ASEGURANDO UNA MAQUINA: (0.01): Monitorizar ataques al cortafuegos con kernel 2.0 y 2.2 Definir un archivo de log nuevo en syslog (firewall.log) Queremos en el: - Todos los paquetes prohibidos (kernel.=info) - Accesos denegados de tcp-wrapper (daemon.warn) - Logins de root y logins invalidos (auth.*) - Conexiones y desconexiones de internet scripts en ip-up/ip-down Ver FACILITY.PRIORITY al final ANTES DE EMPEZAR: AVISO DE SEGURIDAD Si enviamos al log los paquetes prohibidos nos arriesgamos a que nos inunden los archivos de log (flood) con un ataque prolongado, lo que puede llegar a bloquearnos el sistema. INFORMACION: En iptables para kernels 2.3-2.4 esta previsto un limite de log 1) Añadir a "/etc/syslog.conf" la linea : kern.=info;daemon.warn;auth.* /var/log/firewall.log 2) Recargar syslogd con "/etc/init.d/sysklogd reload" 3) Evitar que wwwoffle use el log, modificar "/etc/wwwoffle.conf" MOTIVO: emplea "daemon.warn" al igual que tcp-wrapper para "refused connect from..." y nos llenaria el firewall.log con sus errores al bajar paginas web. ----NO UTILIZAR SYSLOG StartUp { ... use-syslog = no ---- 4) Evitar mensajes de carga/descarga de modulos Cargar siempre los modulos habituales haciendo como root "modconf": (1) slhc (2) ppp (3) lp 5) Registrar conexiones/desconexiones a internet en firewall.log Añadiendo los scripts conteniendo: /etc/ppp/ip-up.d/00firewall-ppp-up ... logger -p daemon.warn -t pppd -- "--<>------Conectados: $PPP_IFACE IP:$PPP_LOCAL" /etc/ppp/ip-down.d/00firewall-ppp-down ... logger -p daemon.warn -t pppd -- "----------Desconectados: $PPP_IFACE" 6) Filtrar firewall.log: El kernel nos pone (kern.info) mensajes no deseados en el "firewall.log" Lo filtro con un script que llama a awk" (/usr/lib/cgi-bin/firewall.log) FACILITY.PRIORITY DE DATOS IMPORTANTES DE LOG DEL CORTAFUEGOS: log del firewall: ipfwadm/ipchains, paquetes prohibidos y/o bajo vigilancia --------------------------------------------------------------------------- kernel: packet log: kern.info # Como carga/descarga modulos!!! # y kernel al arrancar/parar!!! # y "lpt1 at 0x0378 ( polling)" INFORMACION: Con iptables en kernels 2.3-2.4 se podra configurar log del tcp-wrapper: -------------------- refused connect from daemon.warn # Como wwwoffle!!! connect from daemon.info # Intentos con exito log de login: ------------- ROOT LOGIN auth.notice # Como sudo invalid password for ... auth.warn log de conexión/desconexión a internet -------------------------------------- Esto lo hago con los scripts "00firewall-ppp-up" y "00firewall-ppp-down" que utilizan un logger "daemon.warn" para registrar el evento