【TechTarget中國原創】 對企業網絡中的服務器發掘對攻擊者來說是個巨大的賺錢機器。 攻破(Pwn)DMZ區中的企業文件服務器,攻擊者很可能獲得所有敏感用戶數據。成功入侵數據庫服務器,可以在網絡中造成更多的破壞。獲取域控制器的訪問特權,攻擊者可以獲得域控制器相關的近乎所有數據。 為了能夠盡職盡責,系統管理員必須謹慎了解自己以及自己的團隊,並掌握更多有用的服務器安全工具與機制。
別攔着我,兄弟 Bro Network Security Monitor是一款基於BSD許可證的(一個簡單、寬容和免費的計算機軟件許可證)開源網絡監控工具,允許幾乎不受限制的使用。當它被安裝在連接網絡的設備上,Bro會嗅探進出設備網口的所有流量。Bro與簡單網絡監控工具,如Wireshark和Snort不同之處在於,它能夠將所有流量分解納入相關的日志文件並加以組織,而不是簡單的發出流量告警。 例如,某台設備連接了網絡,並為默認配置。Bro會以 .pcap的格式捕捉所有進入和流出的流量,並且根據類型將每個數據包按順序記錄到日志文件中。如果一個HTTP包被捕獲,就會被發送到http.log文件。如果一個DHCP包被捕獲,就會被記錄到dhcp.log文件,而且該行為會根據各種協議類型進行分類並重復執行。如果在分析后系統管理員認為某些HTTP流量是惡意的,可以配置Bro阻止相關流量。所有的一些都可以腳本實現,靈活性不言而喻。 Bro必須運行在Unix或類Unix平台上,考慮到充分發揮Bro的潛在實力,系統管理員應該學習Bro腳本語言。因為Bro是捕捉網絡層的數據包,任何服務器OS都可以使用。Bro不但免費而且功能強大,在與Bro的優勢相比,學習的成本微乎其微。 讓我們開始查看日志吧 在Linux服務器環境中,系統管理可能認為有必要檢測每台服務器上的流量。
使用Logwatch。Logwatch專注於個體Linux服務器,而不是服務器所在的整個網絡。進一步說,Logwatch檢測服務器的日志,並且將值得注意的活動通過電子郵件發送給系統管理員。 例如,Linux管理員最常見的跟蹤就是Secure Shell(SSH)活動記錄。Logwatch會通知管理員有多少次針對服務器成功或失敗的SSH嘗試,以及root用戶登錄嘗試的次數。跟蹤這些信息可以讓系統管理員對誰成功或未成功連接服務器心有成竹。 Logwatch主要是一款Linux工具,系統管理員可以通過如下命令下載和安裝Logwatch: sudo apt-get install logwatch 隨后,系統管理員需要編輯Logwatch.conf配置文件以給必要的人發送電子郵件提醒。接着,配置Logwatch對特定的流量發送告警,或先采用默認配置,再根據需要編輯配置文件。
我們可以失敗后封停 與Logwatch兼具同樣的精神,Fail2ban是一款開源、免費、基於Linux和日志文件的入侵防御系統類安全工具。 與Logwatch類似,Fail2ban着重於保護各自獨立的服務器,而不是企業網絡的活動,但其不同在於,它能夠阻止某些類型的活動,而不只是簡單告警。工具可以檢測本地日志和搜索匹配惡意活動的關鍵字。一旦檢測到惡意活動,Fail2ban會記錄活動的源IP地址,並將該IP地址插入到防火牆的DROP 規則中。 Linux服務器的系統管理員主要采用Fail2ban來鞏固Linux服務,如Apache、SSH或Courier,首先可以通過下列命令下載和安裝Fail2ban: sudo apt-get install fail2ban 根據服務器的配置,Fail2ban可以在守護進行已經運行的情況下進行安裝。因此,系統管理員需要檢查Jail配置文件並插入希望阻止或忽略的IP地址。接着通過命令重啟Fail2ban守護進程: sudo /etc/init.d/fail2ban restart 接下來,Fail2ban會開始檢查本地文件,並且把判斷為惡意IP地址的通信流量阻斷。
TechTarget中國原創內容,原文鏈接: http://www.searchsv.com.cn/showcontent_92387.htm
© TechTarget中國:http://www.techtarget.com.cn