¿Cómo mantener los registros a salvo de los atacantes?

3

Tengo un servidor Linux equipado con algunos aparatos de seguridad para evitar el acceso no autorizado. Con suerte, esto evitará las intrusiones, pero siempre existe la posibilidad.

Naturalmente, llevo registros para que si estoy comprometido, al menos lo sabré y puedo tratar de contener el daño. Sin embargo, un intruso inteligente también modificará estos registros.

Sin embargo, si los registros se graban en un medio que no permite modificaciones, el atacante solo tendrá unos momentos después de la intrusión para detener el mecanismo de registro, de lo contrario, su IP se registrará de manera irreversible. ¿Cómo puedo configurar un mecanismo de registro tan irreversible?

Una solución simple que puedo ver sería tener una secuencia de comandos que copie constantemente cada entrada de registro relevante en pastebin. A menos que el intruso me comprometa a mí, tanto como con el pastebin, en el momento en que revise el registro de pastebin, sabré que pasa algo. Dicho esto, me gustaría evitar proporcionar a pastebin un registro detallado de mis actividades.

Otra posibilidad sería enviar un SMS a mi teléfono cada vez que se conecte una nueva IP. Esta estrategia es segura siempre y cuando mi teléfono no esté comprometido también. Tiene el mismo problema que le da a la compañía celular un registro de mi actividad, y también parece un poco inconveniente.

Un tercer ejemplo: configure una impresora física y haga que las entradas de registro también se impriman tan pronto como se generen. A menos que el atacante pueda venir a la impresora, robar la impresión y reemplazarla con una versión falsa, esto será seguro. Sin embargo, es un poco costoso, y luego tendría que ingresar IPs a mano en una computadora para verificarlas.

    
pregunta Superbest 21.04.2015 - 10:49
fuente

3 respuestas

5

Para cumplir con este requisito, creo que querrá buscar en un servidor de registro dedicado.

  • No hay acceso remoto, ni siquiera SSH.
  • Syslog es el único servicio.
  • Las credenciales son únicas para el servidor de registro.

Eso es bastante confiable. Dependiendo de su caso, podría ser cualquier cosa, desde un chasis comercial muy confiable y con gran apariencia hasta un RaspberryPi que cuelga de un clavo.

    
respondido por el pboin 21.05.2015 - 13:16
fuente
0

la única forma de hacer esto realmente es tener un registro que realmente "abandone" su sistema. y cuantas más copias haya, mejor.

Una configuración de ejemplo simple podría ser:  - Servidor principal con inicio de sesión.  - servidor secundario de "Registro" que recibe todos los eventos de Syslog del servidor principal (y posiblemente otros)  - Un servidor de correo independiente.  - Un servidor de correo externo (como gmail o similar)

que tiene un script por cada vez que alguien se conecta a su servidor que le envía un correo electrónico no solo a su propio servidor de Correo, sino también a su proveedor de correo de Gmail (u otro).

Si todos los mensajes de registro del sistema están también presentes en otro sistema, será muy difícil para el atacante no dejar rastro (solo detener el servicio de registro debería activar una alerta de su servidor de registro y porque no solo envía su correo propios, pero también enviamos toda la información de inicio de sesión relevante (usuario / IP / hora / Máquina / Etc.) que el atacante debe interceptar el correo de un sistema no comprometido (bastante difícil de hacer)

El lugar apropiado para tal función de registro sería el archivo sshrc que se activa cuando alguien se conecta ANTES de que alguien obtenga un tty o cualquier otra salida. (se usa comúnmente para cosas como montar una unidad doméstica)

    
respondido por el LvB 21.04.2015 - 10:59
fuente
0

No tienes que pensar demasiado en este problema. Si alguien está dispuesto a cambiar físicamente la impresión en la impresora en el sitio, es fácil simplemente robar la computadora y desaparecer. O forzar el apagado del servidor, crear una imagen del disco, crear una copia de seguridad de la imagen y devolverla.

Y esto es altamente improbable, a menos que usted sea un objetivo muy importante, y creo que no lo es, de lo contrario tendría un equipo completo que se encargaría de la seguridad, con muchas certificaciones, etc.

En su caso, está dirigido a piratas informáticos que intentan capturar un servidor desprotegido y lanzar ataques DoS, servidores C & C, etc., etc. Algunos son atacantes sofisticados, pero no lo suficiente como para piratear su teléfono celular para cambiar los SMS enviados por el IDS.

La mejor opción es usar un host externo como servidor de registro. Si pone otro host en modo puente, sin IP, puede configurar un script usando pcap para interceptar y registrar datos enviados desde syslog. Por lo tanto, los registros pasarán del servidor protegido al servidor de registro remoto, pasando por un servidor invisible. Terminarás con 3 copias del registro.

      Protected server   -------> Bridged server -------> Remote Syslog
        10.20.30.40               NO IP, local             10.20.30.40
                                  console only 

El uso de un servidor con puente (y no un servidor en red común) evita que el atacante sepa que tiene un servidor de registro de respaldo entre ellos. El atacante sabrá que tiene un servidor de registro remoto en 10.20.30.40, y probablemente intentará comprometerlo, pero no sabrá que tiene un puente intermedio.

Para mayor seguridad, haga que el servidor de puente ejecute OpenBSD, en el modo de seguridad 2, y configure los archivos de registro como solo anexar . La única manera de cambiar sus registros será que el atacante elimine los registros locales, ponga en peligro el registro del sistema remoto y elimine los registros allí, y descubra el servidor puenteado, reiniciando OpenBSD en un modo de seguridad inferior desde la consola local y cambiando los archivos. / p>

De esta manera, no dependerá de ningún servicio de Internet (Pastebin, correo electrónico, etc.), no de soluciones costosas (impresión de registros) o problemas de privacidad (envío de SMS).

    
respondido por el ThoriumBR 21.05.2015 - 16:31
fuente

Lea otras preguntas en las etiquetas