내 LUbuntu의 포트가 다른 컴퓨터에서 검색되거나 연결되고 있는지 어떻게 모니터링, 기록 및 확인할 수 있습니까?

내 LUbuntu의 포트가 다른 컴퓨터에서 검색되거나 연결되고 있는지 어떻게 모니터링, 기록 및 확인할 수 있습니까?

LUbuntu 18.04에 postgresql 서버, mysql 서버, vino 서버와 같은 일부 서버를 설치했는데 나도 모르게 일부 서버를 설치하고 실행했을 수 있습니다. 나는 다른 컴퓨터에서 액세스할 계획이 거의 없으며 익숙해질 때까지 서버를 안전하게 구성하기 위한 어떤 조치도 취하지 않았기 때문에 보안 문제가 걱정됩니다.

내 LUbuntu의 포트가 내 로컬 Wi-Fi 내에서 또는 인터넷에서 다른 컴퓨터에 의해 스캔되거나 연결되는지 어떻게 모니터링하고 기록하고 확인합니까(내 로컬 Wi-Fi의 컴퓨터가 내 제어 내에 있거나 외부에서 액세스할 수 있는 경우) 네트워크에서)?

예를 들어, 얼마 전 내 vino 서버는 stdout에 인터넷의 이상한 IP가 내 로컬 Wi-Fi를 해킹하여 연결했다는 메시지를 썼습니다. 그 이후로 실행을 중단했지만 여전히 문제를 해결할 시간이나 아이디어가 없습니다. https://askubuntu.com/questions/1067305/is-my-vino-server-being-attacked Lubuntu에서 실행되는 다른 서버에서도 동일한 문제가 있습니다. 그래서 나는 일시적으로 문제를 감지하기 위해 그들과의 연결을 확인하고 모니터링하고 싶습니다(지식과 기술을 얻을 때까지 문제를 해결하려고 시도하지 않고).

답변1

네트워크/시스템 관리자 관점에서 귀하가 묻는 질문은 일반적으로 더 광범위한 주제이며 귀하의 요구 사항, 규모 및 보안 전략에 따라 다릅니다.

네트워크에서 침입자를 탐지하기 위한 로그 생성기 솔루션에는 다음이 포함됩니다.

  • 애플리케이션별 로그
  • 장치별 로그(예: 방화벽, 라우터...)
  • 인증로그
  • DHCP/DNS 로그
  • iptables 로그
  • 침입탐지솔루션(IDS)
  • 꿀단지
  • 네트워크 스트리밍 솔루션

이러한 로그를 수집하는 경우 일반적으로 다음을 수행할 수 있습니다.

  • 중앙 syslog 서버;
  • 네트워크 흐름 수집기
  • IP 보안 블랙리스트와 같은 외부 이벤트와 로그를 연관시키는 솔루션입니다.

그러나 귀하의 문제 설명에 따르면 방화벽/인터넷에서 내부 네트워크를 효과적으로 분리하는 것이 더 걱정됩니다.

보안/해킹 시스템 세계의 구체적이고 흥미로운 도구에 대한 팁은 다음을 확인하세요.

PSAD는 어떻게 공격을 감지합니까?

포트 스캔 감지는 회선의 패킷을 스니핑하여 수행할 수 있습니다. 이는 많은 침입 탐지 시스템에서 사용되는 접근 방식입니다. 이 경우 PSAD는 단순히 시스템 로그를 읽습니다. Syslog 메시지는 IPTables 방화벽 로깅에 의해 생성됩니다. PSAD 스크립트는 로그를 구문 분석하여 관련 정보를 찾고 간단한 보고서를 생성합니다.

정보 보안 세계에서 가장 흔히 접하는 침입 탐지 시스템(IDS)은 Snort입니다. 이미 알고 계시겠지만 IDS는 데스크탑의 바이러스 백신(AV) 소프트웨어와 유사하게 작동합니다. 네트워크에서 맬웨어를 식별하려고 시도하고 그 존재를 경고합니다.

Ubuntu Linux에서 OSSEC를 설치하고 구성하는 방법

OSSEC는 서버 활동을 추적하는 데 사용할 수 있는 오픈 소스 호스트 기반 침입 탐지 시스템입니다. Linux, FreeBSD, OpenBSD, Windows, Solaris 등과 같은 대부분의 운영 체제를 지원합니다. 서버/에이전트 모드에서 하나 이상의 서버를 모니터링하는 데 사용되며 서버에서 무슨 일이 일어나고 있는지 실시간으로 확인할 수 있습니다. OSSEC에는 중앙 위치에서 여러 시스템을 모니터링할 수 있는 크로스 플랫폼 아키텍처가 있습니다.

수리카 타워

Suricata는 무료 오픈 소스이며 성숙하고 빠르고 강력한 네트워크 위협 탐지 엔진입니다.

Suricata 엔진은 실시간 침입 탐지(IDS), 인라인 침입 방지(IPS), 네트워크 보안 모니터링(NSM) 및 오프라인 PCAP 처리가 가능합니다.

Suricata는 강력하고 광범위한 규칙과 서명 언어를 사용하여 네트워크 트래픽을 검사하고 강력한 Lua 스크립팅 지원을 통해 정교한 위협을 탐지합니다.

SIEM, Splunk, Logstash/Elasticsearch, Kibana 및 기타 데이터베이스와 같은 기존 도구와의 통합은 YAML 및 JSON과 같은 표준 입력 및 출력 형식을 통해 쉽게 이루어집니다.

당신은 또한 볼 수 있습니다허니넷 프로젝트

PS 우리 집의 내부 네트워크는 외부 방화벽의 영향을 전혀 받지 않으며, 내부 서비스(SSH/웹사이트/VoIP/VM/온도 센서)에 접속/사용하는 유일한 방법은 IPsec VPN을 통해서입니다.

나는 가능한 한 웹 서버나 SSH 서비스를 인터넷에 노출하지 않을 것입니다.

VNC 기반 솔루션도 본질적으로 안전하지 않으므로 인터넷에 노출되어서는 안 됩니다.

psad는 소규모 네트워크(아마도 suricata)에 흥미로울 것입니다. 자체 DNS 서비스를 실행하고 로그를 살펴보십시오.

관련 정보