Comment puis-je détecter les intrusions indésirables sur mes serveurs?

Comment les autres administrateurs surveillent-ils leurs serveurs pour détecter tout accès non autorisé et / ou tentative de piratage? Dans une organisation plus grande, il est plus facile de jeter les gens sur le problème, mais dans un petit magasin, comment pouvez-vous surveiller efficacement vos serveurs?

J'ai tendance à parcourir les journaux du serveur à la recherche de tout ce qui me saute aux yeux, mais il est vraiment facile de rater des choses. Dans un cas, nous avons été avertis par un espace disque insuffisant: notre serveur a été repris comme site FTP - ils ont fait un excellent travail en cachant les fichiers en jouant avec la table FAT. À moins que vous ne connaissiez le nom spécifique du dossier, il n'apparaîtra pas dans l'Explorateur, sous DOS ou lors de la recherche de fichiers.

Quelles autres techniques et / ou outils les gens utilisent-ils?

Cela dépend en partie du type de système sur lequel vous exécutez. Je vais décrire quelques suggestions pour Linux, car je le connais mieux. La plupart d'entre eux s'appliquent également à Windows, mais je ne connais pas les outils ...

• Utilisez un IDS

  SNORT® est un système de prévention et de détection d'intrusion de réseau open source utilisant un langage régi par des règles, qui combine les avantages des méthodes d'inspection basées sur la signature, le protocole et les anomalies. Avec des millions de téléchargements à ce jour, Snort est la technologie de détection et de prévention des intrusions la plus largement déployée dans le monde et est devenue la norme de facto de l'industrie.

  Snort lit le trafic réseau et peut rechercher des éléments tels que des «tests au stylo» où quelqu'un exécute simplement une analyse métasploit entière sur vos serveurs. Bon à savoir ce genre de choses, à mon avis.

• Utilisez les journaux ...

  Selon votre utilisation, vous pouvez le configurer pour que vous sachiez à chaque fois qu'un utilisateur se connecte, ou se connecte à partir d'une adresse IP étrange, ou chaque fois que root se connecte, ou chaque fois que quelqu'un tente de se connecter. En fait, le serveur m'envoie chaque message de journal plus haut que Debug. Oui, même remarquez. J'en filtre certains bien sûr, mais chaque matin, quand je reçois 10 e-mails sur des trucs, ça me donne envie de les réparer pour que ça n'arrive plus.

• Surveillez votre configuration - je garde en fait tout mon / etc en subversion pour pouvoir suivre les révisions.

• Exécutez des analyses. Des outils comme Lynis et Rootkit Hunter peuvent vous avertir d'éventuelles failles de sécurité dans vos applications. Il existe des programmes qui maintiennent un hachage ou un arbre de hachage de tous vos bacs et peuvent vous alerter des changements.

• Surveillez votre serveur - Tout comme vous l'avez mentionné, les graphiques peuvent vous donner un indice si quelque chose est inhabituel. J'utilise Cacti pour garder un oeil sur le processeur, le trafic réseau, espace disque, les températures, etc. Si quelque chose ressemble étrange est étrange et vous devriez savoir pourquoi il est étrange.

Automatisez tout ce que vous pouvez ... jetez un œil à des projets comme OSSEC http://www.ossec.net/ Installation client / serveur ... configuration vraiment facile et le réglage n'est pas mauvais non plus. Un moyen facile de savoir si quelque chose a été modifié, y compris les entrées de registre. Même dans une petite boutique, j'envisagerais de configurer un serveur Syslog pour que vous puissiez digérer tous vos journaux en un seul endroit. Consultez l'agent syslog http://syslogserver.com/syslogagent.html si vous souhaitez uniquement envoyer vos journaux Windows à un serveur syslog pour analyse.

Sous Linux, j'utilise logcheck pour signaler régulièrement des entrées suspectes dans mes fichiers journaux. Il est également très utile pour détecter les événements inattendus non liés à la sécurité.