Det kommer meget an på hvilket angreb vi taler om, f.eks. et nimda angreb er let at kende ligesom forskellige former for portscanning med scripts.
Typisk vil der være mange entryes fra samme IP adresse i løbet af meget kort tid. Hvis hackeren er bare lidt god er det meget sværre at opdate, og hvis han først er inde, vil han forsøge at redigere i din logfil og slette sporene efter sine handlinger.
Med et intrution detection program analyseres al din trafik for signature på kendte angreb og du advares hvis detectoren opdager at et angreb er igang.
Men hvordan kan man se at der er mange entry fra samme IP adresse ? Man kan søge på nogle bestemt IP, men ikke på alle mulige IP, vel ? Hvad er et intrution detection program ? Er det et tredje part produkt man skal købe ?
Din logfil optegner jo dé ting der sker i den rækkefølge de sker, hvis der så pludselig er 50 entryes fra samme IP adresse kunne det f.eks. indikere en portscanning (der faktisk kan indeholde over 65.000 entryes). Hvis den samme ip adresse forekommer igen og igen som indkomming bør du kikke efter hvad den ip adresse er for noget. Det kan være at det bare er din udbyder, der jo skal forbinde til dig og derfor vil forekomme tit i din log, men det kunne også være noget andet.
Intrution detection systemer er tredieparts produkter og de kommer i to forskellige variationer, network based og host based. Hvis du kun har en maskine er det host based du skal bruge, hvis du har netværk er det begge typer du skal bruge
dvs. jeg skal kigge i hver enkel log ? Det er slave arbejde. Kan jeg ikke bruge søgefunktionen ? Så får jeg det omtalte problem igen: jeg kan kun søge på bestemte IP... Kan du anbefalde nogle intrution detection program ?
Der er kun en logfil du skal kikke i (måske 3 filer hvis du har både log på dit operativsystem, din webserver og din firewall) Du kan få analyse værktøjer til logfiler, f.eks. Webtrends laver noget godt analyse værktøjer til især webservere, ellers er det bare at kikke sin logfil igennem med jævne mellemrum, f.eks. en gang om dagen og så undersøge nærmere hvis der er noget der ser mistænkeligt ud.
Der er mange der laver intrution detection, prøv at søge på google, jeg har selv brugt BlackIce http://blackice.iss.net/index.php der har en hel siute af produkter
Jeg bruger Symantec Raptor Firewall 7.0. Den laver en lang log fil. Man kan gå ind og se logfil for hver enkelte dag. Der er så mange entries for bare en enkelt dag ...
Raptor er en rigtig god firewall, der giver god sikkerhed. Det er rigtigt at der er mange entries, men du kan udelukke mange af dem når du bare kikker efter mistænkelige ting. Først er det kun incomming forbindelser der er interessante (outgoing bliver interessante, nor vi har opdaget at noget er i gang), dernæst er der en del IP adresser som du vil komme til at kende som venlige, f.eks. din internetudbyder, DNS server, osv osv, disse behøver du heller ikke kikke på, tilsidst er der alle dem du ikke kan genkende og her er det interessant at kikke på dem der forekommer mange gange. Hvis du kan sortere på ip adresse skulle det være let at identificere hvilke entries der er mening i at kikke nærmere på
bufferzone, kan jeg sortere alle outgoing forbindelser fra og på den måde kun behøve at studere de indkomne forbindelse ? Jeg ved ikke hvordan man se forskellen på dem
Det kommer helt an på hvordan din log er indrettet og hvordan det program du "ser" din log i virker. Jeg kan i den log der medfølger til den softwarefirewall jeg anvender på standalone firewalls
Det står ikke at det er snakk om windows men det er nok det ettersom Symantec firewall står nevnt. Når det gjelder forsøk på inntregning og portscan så er det inngående trafikk du først og fremst skal se på. Når deg gjelder mulige trojanere og slikt så er det utgående trafikk du først og fremst bør se på. (En anen problemstilling er at enhver etablert forbindelse vil inneholde både inn og utgående trafikk.)
For å komme litt i gang med tolkningen kan du ikke bare lage litt copy paste og legge ut noe av loggen her så skal vi se om vi kan hjelpe deg i gang med tolkningen. Ta gjerne noe du synes ser litt merkelig ut.
Når man først er i gang så klarer man kansjkje det som følger vidre på egen hånd ?
Hvis du eventuelt synes det er nødvendig eller du ønsker det så kan du jo eventuelt skifte ut din globale adresse med en annen hvis den ligger i loggen.
Dette var da slett ikke noen typisk entry fra en firewall log synes jeg (??)
Dette viser jo ikke noe forsøk på å sette opp forbindelse som firewall for eksepel skulle ha avvist, men tvert i mot så viser den et stykke gjennomført trafikk der trafikken har blitt akseptert av firewall slik at forbindelsen har løpt begge veier. Men har også komunikasjonen skjedd som kryptert forbindelse via vpn ??
Ser også de andre entries i din firewall log slik ut ?? Denne ser da ut til heller å være en statistikk eller logg for gjennomført akseptert trafikk og ikke for eksempel en logg for den avvisning som skjer fra firewall når man scanner eller forsøker å trenge inn utenfra.
Jo det ser ut som i dette tilfellet at forbindelsen har bestått i at brukeren på intern ip 10.1.1.131 har hentet inn data fra web server (port 80) på ip 195.249.15.9 som befinner seg i Århus Danmark.
Men hvorfor står dette: "Vpn3" osv ?? Bruker du VPN (Virtual private netvork) ? Jeg er nyskjerrig !!
Forsøk å legge ut noen flere og forhåpentligvis mere typiske entries !!
Tak fordi I gider hjælpe. Jeg har ikke fået sat VPN op endnu. Jeg skulle bare vide hvordan man kan undesøge logfilen for ulovlig indtrængende trafik udefra. FW er kun sat op til at give adgang for email udefra. Jeg ved heller ikke hvad Vpn3 betyder. Det kan være et levn fra den gang jeg prøvede en gang at sætte nogen VPN op med en midlertidig licens.
Hva med å legge ut noen flere items fra log ? Hvordan du undersøker logfilen vil vel kunne ha litt å gjøre med hvordan logfilen faktisk ser ut. Foreløpig er lagt utbare en eneste record.
Jeg tror jeg kan finde ud af det. Endnu engang tak for hjælp.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
Ny bruger
Nybegynder
Opret
Preview
