O que significam as entradas do log de auditoria da UFW?

11

Às vezes, recebo muitas dessas entradas de log AUDIT 

...

[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0

...

Qual o significado disso? Quando eles ocorrem e por quê? Devo e posso desativar essas entradas específicas? Não desejo desabilitar o log do UFW, mas não tenho certeza se essas linhas são úteis.

Observe que isso realmente não ocorre em /var/log/ufw.log. Só ocorre em /var/log/syslog. Por que esse é o caso?

Mais informações

  • meu log está definido como médio: Logging: on (medium)
firewall  logging  ufw 
Tom
fonte

Respostas:

3

Defina seu log como lowpara remover as AUDITmensagens.

O objetivo do AUDIT (pelo que estou vendo) está relacionado ao registro não padrão / recomendado - no entanto, isso é um palpite, e não consigo encontrar nada concreto com isso.

jrg
fonte
O nível do log está no menu de opções.
MUY Belgium
Menu de opções @MUYBelgium de qual ferramenta?
Jrg # 28/17
9

Isso depende da linha. Geralmente, é Field = value.

Há IN, OUT, a interface de entrada ou saída (ou ambas, para pacotes que são apenas retransmitidos).

Alguns deles são:

  • TOS , para Tipo de serviço,
  • DST é o ip de destino,
  • SRC é IP de origem
  • TTL é hora de viver, um pequeno contador diminuído toda vez que um pacote é passado por outro roteador (por isso, se houver um loop, o pacote se destrói uma vez para 0)
  • O DF é um bit "não fragmentar", solicitando que o pacote não seja fragmentado quando enviado
  • PROTO é o protocolo (principalmente TCP e UDP)
  • SPT é a porta de origem
  • DPT é a porta de destino

etc.

Você deve dar uma olhada na documentação do TCP / UDP / IP, onde tudo é explicado de maneira mais detalhada que eu poderia fazer.

Vamos pegar o primeiro, que significa que 176.58.105.134 enviou um pacote UDP na porta 123 para 194.238.48.2. Isso é para ntp. Então, eu acho que alguém tenta usar o seu computador como um servidor NTP, provavelmente por erro.

Para a outra linha, isso é curioso, é o tráfego na interface de loopback (lo), ou seja, que não vai a lugar algum, vai e vem do seu computador.

Gostaria de verificar se algo está escutando na porta tcp 30002 com lsofou netstat.

Diversos
fonte
Obrigado. A porta 30002 é um árbitro mongodb em execução. Não sei nada sobre isso ntp, devo me preocupar?
Tom
Não. O NTP é apenas para definir o tempo, você provavelmente já usou sem saber (quando você marca "usar rede para sincronizar o tempo" no gnome, ele usa o ntp). Apenas sincroniza o tempo através de uma rede. Talvez o ip fizesse parte do pool global da rede ntp ( pool.ntp.org/fr ), daí a solicitação de alguém na internet?
Diversos
2

Além do que foi dito, também é possível inferir o que será registrado inspecionando as regras do iptables . Especificamente, as regras correspondentes que estão sendo registradas podem ser filtradas assim sudo iptables -L | grep -i "log":

ufw-before-logging-input  all  --  anywhere             anywhere
ufw-after-logging-input  all  --  anywhere             anywhere
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-before-logging-output  all  --  anywhere             anywhere
ufw-after-logging-output  all  --  anywhere             anywhere
Chain ufw-after-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG        all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)

Na maioria das vezes, essas são as regras padrão. A inspeção da saída acima revela as ufw-before-*cadeias para gerar logs [UFW AUDIT ..].

Eu não sou um grande especialista em iptables e o manual UFW não ajuda muito nisso, mas até onde eu sei, as regras correspondentes a essa cadeia estão em /etc/ufw/before.rules .

Por exemplo, as linhas abaixo estão permitindo conexões de loopback que podem ter acionado as duas últimas linhas de exemplo em seu log (as que começam com [UFW AUDIT] IN = lo)

# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....

Quanto à minha parte, recebo muitos pacotes LLMNR registrados na porta 5353:

Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126

Que eu acho que são causados ​​pelo seguinte em rules.before:

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

Uma maneira de desativar essas ações é acionar o seguinte:

sudo ufw deny 5353
Sebastian Müller
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.