Examinando el correo enviado a traves de nullmailer, hey no hay necesidad de montar un Postfix solo para enviar correo, aunque pase por inet. nullmailer se autentica, contra gmail en este caso.
Yo soy la 192.168.0.117 y soy escaneado por la 192.168.0.101, fwlogwatch nos alerta de ello y recibimos el correspondiente correo electronico.
fwlogwatch ALERT: 65 packet(s) from 192.168.0.101
Recibidos
X
Responder
de XXX.YYY@gmail.com
para ZZZ@vlan7.org
fecha 25 de octubre de 2010 15:16
asunto fwlogwatch ALERT: 65 packet(s) from 192.168.0.101
enviado por gmail.com
firmado por gmail.com
ocultar detalles 15:16 (1 hora antes)
fwlogwatch ALERT on sid7: 65 packet(s) from 192.168.0.101 to 192.168.0.117
65 paquetes enviados a nullmailer por el SW logcheck, que previamente habria recibido la alerta por fwlogwatch, una herramienta que a mi me funciona muy bien con Shorewall para examinar de un vistazo los logs importantes a nivel de seguridad.
No me gusta publicar MACs, asi que edito dejando solo una de las lineas, ya que despues las mostraremos con un log que nos explica a mas alto nivel, por asi decirlo, todos esos eventos de syslog a nivel kernel mediante el SW psad [port scan active detector]
sid7.v7.XXX.es 2010-10-25 16:02 System Events
Recibidos
X
Responder
de XXX.YYY@gmail.com
para ZZZ@vlan7.org
fecha 25 de octubre de 2010 16:02
asunto sid7.v7.XXX.es 2010-10-25 16:02 System Events
enviado por gmail.com
firmado por gmail.com
ocultar detalles 16:02 (24 minutos antes)
This email is sent by logcheck. If you no longer wish to receive
such mail, you can either deinstall the logcheck package or modify
its configuration file (/etc/logcheck/logcheck.conf).
System Events
=-=-=-=-=-=-=
Oct 25 15:16:19 sid7 kernel: [104761.341511] Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=[CUT] SRC=192.168.0.101 DST=192.168.0.117 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=61700 PROTO=TCP SPT=63436 DPT=10 WINDOW=8190 RES=0x00 SYN URGP=0
[CUT]
Oct 25 15:16:20 sid7 fwlogwatch: ALERT: 65 attempts from 192.168.0.101
Oct 25 15:16:38 sid7 psad: src: 192.168.0.101 signature match: "POLICY HP JetDirect LCD commnication attempt" (sid: 568) tcp port: 9100
Oct 25 15:16:38 sid7 psad: src: 192.168.0.101 signature match: "MISC VNC communication attempt" (sid: 100202) tcp port: 5900
Oct 25 15:16:38 sid7 psad: src: 192.168.0.101 signature match: "MISC MS Terminal Server communication attempt" (sid: 100077) tcp port: 3389
Oct 25 15:16:38 sid7 psad: src: 192.168.0.101 signature match: "DOS MSDTC communication attempt" (sid: 1408) tcp port: 3372
Oct 25 15:16:38 sid7 psad: src: 192.168.0.101 signature match: "MISC Microsoft SQL Server communication attempt" (sid: 100205) tcp port: 1433
Oct 25 15:16:38 sid7 psad: scan detected: 192.168.0.101 -> 192.168.0.117 tcp: [10-10000] flags: SYN tcp pkts: 68 DL: 2
Todas las herramientas nombradas las he podido testear en un sistema en desarrollo corriendo Debian sid. Durante toda la entrada he enlazado las paginas oficiales de los proyectos, pero todos ellos se encuentran empaquetados en los repositorios oficiales de Debian, al menos en la rama sid. Para mas informacion siempre podremos acudir al buscador oficial de Debian.
sid7.v7.XXX.es 2010-10-25 16:02 System Events
Recibidos
X
Responder
de XXX.YYY@gmail.com
para ZZZ@vlan7.org
fecha 25 de octubre de 2010 16:02
asunto sid7.v7.XXX.es 2010-10-25 16:02 System Events
enviado por gmail.com
firmado por gmail.com
ocultar detalles 16:02 (24 minutos antes)
This email is sent by logcheck. If you no longer wish to receive
such mail, you can either deinstall the logcheck package or modify
its configuration file (/etc/logcheck/logcheck.conf).
System Events
=-=-=-=-=-=-=
Oct 25 15:16:19 sid7 kernel: [104761.341511] Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=[CUT] SRC=192.168.0.101 DST=192.168.0.117 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=61700 PROTO=TCP SPT=63436 DPT=10 WINDOW=8190 RES=0x00 SYN URGP=0
[CUT]
Oct 25 15:16:20 sid7 fwlogwatch: ALERT: 65 attempts from 192.168.0.101
Oct 25 15:16:38 sid7 psad: src: 192.168.0.101 signature match: "POLICY HP JetDirect LCD commnication attempt" (sid: 568) tcp port: 9100
Oct 25 15:16:38 sid7 psad: src: 192.168.0.101 signature match: "MISC VNC communication attempt" (sid: 100202) tcp port: 5900
Oct 25 15:16:38 sid7 psad: src: 192.168.0.101 signature match: "MISC MS Terminal Server communication attempt" (sid: 100077) tcp port: 3389
Oct 25 15:16:38 sid7 psad: src: 192.168.0.101 signature match: "DOS MSDTC communication attempt" (sid: 1408) tcp port: 3372
Oct 25 15:16:38 sid7 psad: src: 192.168.0.101 signature match: "MISC Microsoft SQL Server communication attempt" (sid: 100205) tcp port: 1433
Oct 25 15:16:38 sid7 psad: scan detected: 192.168.0.101 -> 192.168.0.117 tcp: [10-10000] flags: SYN tcp pkts: 68 DL: 2
Todas las herramientas nombradas las he podido testear en un sistema en desarrollo corriendo Debian sid. Durante toda la entrada he enlazado las paginas oficiales de los proyectos, pero todos ellos se encuentran empaquetados en los repositorios oficiales de Debian, al menos en la rama sid. Para mas informacion siempre podremos acudir al buscador oficial de Debian.
Comentar que psad puede actualizar firmas del conocido IDS snort. De vez en cuando puedo observar mensajes de syslog tal que asi:
Oct 25 21:29:44 sid7 psad: imported valid icmp types and codes
Oct 25 21:29:44 sid7 psad: imported p0f-based passive OS fingerprinting signatures
Oct 25 21:29:44 sid7 psad: imported TOS-based passive OS fingerprinting signatures
Oct 25 21:29:44 sid7 psad: imported original Snort rules in /etc/psad/snort_rules/ for reference info
Oct 25 21:29:44 sid7 psad: imported 205 psad Snort signatures from /etc/psad/signatures
Si alguien conoce alguna alternativa a estos paquetes open source para detectar un escaneo de puertos se agradecen comentarios.
Suerte,
Oct 25 21:29:44 sid7 psad: imported p0f-based passive OS fingerprinting signatures
Oct 25 21:29:44 sid7 psad: imported TOS-based passive OS fingerprinting signatures
Oct 25 21:29:44 sid7 psad: imported original Snort rules in /etc/psad/snort_rules/ for reference info
Oct 25 21:29:44 sid7 psad: imported 205 psad Snort signatures from /etc/psad/signatures
Si alguien conoce alguna alternativa a estos paquetes open source para detectar un escaneo de puertos se agradecen comentarios.
Suerte,
No hay comentarios:
Publicar un comentario