Qu'est-ce que les entrées du journal d'audit de UFW signifie?

11

Je reçois parfois beaucoup de ces entrées du journal d'audit 

...

[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0

...

Qu'est-ce que cela veut dire? Quand surviennent-ils et pourquoi? Dois-je et puis-je désactiver ces entrées spécifiques? Je ne veux pas désactiver la journalisation UFW, mais je ne suis pas sûr que ces lignes sont utiles à tous.

Notez que cela ne se produit pas réellement dans /var/log/ufw.log. Cela ne se produit qu'en /var/log/syslog. pourquoi est-ce le cas?

Plus d'informations

  • ma journalisation est définie sur moyen: Logging: on (medium)
firewall logging ufw À M
la source

Réponses:

3

Définissez votre journalisation pour lowsupprimer les AUDITmessages.

Le but de la vérification (de ce que je vois) est liée à l'exploitation forestière non par défaut / recommandé - cependant, c'est une supposition, et je ne peux pas sembler trouver quelque chose de concret avec cela.

jrg
la source
Niveau de journal se trouve dans le menu d'options.
MUY Belgique
Options @MUYBelgium menu quel outil?
JRG
9

Qui dépendent de la ligne. Il s'agit généralement de Field = value.

Il est IN, OUT, l'interface entrante ou sortante (ou les deux, les paquets qui sont tout simplement relayée.

Certains d'entre eux sont les suivants:

  • TOS , pour le type de service,
  • DST est IP de destination,
  • SRC est ip source
  • TTL est le temps à vivre, un petit compteur décrémenté chaque fois qu'un paquet est envoyé à travers un autre routeur (donc s'il y a une boucle, le paquet lui - même détruire une fois à 0)
  • DF est un peu « Ne pas fragmenter », demandant au paquet de ne pas être fragmenté lors de l' envoi
  • PROTO est le protocole (principalement TCP et UDP)
  • SPT est le port source
  • TPN est le port de destination

etc.

Vous devriez jeter un oeil à la documentation TCP / UDP / IP, où tout est expliqué de manière plus détaillée que je ne pourrais jamais faire.

Prenons le premier, cela veut dire que 176.58.105.134 envoyé un paquet UDP sur le port 123 pour 194.238.48.2. C'est pour ntp. Donc , je suppose que quelqu'un essayer d'utiliser votre ordinateur comme un serveur ntp, probablement par erreur.

Pour l'autre ligne, qui est curieux, que de trafic sur l'interface loopback (lo), ce qui ne va nulle part, il va et vient de votre ordinateur.

Je voudrais vérifier si quelque chose est à l' écoute sur le port tcp 30002 avec lsofou netstat.

Divers
la source
Je vous remercie. Port 30002 est un arbitre MongoDB en cours d' exécution. Je ne sais rien de ntpbien, dois - je être inquiet?
Tom
Non. NTP est juste pour régler l'heure, vous l'avez probablement déjà utilisé sans le savoir (lorsque vous cochez "utiliser le réseau pour synchroniser l'heure" dans gnome, il utilise ntp). Il a juste le temps de synchronisation à travers un réseau. Peut - être que l'ip faisait partie du pool global du réseau PNT ( pool.ntp.org/fr ), d' où la demande de quelqu'un sur Internet?
Divers
2

En plus de ce qui a été dit, il est également possible de déduire ce qui va être connecté en inspectant iptables règles. Plus précisément , les règles de correspondance qui sont enregistrés peuvent être filtrés comme ceci sudo iptables -L | grep -i "log":

ufw-before-logging-input  all  --  anywhere             anywhere
ufw-after-logging-input  all  --  anywhere             anywhere
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-before-logging-output  all  --  anywhere             anywhere
ufw-after-logging-output  all  --  anywhere             anywhere
Chain ufw-after-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG        all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)

Ce sont pour la plupart des règles par défaut partiel. Inspectant la sortie révèle au- dessus des ufw-before-*chaînes pour générer [..] AUDIT UFW journaux.

Je ne suis pas un grand expert sur iptables et le manuel UFW est pas très utile sur cela , mais pour autant que je peux dire des règles pour cette sit chaîne en /etc/ufw/before.rules .

Par exemple, les lignes ci-dessous autorisent les connexions de bouclage qui pourraient avoir déclenché les deux dernières lignes d'exemple dans votre journal (celles commençant par [UFW AUDIT] IN = lo)

# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....

Quant à moi, je reçois beaucoup de paquets LLMNR enregistrés sur le port 5353:

Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126

Je pense que ce sont les causes suivantes dans rules.before:

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

Une façon de désactiver ce sont à faire feu jusqu'à ce qui suit:

sudo ufw deny 5353
Sebastian Müller
la source