it-swarm-ko.tech

내 서버에서 원치 않는 침입을 어떻게 감지 할 수 있습니까?

다른 관리자는 무단 액세스 및/또는 해킹 시도를 감지하기 위해 서버를 어떻게 모니터링합니까? 규모가 큰 조직에서는 사람들을 문제에 던지는 것이 더 쉽지만 소규모 상점에서는 어떻게 효과적으로 서버를 모니터링 할 수 있습니까?

나는 서버 로그를 훑어 보며 튀어 나온 것을 찾는 경향이 있지만, 놓치기 쉽습니다. 한 가지 경우에는 하드 드라이브 공간이 부족하여 우리 서버가 FTP 사이트로 사용되었습니다. FAT 테이블을 엉망으로 만들어 파일을 숨길 수있었습니다. 폴더의 특정 이름을 모르면 탐색기, DOS 또는 파일 검색시 표시되지 않습니다.

사람들이 사용하는 다른 기술 및/또는 도구는 무엇입니까?

16
Paul Mrozowski

부분적으로 실행중인 시스템 유형에 따라 다릅니다. Linux에 대해 더 잘 알고 있으므로 몇 가지 제안 사항을 설명하겠습니다. 대부분은 Windows에도 적용되지만 도구를 모르겠습니다.

  • IDS 사용

    SNORT®는 서명, 프로토콜 및 이상 징후 기반 검사 방법의 이점을 결합한 규칙 기반 언어를 사용하는 오픈 소스 네트워크 침입 방지 및 탐지 시스템입니다. 현재까지 수백만 건의 다운로드를 기록한 Snort는 전 세계적으로 가장 널리 배포 된 침입 탐지 및 방지 기술이며 업계의 사실상 표준이되었습니다.

    Snort는 네트워크 트래픽을 읽고 누군가가 서버에 대해 전체 메타 스플로 잇 스캔을 실행하는 "드라이브 바이 펜 테스트"와 같은 것을 찾을 수 있습니다. 제 생각에는 이런 종류의 것들을 아는 것이 좋습니다.

  • 로그 사용 ...

    사용량에 따라 사용자가 로그인 할 때마다 또는 홀수 IP에서 로그인 할 때마다, 루트로 로그인 할 때마다 또는 누군가가 로그인을 시도 할 때마다 알 수 있도록 설정할 수 있습니다. 나는 실제로 서버가 디버그보다 높은 로그 메시지를 저에게 이메일을 보냅니다. every. 예, 심지어 통지합니다. 물론 일부는 필터링하지만 매일 아침 10 개의 이메일을 받으면 문제를 해결하고 싶어서 문제가 발생하지 않게됩니다.

  • 구성 모니터링-실제로 수정 내용을 추적 할 수 있도록 전체/etc를 Subversion에 보관합니다.

  • 스캔을 실행하십시오. LynisRootkit Hunter 와 같은 도구는 애플리케이션의 가능한 보안 허점에 대한 경고를 제공 할 수 있습니다. 모든 빈의 해시 또는 해시 트리를 유지하고 변경 사항을 경고 할 수있는 프로그램이 있습니다.

  • 서버 모니터링-디스크 공간에 대해 언급했듯이-그래프는 특이한 사항이있을 경우 힌트를 제공 할 수 있습니다. CPU, 네트워크 트래픽, 디스크 공간, 온도 등을 감시하기 위해 Cacti 를 사용합니다. 만약 무언가 looks 이상하다면 is = 이상하고 왜 이상한지 알아 내야합니다.

9
Tom Ritter

가능한 모든 것을 자동화하십시오 ... OSSEC와 같은 프로젝트를 살펴보십시오 http://www.ossec.net/ 클라이언트/서버 설치 ... 정말 쉬운 설정 및 조정도 나쁘지 않습니다. 레지스트리 항목을 포함하여 변경된 사항이 있는지 쉽게 알 수 있습니다. 작은 상점에서도 한곳에서 모든 로그를 소화 할 수 있도록 syslog 서버를 설정하는 방법을 살펴 보겠습니다. 분석을 위해 Windows 로그를 syslog 서버로 보내려는 경우에만 syslog 에이전트 http://syslogserver.com/syslogagent.html 를 확인하십시오.

2
trent

Linux에서는 logcheck 를 사용하여 로그 파일의 의심스러운 항목을 정기적으로보고합니다. 또한 비보안 관련 예기치 않은 이벤트를 감지하는 데 매우 유용합니다.

2
Mikeage