Наилучший способ централизованно отслеживать атаки на Linux-сервера?
Привет. Имеется около 40 серверов с Ubuntu, на которых хостятся проекты с различной нагрузкой (от 10 до 1000 запросов в секунду). Все сервера находятся в облаке, физического доступа к ним нет. Из защиты и мониторинга на всех серваках настроен необходимый минимум (ufw, fail2ban, ssh по ключам, сервера объединены в VPN, наружу открыты только TCP 80\443, сбор системных и продуктовых логов в ELK-кластер, регулярно проверяется необходимость установки патчей и обновлений). Ищу софтину, которая позволит все это как-то централизовать, т.е отслеживать весь входящий трафик на предмет сканирования портов, попыток DDoS-атак, ошибок подключения к ssh с неверным ключем, сканирование HTTPS-трафика на предмет поиска уязвимостей (запросы ботов к известным скриптам админок и т.д), а также сканирования всех Linux-систем на предмет наличия известных уязвимостей. Существует ли такое решение, OpenSource или какие-то коммерческие продукты?
В теории знаю, что есть IPS\IDS-системы (тот же Snort, Surricata), но как я понял, они больше подходят для физической сети, когда через них можно пусть трафик (или отзеркалить), подойдут ли они для моей задачи? Может кто-то сталкивался с похожей задачей и нашел для себя удобный инструмент или какой-либо стек технологий ? =)
собирать со всех серверов логи на отдельную машинку - на нем генерировать статистику и рассылать сигналы тревоги.
кроме атак можно и другие параметры отлавливать.
Из личного опыта даже настроенный IDS на Juniper SRX не делает все что вы хотите.
Из бесплатного но увы не централизированного
1 посмотрите в сторону ConfigServer Security & Firewall - это утилита управление iptables, а также автобанилка за неудачные попытки входа, за скан портов и тд, правда нужно сидеть и вдумчиво настраивать.
Основная польза когда оно работает с логом от mod_security. ну и просто логи ssh ftp и так далее тоже читает и банит плохишей.
2 Сканирывание на уязвимости из бесплатного - OpenVas
3 Грубые ддосы и тд должен показывать обычный мониторинг типа семейств nagios, или заббикс. метрики - сетевой трафик, реквесты к веб серверу и тд.
Виктор, простите, а что такое windows сети в Вашем понимании? есть сеть, она на стеке tcp/ip, есть ОС, одна из них - windows, работает в т.ч. со стеком tcp/ip как любые другие ОС.
SIEM - это класс решений, нужно гуглить по этому ключевому слову. Есть платные, есть бесплатные. Из условно-бесплатного есть всякие splunk, elk-реализации. Также гуглите, есть на хабре статьи.
cssman, Я имею ввиду, что журналы, аудит и события будут со спецификой данной ОС.
Сможет ли это по консолидировать журналы и провести анализ ситуации?
Или я не верно понял суть данного ПО?
Например, если есть несколько неудачных входов под привилегированной УЗ, потом она входит в систему, заходит на файловый сервер, трогает там файлы, которые никогда не трогала и тд.
Виктор, да, верно SIEM - это консолидация, ранжирование, корреляция и вот это всё, а затем реагирование.
Без разницы windows, unix, любые ОС и системное по, лишь бы был поддерживаемый протокол (часто это syslog) и информативные в нём логи. Либо есть разные варианты с коннекторами, в основном это любит Arcsight.
Например, если есть несколько неудачных входов под привилегированной УЗ, потом она входит в систему, заходит на файловый сервер, трогает там файлы, которые никогда не трогала и тд.