saperlo (quando selezioni "usa la rete per sincronizzare il tempo" in gnome, usa ntp). Sincronizza semplicemente il tempo attraverso una rete. Forse l'ip faceva parte del pool globale di rete ntp ( pool.ntp.org/fr ), quindi la richiesta da qualcuno su Internet?
Misc
2

Oltre a quanto detto, è anche possibile dedurre ciò che verrà registrato controllando le regole di iptables . In particolare, le regole corrispondenti che vengono registrate possono essere filtrate in questo modo sudo iptables -L | grep -i "log":

ufw-before-logging-input  all  --  anywhere             anywhere
ufw-after-logging-input  all  --  anywhere             anywhere
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-before-logging-output  all  --  anywhere             anywhere
ufw-after-logging-output  all  --  anywhere             anywhere
Chain ufw-after-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG        all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)

Quelle sono per lo più regole predefinite. Ispezionando l'output sopra, vengono rivelate le ufw-before-*catene per generare i log [UFW AUDIT ..].

Non sono un grande esperto di iptables e il manuale UFW non è molto utile in questo, ma per quanto posso dire le regole che corrispondono a questa catena si trovano in /etc/ufw/before.rules .

Ad esempio, le righe seguenti consentono connessioni loopback che potrebbero aver attivato le ultime due righe di esempio nel registro (quelle che iniziano con [UFW AUDIT] IN = lo)

# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....

Per quanto mi riguarda, ricevo molti pacchetti LLMNR registrati sulla porta 5353:

Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126

Che penso siano causati da quanto segue in rules.before:

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

Un modo per disattivarli è quello di avviare:

sudo ufw deny 5353
Sebastian Müller
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.