Изучаем порты, которые часто подвергаются сканированию.
Если вы включите протоколирование пакетов, удаленных брандмауэром, вы увидите, что с внешних узлов предпринимаются попытки доступа лишь к немногим портам. (Следует заметить, что новые средства сканирования могут обращаться к портам так, что сообщения в файл протокола не записываются.) Как правило, пользователя, выполняющего сканирование, интересует конкретный порт.
Наиболее часто подвергающиеся сканированию – это порты, которые используются серверами, известными своими недостатками в системе защиты, либо службами, которые обычно избираются в качестве мишеней для атак. Открытые порты и связанные с ними проблемы периодически становятся объектами дискуссий, проводимых CERT.
Средства для автоматического анализа файлов протоколов
В настоящее время существуют инструментальные средства, которые анализируют и отображают содержимое файлов протоколов, сообщают о наличии в них необычных записей и даже автоматически выполняют заранее предписанные действия. Соответствующие программы могут постоянно находиться в памяти, периодически запускаться посредством cron или вызываться вручную.
Одно из средств анализа файлов протоколов, swatch, поставляется в комплекте с Red Hat Linux. Кроме того, по Internet распространяются средства подобного назначения, выпущенные независимыми производителями. В данном разделе рассматриваются три пакета, предназначенных для обработки файлов протоколов autobuse, logcheck и swatch. Каждый из них можно сконфигурировать так, чтобы он передавал по почте сообщения об определенных событиях.
Autobuse
Программа autobuse периодически проверяет содержимое файлов протоколов на наличие записей, свидетельствующих о попытках обращения к портам. Сообщения о записях, которые могут вызывать опасение у администратора, передаются по почте. Данный пакет можно скопировать из Internet, обратившись по адресу http//www.picante.com/~gtaylor/download/autobuse/.
Logcheck
Программа logcheck также периодически проверяет записи файлов протоколов, пытаясь обнаружить нарушения средств зашиты или свидетельства неожиданной активности пользователей. Полученные результаты передаются по электронной почте. Программа logcheck заранее сконфигурирована для распознавания многих типов записей, требующих внимания администратора. (Лично я использовал logcheck для проверки своей системы. На мой взгляд это очень полезный продукт.) Копию logcheck можно найти на сервере http/www.psionic.com.
Swatch
Простая программа просмотра файлов протоколов swatch может быть настроена для фильтрации содержимого файлов протоколов и отображения результатов. При обнаружении в файле протокола записи, совпадающей с заранее определенным образцом, swatch может предпринимать действия, заданные пользователем. Программа swatch периодически запускается с помощью демона сгоп. Она также может постоянно выполняться в фоновом режиме. Как было сказано выше, swatch поставляется в комплекте с Red Hat Linux.
Резюме
В данной статье рассматривались средства, позволяющие выяснить, какие из программ выполняются в системе и какие порты они используют при взаимодействии по сети. Для контроля за процессами, присутствующими в системе, могут использоваться программы ifconfig, ping, netstat и ps. Сообщения о состоянии ядра системы и серверов, а также сообщения об ошибках записываются в файлы протоколов, которые обычно располагаются в каталоге /var/log. Распределение сообщений по файлам протоколов задается с помощью конфигурационного файла /etc/syslog. conf. В данной главе также обсуждались порты, наиболее часто подвергающиеся сканированию. С ними связаны многие из сообщений, генерируемых брандмауэром. Кроме того, здесь были описаны средства автоматического анализа файлов протоколов, как поставляемые в составе Linux, так и распространяемые независимыми производителями. Эти программы могут быть сконфигурированы так, что они будут оповещать администратора по почте о наступлении определенных событий и автоматически выполнять заданные действия.
Данный блог создан на основе замечательной CMS WordPress. Периодически ищу для wordpress плагины . Плагинов под эту CMS очень много, как полезных, так и неочень. На сайте http://plugins-wordpress.ru можно найти множество новых и полезных плагинов.