আমি কীভাবে আমার সার্ভারগুলিতে অযাচিত অনুপ্রবেশ সনাক্ত করতে পারি?

অন্য প্রশাসকরা কোনও অননুমোদিত অ্যাক্সেস এবং / অথবা হ্যাকিংয়ের প্রচেষ্টা সনাক্ত করতে কীভাবে তাদের সার্ভারগুলি পর্যবেক্ষণ করছেন? বৃহত্তর সংস্থায় লোকজনকে সমস্যায় ফেলে দেওয়া সহজ তবে একটি ছোট দোকানে আপনি কীভাবে কার্যকরভাবে আপনার সার্ভারগুলি পর্যবেক্ষণ করতে পারেন?

আমি সার্ভার লগগুলির মাধ্যমে স্ক্যান করার ঝোঁক করে এমন কিছু খুঁজছি যা আমার দিকে ঝাঁপিয়ে পড়ে, তবে জিনিসগুলি মিস করা সত্যিই সহজ। একটি ক্ষেত্রে আমাদের কম হার্ড ড্রাইভের জায়গাটি থেকে সরিয়ে দেওয়া হয়েছিল: আমাদের সার্ভারটি এফটিপি সাইট হিসাবে গ্রহণ করা হয়েছিল - তারা এফএটি টেবিলের সাথে ঝামেলা করে ফাইলগুলি গোপন করার দুর্দান্ত কাজ করেছিল। আপনি যদি ফোল্ডারের নির্দিষ্ট নামটি না জানতেন তবে এটি এক্সপ্লোরার, ডস থেকে বা ফাইলগুলি অনুসন্ধান করার সময় প্রদর্শিত হবে না।

অন্যান্য কোন কৌশল এবং / বা সরঞ্জামগুলি লোকেরা ব্যবহার করছে?

আপনি কোন ধরণের সিস্টেমে চলেছেন তার উপর এটি আংশিকভাবে নির্ভর করে। আমি লিনাক্সের জন্য কিছু পরামর্শ রূপরেখা করব, কারণ আমি এর সাথে আরও পরিচিত। তাদের বেশিরভাগ উইন্ডোজেও প্রয়োগ করে তবে আমি সরঞ্জামগুলি জানি না ...

• একটি আইডি ব্যবহার করুন

  SNORT® একটি ওপেন সোর্স নেটওয়ার্ক অনুপ্রবেশ প্রতিরোধ এবং সনাক্তকরণ সিস্টেম যা নিয়ম-চালিত ভাষা ব্যবহার করে, যা স্বাক্ষর, প্রোটোকল এবং অ্যানোমালি ভিত্তিক পরিদর্শন পদ্ধতির সুবিধার সাথে মিলিত হয়। আজ অবধি কয়েক মিলিয়ন ডাউনলোডের সাথে, স্নর্ট হ'ল বিশ্বব্যাপী সর্বাধিক বহনযোগ্য অনুপ্রবেশ সনাক্তকরণ এবং প্রতিরোধ প্রযুক্তি এবং এটি শিল্পের জন্য ডি স্টক স্ট্যান্ডার্ডে পরিণত হয়েছে।

  স্নর্ট নেটওয়ার্ক ট্র্যাফিক পড়েন এবং "পেন টেস্ট ড্রাইভ" এর মতো জিনিসগুলি সন্ধান করতে পারেন যেখানে কেউ আপনার সার্ভারগুলির বিরুদ্ধে পুরো মেটাস্পপ্লিট স্ক্যান চালায়। আমার মতে এই ধরণের জিনিসগুলি জেনে রাখা ভাল।

• লগগুলি ব্যবহার করুন ...

  আপনার ব্যবহারের উপর নির্ভর করে আপনি এটি সেট আপ করতে পারেন যাতে আপনি জানতে পারবেন যখনই কোনও ব্যবহারকারী লগইন করে, বা বিজোড় আইপি থেকে লগ ইন করে, বা যখনই রুট লগ ইন করে বা যখনই কেউ লগ ইন করার চেষ্টা করে। আমার কাছে সার্ভারটি আসলে ডাবগের চেয়ে প্রতিটি লগ বার্তাটি আমাকে ইমেল করে । হ্যাঁ, এমনকি বিজ্ঞপ্তি। আমি অবশ্যই তাদের মধ্যে কিছু ফিল্টার করি, তবে প্রতি সকালে যখন আমি স্টাফ সম্পর্কে 10 টি ইমেল পাই তা আমাকে এটি ঠিক করতে চায় যাতে এটি হওয়া বন্ধ হয়ে যায়।

• আপনার কনফিগারেশনটি পর্যবেক্ষণ করুন - আমি আসলে আমার সম্পূর্ণ / ইত্যাদি সাবভার্শনে রাখি যাতে আমি সংশোধনগুলি ট্র্যাক করতে পারি।

• স্ক্যান চালান। লিনিস এবং রুটকিট হান্টারের মতো সরঞ্জামগুলি আপনার অ্যাপ্লিকেশনগুলির সম্ভাব্য সুরক্ষা গর্তগুলির জন্য আপনাকে সতর্কতা দিতে পারে। এমন প্রোগ্রাম রয়েছে যা আপনার সমস্ত বিনয়ের একটি হ্যাশ বা হ্যাশ গাছ বজায় রাখে এবং আপনাকে পরিবর্তনের জন্য সতর্ক করতে পারে।

• আপনার সার্ভারটি পর্যবেক্ষণ করুন - যেমন আপনি ডিস্কস্পেসের কথা উল্লেখ করেছেন - কিছু অস্বাভাবিক হলে গ্রাফগুলি আপনাকে একটি ইঙ্গিত দিতে পারে। আমি ব্যবহার cacti CPU- র, নেটওয়ার্ক ট্রাফিক, ডিস্ক স্পেস তাপমাত্রা, ইত্যাদি উপর নজর রাখতে যদি কিছু সৌন্দর্য বিজোড় এটা হয় অদ্ভুত এবং আপনি খুঁজে বের করা উচিত কেন এটা অদ্ভুত।

আপনি যা কিছু করতে পারেন তা স্বয়ংক্রিয় করুন ... ওএসএসইসি http://www.ossec.net/ ক্লায়েন্ট / সার্ভার ইনস্টল করার মতো প্রকল্পগুলি দেখুন ... সত্যিই সহজ সেটআপ এবং টিউনিংটিও খারাপ নয়। রেজিস্ট্রি এন্ট্রি সহ কিছু পরিবর্তন করা হয়েছে কিনা তা বলার সহজ উপায়। এমনকি একটি ছোট দোকানে আমি একটি সিসলগ সার্ভার স্থাপনের দিকে নজর দেব যাতে আপনি সমস্ত লগকে এক জায়গায় হজম করতে পারেন। যদি আপনি কেবল বিশ্লেষণের জন্য সিসলোগ সার্ভারে আপনার উইন্ডোজ লগগুলি প্রেরণ করতে চান তবে সিসলগ এজেন্ট http://syslogserver.com/syslogagent.html দেখুন ।

লিনাক্সে, আমি আমার লগ ফাইলগুলিতে সন্দেহজনক এন্ট্রিগুলি নিয়মিত রিপোর্ট করতে লগচেক ব্যবহার করি । এটি অন-সুরক্ষা সম্পর্কিত অপ্রত্যাশিত ইভেন্টগুলি সনাক্ত করার জন্যও খুব দরকারী।