Come mantenere i registri al sicuro dagli aggressori?

Naviga le tue risposte
3

Ho un server Linux equipaggiato con alcuni dispositivi di sicurezza per impedire l'accesso non autorizzato. Speriamo che questo prevenga le intrusioni, ma la possibilità esiste sempre.

Naturalmente tengo i registri in modo che se sono compromesso, lo saprò almeno e potrò provare a contenere il danno. Tuttavia, un intruso intelligente modificherà anche questi registri.

Tuttavia, se i registri sono registrati su un supporto che non consente modifiche, l'hacker ha solo pochi istanti dopo l'intrusione per interrompere il meccanismo di registrazione, altrimenti il loro IP verrà registrato in modo irreversibile. Come posso impostare un meccanismo di registro irreversibile?

Una soluzione semplice che vedo è che uno script copi costantemente ogni voce di registro rilevante in pastebin. A meno che l'intruso non comprometta sia me che il pastebin, nel momento in cui controllo il log di pastebin saprò che succede qualcosa. Detto questo, vorrei evitare di fornire pastebin con un registro dettagliato delle mie attività.

Un'altra possibilità sarebbe quella di inviare un SMS al mio telefono ogni volta che si connette un nuovo IP. Questa strategia è sicura finché il mio telefono non è compromesso. Ha lo stesso problema a dare alla società cellulare un registro della mia attività, e sembra anche un po 'scomodo.

Un terzo esempio: configura una stampante fisica e anche le voci di registro vengono stampate non appena vengono generate. A meno che l'aggressore non possa venire alla stampante, rubare la stampa e sostituirla con una versione falsa, questo sarà sicuro. Tuttavia, è un po 'costoso e dovrei quindi inserire manualmente gli IP in un computer per controllarli.

    
posta Superbest 21.04.2015 - 10:49
fonte

3 risposte

5

Per soddisfare questo requisito, penso che vorrete esaminare un server di registro dedicato.

  • Nessun accesso remoto, nemmeno SSH.
  • Syslog è l'unico servizio.
  • Le credenziali sono esclusive per il server di registrazione.

Questo è abbastanza affidabile. A seconda del caso, potrebbe essere qualsiasi cosa, da uno chassis commerciale altamente affidabile e pungente a un RaspberryPi appeso a un chiodo.

    
risposta data 21.05.2015 - 13:16
fonte
0

l'unico modo per farlo davvero è avere un registro che "lascia" effettivamente il tuo sistema. e più copie ci sono, meglio è.

Una semplice configurazione di esempio potrebbe essere:  - Server principale con login.  - server secondario di "Logging" che riceve tutti gli eventi Syslog dal server principale (e possibilmente da altri)  - Un server di posta separato.  - Un server di posta esterno (come Gmail o simili)

di uno script per ogni volta che qualcuno si connette al tuo server che ti invia via email non solo sul tuo server Mail, ma anche sul tuo Gmail (o altro) provider di posta.

Se tutti i log di sistema inviati sono presenti anche su un altro sistema diventerà molto difficile per l'utente malintenzionato non lasciare traccia (basta arrestare il servizio di log per attivare un avviso dal server di registrazione e perché non si invia solo te stesso i propri sistemi, ma ha anche inviato a te stesso tutte le informazioni di accesso pertinenti (utente / IP / tempo / Macchina / Etc.) l'attaccante deve intercettare la posta da un sistema non compromesso. (abbastanza difficile da fare)

Il posto appropriato per tale funzione di logging sarebbe il file sshrc che viene attivato quando qualcuno si collega PRIMA che qualcuno ottenga un tty o qualsiasi altro output. (è usato di solito per cose come montare un home drive)

    
risposta data 21.04.2015 - 10:59
fonte
0

Non devi pensare troppo a questo problema. Se qualcuno è disposto a cambiare fisicamente la stampa sulla stampante in loco, è facile rubare il computer e andarsene. Oppure forzare l'arresto del server, creare un'immagine del disco, backdoor l'immagine e rimetterla.

E questo è altamente improbabile, a meno che tu non sia un obiettivo molto importante, e penso che tu non lo sia, altrimenti avresti un intero team che si prenderà cura della sicurezza, con molte certificazioni e così.

Nel tuo caso, sei il bersaglio di hacker che cercano qua e là di catturare un server non protetto e lanciare attacchi DoS, server host C & C e così via. Alcuni sono aggressori sofisticati, ma non abbastanza da penetrare nel tuo cellulare per cambiare gli SMS inviati dall'IDS.

Utilizzare un host esterno come server di registro è la soluzione migliore qui. Se si inserisce un altro host in modalità bridge, senza IP, è possibile impostare uno script utilizzando pcap per intercettare e registrare i dati inviati da syslog. Quindi i log passeranno dal server protetto al server di log remoto, passando per un server invisibile. Finirai con 3 copie del registro. 

      Protected server   -------> Bridged server -------> Remote Syslog
        10.20.30.40               NO IP, local             10.20.30.40
                                  console only

L'utilizzo di un server con bridge (e non di un server di rete comune) impedisce al pirata informatico di sapere anche di avere un server di registro di backup in betweeen. L'attaccante saprà che hai un server di registrazione remoto su 10.20.30.40, e probabilmente proverà a comprometterlo, ma non saprà che hai un ponte in mezzo.

Per maggiore sicurezza, fare in modo che il server bridge esegua OpenBSD, in modalità sicurezza 2, e configura i file di registro come aggiungi solo . L'unico modo per modificare i log sarà l'utente malintenzionato che rimuoverà i log locali, comprometterà il syslog remoto e rimuoverà i log lì, e scoprirà il server con ponte, riavviando OpenBSD in una modalità di sicurezza inferiore dalla console locale e cambiando i file. / p>

In questo modo non dipenderete da nessun servizio internet (Pastebin, email, ecc.), soluzioni non costose (stampa dei registri) o problemi di privacy (invio di SMS).

    
risposta data 21.05.2015 - 16:31
fonte

Leggi altre domande sui tag

Sono "Shell Shocked" - script remoto scaricato ed eseguito - Posso vietare il download di file come misura di sicurezza L'individuazione automatica del proxy Web può perdere gli URL HTTPS?