Ok, digamos que soy responsable de una aplicación antigua de la que realmente no conozco los detalles, estoy tratando de asegurar mi servidor , y alguien sugirió prohibir el puerto 21 que se usaba para FTP.

Pero no estoy seguro de qué programas se están ejecutando y usan FTP a diario.

Digamos que no tengo la solución para instalar las herramientas que quiero en el servidor o en la Red. ¿Cuáles son mis soluciones?

  • ¿Debo cortar el puerto 21 y ver qué son las transferencias? bloqueado por el cortafuegos?
  • ¿Hay un lugar en el servidor AIX donde debería ir y mirar para ver la lista de servidores accedidos y accedidos a través de este puerto? Si tengo la IP del servidor (es) y los nombres de los archivos, podré rastrear el programa haciéndolo. Entonces, ¿hay un archivo de registro para FTP?

Editar:

a) inetd está activo y ftp está en él (gracias @JeffSchal ler)

b) Estoy tratando de saber entrante y tráfico saliente en este puerto, con los comandos que se ejecutaron (si es posible). En otras palabras, mi objetivo es conocer

  • Qué comandos se han ejecutado en el servidor FTP local
  • Qué comandos ha realizado el cliente FTP local a otros servidores

Cualquier sugerencia es bienvenida.

Comentarios

  • Si no ' t sabe qué sistemas están usando qué servicios en su servidor tiene un problema muy grande de hecho.
  • ¿Qué programa de servidor FTP está usando?
  • ¿Se está ejecutando desde inetd o de forma independiente ?
  • Permítanme reformular la verdad que @roaima escribió arriba: si usted es un administrador de AIX y no ' no sabe quién / qué usa su servidor, usted es en un gran, gran problema.
  • De acuerdo, chicos, digamos ' s que el administrador está de vacaciones y quiero preparar algo para tener una discusión relevante con él cuando regrese.

Responder

¿Qué comandos se han realizado en el servidor FTP local ver?

Para habilitar el registro de FTP en un sistema AIX, necesita reconfigurar FTP (siendo llamado por inetd en su caso) para enviar registros de depuración a syslog y configurar syslog para guardar esos registros en un archivo.

  1. Edite /etc/inetd.conf y agregue -d al final de la línea ftpd: 

    ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -d

  2. Actualizar inetd: refresh -s inetd

  3. Edite /etc/syslog.conf y agregue una línea para daemon.debug para guardar los registros en algún lugar : 

    daemon.debug /var/log/ftp.log

  4. Cree un archivo para que syslog escriba en: touch /var/log/ftp.log

  5. Actualizar syslogd: refresh -s syslogd

Syslog enviará los registros de cualquier demonio a este archivo, por lo que querrá filtrarlo con grep, tal vez: grep "daemon:debug ftpd" /var/log/ftp.log.

Comandos que se enviaron a través de FTP se registrarán con la cadena command:; aquí «una muestra: 

May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: command: USER username-here^M May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: <--- 331 May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: Password required for username-here. May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: command: PASS May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: <--- 230- May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: Last login: Fri May 18 10:13:02 EDT 2018 on ftp from ftpclient.example.com May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 230 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: User username-here logged in. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: command: PORT 10,1,1,1,229,54^M May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 200 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: PORT command successful. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: command: LIST^M May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 150 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: Opening data connection for /bin/ls. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 226 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: Transfer complete.

¡Sí, esos Control-M» aparecen como tales en los registros!

¿Qué comandos ha realizado el cliente FTP local a otros servidores?

Dado que las aplicaciones pueden realizar sus propias Acciones FTP, sería difícil empaquetar todos los programas cliente posibles (como /usr/bin/ftp) para detectar esto. Lo mejor es configurar el servidor FTP remoto para registrar los comandos, solo Como hicimos anteriormente. Lo segundo mejor sería configurar el firewall AIX para permitir y registrar el tráfico destinado al puerto 21.

Asegúrese de tener instalado el conjunto de archivos ipsec: 

lslpp -L bos.net.ipsec.rte; echo $?

Debería mostrar un conjunto de archivos con un código de retorno de 0, y no: 

lslpp: 0504-132 Fileset bos.net.ipsec.rte not installed.

Asegúrese de que los dispositivos ipsec están habilitados: 

lsdev -l ipsec_v4

Debería obtener una línea de regreso que diga «Disponible», no «Definido» o ninguna línea de regreso.

Si no hubo salida o el dispositivo estaba «Definido»:

  1. ejecutar smitty ipsec4
  2. elegir Start/Stop IP Security,
  3. elija Start IP Security,
  4. deje los valores predeterminados en Now and After Reboot y Deny All Non_Secure = no
  5. presione Enter.

El ipsec device_v4 ahora debería aparecer como «Disponible».

Cree un archivo de registro con: touch /var/log/ipsec.log.

Actualizar syslog: 

echo "local4.debug /var/log/ipsec.log rotate size 100k files 4" >> /etc/syslog.conf refresh -s syslogd

Agregue una regla para permitir y registrar el tráfico destinado al puerto 21: 

# -v 4 == IPv4 # -n 2 == add this after the first rule # -a P == permit # -O eq == destination port *equals* 21 # -P 21 == destination port 21 # -w O == outbound connections; change this to “B” to log in both directions # -c tcp == TCP protocol # -s, -m, -d, -M = source/dest IP & mask (any) # -l Y = Log it # -r L = applies only to packets destined or originated from the local host genfilt -v 4 -n 2 -a P -O eq -P 21 -w O -c tcp -s 0.0.0.0 -m 0.0.0.0 -d 0.0.0.0 -M 0.0.0.0 -l Y -r L -D “allow and log port 21 traffic”

Inicie el registro: 

mkfilt -g start

Active el conjunto de reglas: 

mkfilt -u

Espere a que ocurran las conexiones FTP salientes, luego: 

grep ipsec_logd /var/log/ipsec.log | grep DP:21

Verá las direcciones IP de origen y destino para las conexiones FTP salientes junto con marcas de tiempo, como: 

May 18 11:29:40 localhost local4:info ipsec_logd: #:0 R:p O:10.1.1.1 S:10.1.1.1 D:10.2.2.2 P:tcp SP:55091 DP:21 R:l I:en0 F:n T:0 L:0

No registra el contenido (comandos) de la sesión FTP, pero tienen marcas de tiempo y destinos. Tenga en cuenta que cada paquete de cada conexión FTP se registra!

Referencias:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *