Wenn Sie ungewöhnliche Verbindungen, offene Ports unbekannter Herkunft oder zufällige fehlgeschlagene Anmeldeversuche feststellen, ist es wichtig zu verstehen, wie… Verdächtige Verbindungen über die CMD blockieren und die Firewall Es ist nicht länger etwas „für Experten“, sondern eine Notwendigkeit. Mit wenigen, bewährten Befehlen können Sie Angriffe stoppen, die Serverlast reduzieren und einen umfassenden Einblick in die Vorgänge in Ihrem Netzwerk gewinnen.
Unter Windows, Linux und sogar auf Sicherheitsgeräten wie FortiGate stehen Ihnen native Tools zur Verfügung für Datenverkehr überwachen, schädliche Prozesse identifizieren und IPs, Bereiche oder Protokolle blockierenDer Trick besteht darin, sie gut zu kombinieren: Zuerst erkennt man mit netstat, Protokollen und Überwachung, dann reagiert man, indem man über die Eingabeaufforderung oder die Firewall blockiert oder das Gerät direkt isoliert, wenn die Situation außer Kontrolle geraten ist.
Netstat und CMD: Das erste Radar zur Erkennung verdächtiger Verbindungen
Der Befehl netstat ist eines der klassischen Werkzeuge zur Überprüfung von Verbindungen. Unter Windows, Linux und anderen Systemen wie macOS oder Unix ist diese Funktion, obwohl sie schon seit den 90er Jahren existiert, immer noch sehr nützlich, um zu wissen, welche Komponenten auf Ihrem Computer oder Server miteinander verbunden sind.
Der Name leitet sich von Netzwerk und Statistik ab, und das beschreibt seine Funktion ziemlich genau: Es liefert Ihnen Netzwerkstatistiken, Routingtabelle, offene Ports und aktive VerbindungenDies umfasst sowohl eingehende als auch ausgehende Verbindungen. Es ist entscheidend, um festzustellen, welcher Prozess einen Port belegt, wo sich ein ungewöhnlicher Dienst verbindet oder ob ein ungewöhnlich hohes Verbindungsvolumen vorliegt.
Das Tool verfügt über keine grafische Benutzeroberfläche; es funktioniert über die Kommandozeile oder das Terminal, weshalb es in Serverumgebungen und in anderen Umgebungen weit verbreitet ist. forensische VorfallanalyseIm Gegenzug bietet es einen Detailgrad, der bei „hübschen“ Dienstprogrammen selten zu finden ist, und ermöglicht es Ihnen, Malware zu erkennen, die von bestimmten Ports oder Verbindungen zu verdächtigen Remote-Hosts abhängig ist.
Bevor man mit netstat Schlussfolgerungen zieht, empfiehlt es sich, unnötige Programme zu schließen oder den Computer sogar neu zu starten und nur die unbedingt notwendigen Programme zu öffnen, denn so Sie reduzieren Störungen durch legitime Verbindungen. (Browser, Chat-Clients usw.) und, falls erforderlich, Prüfen Sie, wie viele Geräte verbunden sind. um am Ende ein klareres Bild von dem zu erhalten, was Sie eigentlich untersuchen möchten.
Darüber hinaus verwaltet netstat eine Routingtabelle und Statistiken pro Protokoll, die zur Visualisierung beitragen. Fehler, Paketverluste und ÜberlastungWenn Sie einen Engpass oder einen teilweisen Serviceausfall verstehen wollen, ist dies ein wichtiges Puzzleteil.
Weitere nützliche netstat-Optionen zur Suche nach ungewöhnlichen Verbindungen
Unter Windows können Sie netstat über die Eingabeaufforderung (CMD) oder das moderne Terminal ausführen, unter Linux über jede beliebige Konsole. Die typische Syntax unter Windows sieht etwa so aus: netstat Sie können die Parameter so kombinieren, wie Sie es wünschen.
Wenn Sie einfach schreiben netstat Durch Drücken der Eingabetaste erhalten Sie eine Liste der aktiven Verbindungen: Protokoll (TCP/UDP), lokale Adresse mit Port, Remote-Adresse und Status (LISTENING, ESTABLISHED, TIME_WAIT usw.). Mithilfe dieser Informationen können Sie Verbindungen zu unbekannten IP-Adressen oder Ports aufspüren, die Sie noch nie zuvor gesehen haben.
Um im numerischen Modus zu arbeiten (ohne zu versuchen, DNS-Namen aufzulösen), verwenden Sie normalerweise netstat -nHier werden unübersetzte IP-Adressen und Portnummern angezeigt. Dadurch wird die Ausgabe schneller und übersichtlicher, wenn Sie verdächtige IPs mit Blacklists oder Firewall-Protokollen vergleichen.
Wenn die Informationen alle X Sekunden aktualisiert werden sollen, können Sie am Ende eine Zahl hinzufügen, zum Beispiel netstat -n 7 Die Ausgabe wird alle 7 Sekunden wiederholt. Dies ist eine einfache Möglichkeit, eine Art „Monitor“ über die Eingabeaufforderung (CMD) zu erhalten, ohne externe Tools zu verwenden.
Besonders nützlich ist netstat bei der Suche nach ungewöhnlichen Aktivitäten in den erweiterten Parametern, die es Ihnen ermöglichen, Filtern Sie nach Protokoll, zeigen Sie zugehörige Prozess-IDs, Statistiken oder Routen an.:
- netstat -a: zeigt alle Verbindungen und Listening-Ports (aktive und inaktive).
- netstat -e: Zeigt Verkehrsstatistiken an (gesendete/empfangene Bytes, Fehler, verworfene Pakete).
- netstat -f: Löst den FQDN (vollständig qualifizierten Domänennamen) von Remote-Hosts auf und zeigt ihn an.
- netstat -n: Zeigt IPs und Ports im numerischen Format an.
- netstat -o: zeigt die Prozess-ID (PID) des Prozesses an, der die jeweilige Verbindung nutzt; dies ist der Schlüssel zum Abgleich mit dem Task-Manager.
- netstat -p X: Filtert nach Protokoll (TCP, UDP, TCPv4, TCPv6...).
- netstat -q: Liste der verknüpften Listening- und Nicht-Listening-Ports.
- netstat -sStatistiken gruppiert nach Protokoll (TCP, UDP, ICMP, IPv4, IPv6).
- netstat -r: zeigt die aktuelle Routingtabelle an.
- netstat -t: Fokus auf Verbindungen im Downloadprozess.
- netstat -xInformationen zu NetworkDirect-Verbindungen.
Ein sehr häufiger Anwendungsfall für die Überprüfung grundlegender Sicherheitsfunktionen ist netstat -JahrHier werden mehrere dieser Optionen kombiniert: Sie sehen alle aktiven Verbindungen mit IPs, Ports und Prozess-IDs. Von dort aus können Sie seltene Prozesse aufspüren Im Task-Manager oder mit Tools wie TCPView können Sie entscheiden, ob Sie die Programme über die Firewall blockieren oder deinstallieren sollten.
Es ist beispielsweise auch sehr praktisch, den Zustand mit findstr zu filtern. netstat | findstr ESTÄTIGT um nur bestehende Verbindungen anzuzeigen oder um ESTABLISHED in LISTENING, CLOSE_WAIT, TIME_WAIT usw. zu ändern, wenn Untersuchen Sie Ressourcenlecks oder Zombie-Verbindungen?.
Vorteile, Einschränkungen und Leistungsauswirkungen von netstat
Netstat glänzt, weil es Ihnen Folgendes bietet: ziemlich direkte Übersicht darüber, welche Ports und Verbindungen aktiv sind. Für Administratoren und Analysten ist dies auf einem Computer ein wahrer Schatz. Es ermöglicht die Überwachung des Datenverkehrs, die Verfolgung von Sitzungen, die Durchführung von Leistungsanalysen und die relativ schnelle Erkennung unautorisierter Verbindungen oder verdächtigen Verhaltens.
Dank seiner Statistiken können Sie erkennen ungewöhnliche Spitzenwerte in bestimmten Protokollen oder eine Zunahme von FehlernDies deutet häufig auf Netzwerküberlastung, Portscans, Brute-Force-Angriffe oder falsch konfigurierte Schadsoftware hin. Da es sich um ein natives Dienstprogramm handelt, ist unter Windows und vielen Linux-Distributionen keine Installation erforderlich.
Es hat jedoch auch seine Nachteile. Zunächst einmal… Die Ausgabe kann ziemlich dicht und kryptisch sein. Wenn man nicht gewohnt ist, Verbindungen, Zustände und Ports zu interpretieren, ist die Lernkurve für einen technisch nicht versierten Benutzer nicht gerade glatt, und er wird wahrscheinlich am Ende Programme mit einer grafischen Benutzeroberfläche verwenden.
Ein weiterer Punkt ist, dass netstat für sich genommen, Es verschlüsselt nichts, es blockiert nichts und es führt keine tiefgehende Analyse durch.Es zeigt lediglich Informationen an. Um diese Daten in eine wirksame Verteidigung umzuwandeln, müssen Sie sie durch Firewalls, EDR-Systeme, IDS/IPS und weitere Tools ergänzen.
Es lässt sich nicht besonders gut skalieren. In riesigen Netzwerken oder Umgebungen mit Tausenden gleichzeitiger Verbindungen spielt es in modernen Infrastrukturen oft eine untergeordnete Rolle im Vergleich zu Lösungen wie fortgeschrittenem PowerShell, SNMP, ss unter Linux oder leistungsfähigeren grafischen Anzeigeprogrammen.
Leistungstechnisch gesehen "zerstört" der Befehl selbst das System nicht, aber wenn Sie ihn ausführen kontinuierlich, mit vielen Parametern und an Geräten mit Tausenden von AnschlüssenEs kann CPU- und Speicherressourcen stark beanspruchen. Es wird empfohlen, es nur gelegentlich, mit bestimmten Filtern und ohne ständiges Aktualisieren in sehr kurzen Abständen zu verwenden.
Dank seines Detailgrads hilft netstat Ihnen sogar dabei, Malware erkennen das sich wie ein Rootkit verhält oder Prozesse hinter ungewöhnlichen Verbindungen verbirgt.
So schalten Sie von der Erkennung zur Blockierung um: Windows-Firewall und IP-Blockierung
Sobald Sie mithilfe von netstat oder Protokollen verdächtige Verbindungen oder IPs aufgespürt haben, ist der nächste logische Schritt die Verwendung von Verwenden Sie die Windows-Firewall, um diese verdächtigen IP-Adressen zu blockieren.Dadurch wird der Datenverkehr an der Quelle unterbrochen und Ressourcen auf dem Server oder PC gespart.
Der typische Vorgang zum Blockieren einer bestimmten IP-Adresse unter Windows besteht darin, eine benutzerdefinierte Eingangsregel:
- Öffnen Sie die Windows-Firewall mit erweiterter Sicherheit und klicken Sie auf „Neue Regel“.
- Wählen Sie „Benutzerdefiniert“, um den zu blockierenden Datenverkehr genau definieren zu können.
- Wählen Sie „Alle Programme“, wenn die Regel für alle Anwendungen gelten soll.
- Bei „Protokoll und Ports“ lassen Sie die Einstellung auf „Beliebig“, es sei denn, Sie benötigen etwas ganz Bestimmtes.
- Fügen Sie unter „Bereich“ die Quell-IP-Adresse oder den IP-Adressbereich hinzu, den Sie blockieren möchten.
- Wählen Sie „Verbindung blockieren“ als Standardaktion aus.
- Entscheiden Sie, auf welche Profile es zutrifft (Domäne, privat und öffentlich, in der Regel alle drei).
- Geben Sie ihm einen einprägsamen Namen, zum Beispiel Blockierung verdächtiger IP-Adressenund speichern.
Dadurch werden alle Verbindungsversuche von dieser IP-Adresse direkt abgewiesen. Dies ist besonders nützlich, wenn ein Angreifer wiederholt versucht, auf Ihre Website zuzugreifen oder Sicherheitslücken auszunutzen. kleine DDoS-Angriffe oder Testen von Anmeldeinformationen gegen Verwaltungsgremien.
Wenn Sie den Zugriff auf eine auf einem Server gehostete Website direkt blockieren möchten, anstatt ihn systemweit zu sperren, besteht eine weitere Möglichkeit darin, die Datei zu verwenden. .htaccess in Control Panels wie PleskDort können Sie Regeln hinzufügen wie:
Order Allow,Deny
Deny from 192.168.xx.x
Allow from all
und wiederholen Sie die Zeile Deny für jede zusätzliche IP-Adresse. Dadurch wird sichergestellt, dass Benutzer, die von diesen IP-Adressen aus auf Ihre Website zugreifen, lediglich eine Fehlermeldung erhalten und keine Anwendungs- oder Datenbankressourcen beanspruchen.
Sie können auch länderspezifisches Geo-Blocking über die .htaccess-Datei aktivieren, sofern der Server dies zulässt. Dabei lässt sich bestimmter Datenverkehr (z. B. aus einem Land, aus dem Sie ausschließlich Angriffe erhalten) mithilfe von RewriteCond-Regeln auf eine Fehlerseite umleiten. GEOIP-Ländercode.
Blockieren von IP-Adressen und -Bereichen über CMD und Netzwerktools
In manchen Umgebungen, insbesondere auf Linux-Servern oder -Systemen, wo die Arbeit fast immer in der Konsole erledigt wird, ist es direkter, Routing- oder Firewall-Befehle vom Terminal um den Datenverkehr von einer problematischen IP-Adresse zu unterbrechen.
Mit dem Befehl Route In Unix-ähnlichen Systemen können Sie Routen hinzufügen, die den Datenverkehr im Wesentlichen an einen bestimmten Host „überfluten“. Zum Beispiel:
route add -host 24.92.120.34 reject
Mit diesem Befehl wird jeder Versuch, diese IP-Adresse zu erreichen, abgewiesen. Um zu sehen, was blockiert ist oder wie die Routing-Tabelle aussieht, können Sie Folgendes verwenden: Route -n, wodurch die aktiven Routen angezeigt werden.
Wenn Sie zu irgendeinem Zeitpunkt brauchen die Blockade aufhebenEinfach ausführen:
route del 24.92.120.34 reject
Wenn wir darüber reden komplette SortimenteSie können beispielsweise Folgendes verwenden:
ip route add blackhole 22.118.20.0/24
Dadurch entsteht eine „Blackhole“-Route für ein gesamtes Teilnetz, was Folgendes verursacht: Pakete, die für diese Adressen bestimmt sind, werden ohne Antwort verworfen.Es ist sehr nützlich gegen massive Angriffe, die von einem bestimmten Bereich ausgehen, oder um massiven Spam von Gruppen von IPs zu stoppen.
Um nicht unvorbereitet vorzugehen, ist es ratsam, sich auf Folgendes zu verlassen: IP-Bereichsrechner um genau zu wissen, wie viele und welche Sie blockieren, insbesondere wenn Sie es mit Subnetzen mit Masken zu tun haben, die etwas komplexer als /24 sind.
VPN-Verbindungen und Fernzugriffe von verdächtigen IP-Adressen blockieren
SSL-VPNs sind ein sehr verlockendes Ziel für Angreifer, denn wenn sie es schaffen, einzudringen, geben Sie ihnen Zugriff auf Ihre Sicherheitslücken. Nahezu direkter Zugriff auf Ihr internes NetzwerkGeräte wie FortiGate ermöglichen es, einzuschränken, welche IPs sich mit dem VPN verbinden dürfen, und das ist eine sehr interessante zusätzliche Verteidigungsebene.
Ein typischer Ansatz besteht darin, ein/e zu erstellen Gruppe von Adressen vom Typ „Blacklist“ (zum Beispiel blacklistipp) auf dem FortiGate, wo Sie öffentliche IPs hinzufügen, die Brute-Force-Angriffe versucht haben oder bei denen in den VPN-Protokollen ungewöhnliches Verhalten festgestellt wurde.
Später, im Firewall-KonsoleDie SSL-VPN-Konfiguration wird wie folgt angepasst:
- VPN-SSL-Einstellungen konfigurieren
- set source-address “blacklistipp”
- set source-address-negate enable
- erklären um die angewendete Konfiguration zu überprüfen.
Bei dieser Einstellung wird jeder Verbindungsversuch von einer IP-Adresse, die zu dieser Gruppe gehört, von Anfang an abgelehntohne dass die Eingabe eines Benutzernamens und eines Passworts erlaubt ist, was den Ressourcenverbrauch und die Angriffsfläche erheblich reduziert.
Sie können auch von hier aus arbeiten Grafische Oberfläche Die Konfiguration von „Zugriff einschränken“ und die Beschränkung auf bestimmte Hosts, obwohl in diesem Modus der Benutzer Anmeldeinformationen eingibt und die Verbindung dann unterbrochen wird, ist aus Sicht der frühzeitigen Risikominderung weniger effizient.
Um zu überprüfen, ob das Schloss funktioniert, können Sie Diagnosebefehle wie die folgenden verwenden: Diagnose-Sniffer-Paket Filtern nach IP-Adresse und VPN-Port oder Überprüfen VPN-SSL-Überwachung um zu überprüfen, welche Verbindungen hergestellt wurden und welche nicht.
Fortschrittliche Verteidigung: Isolierung von Geräten und Identitäten
Wenn die Lage wirklich ernst ist (Ransomware, laterale Ausbreitung, Datenexfiltration), reicht es nicht aus, einfach einen Port zu schließen oder eine bestimmte IP-Adresse zu blockieren: Manchmal braucht man das kompromittierte Gerät oder sogar die Identität vollständig isolieren.
Microsoft Defender für Endpoint Es integriert schnelle Reaktionsmaßnahmen auf Geräteebene: Sie können Geräte taggen, automatisierte Untersuchungen einleiten, Remote-Live-Response-Sitzungen öffnen, vollständige Untersuchungspakete sammeln und von der zentralen Konsole aus detaillierte Antiviren-Scans starten.
Die Zusammenstellung eines Forschungspakets unter Windows umfasst Informationen wie beispielsweise Registry-Startvorgänge, installierte Programme, aktive Netzwerkverbindungen, ARP-Cache, DNS, TCP/IP-Konfiguration, Firewall-Protokolle, Prefetch-Vorabruf, Prozesse, geplante Aufgaben, Sicherheitsprotokoll, Dienste, SMB-Sitzungen, Systeminformationen und temporäre VerzeichnisseDas Ganze wird in einer Ordnerstruktur und einem zusammenfassenden Bericht (CollectionSummaryReport.xls) zusammengefasst.
macOS und Linux sammeln etwas Ähnliches: installierte Anwendungen, Festplattenvolumes, Netzwerkverbindungen, Prozesse, Dienste, Sicherheitsinformationen, Benutzer und Gruppen usw., was Folgendes ermöglicht Rekonstruieren Sie das Angriffsszenario ziemlich gut.
Eine besonders wirkungsvolle Maßnahme ist die GeräteisolierungDer betroffene Computer wird vom Netzwerk getrennt (mit Ausnahme der notwendigen Kommunikation mit dem Cloud-Sicherheitsdienst), um weitere Aktionen des Angreifers oder Datenlecks zu verhindern. Vollständige und selektive Isolation (wodurch beispielsweise Outlook und Teams weiterhin funktionieren) sind unter verschiedenen Versionen von Windows, macOS und Linux verfügbar, vorbehaltlich bestimmter iptables- und Kernel-Anforderungen.
Parallel dazu besteht die Möglichkeit enthalten nicht verwaltete Geräte über ihre IP-Adresse: Defender-geschützte Geräte blockieren jeglichen eingehenden oder ausgehenden Datenverkehr an diese Adresse und verlangsamen so die Ausbreitung von „Inseln“ des Netzwerks, auf denen noch kein Sicherheitsagent eingesetzt ist.
Es kann auch sich selbst enthalten Benutzer oder Identität Verdächtig: Netzwerk-Logins, RDP, SMB und RPC werden blockiert; laufende Remote-Sitzungen werden beendet; und die Ausbreitung im Netzwerk wird verhindert. Diese Eindämmung wird in der Regel automatisch durch Angriffsunterbrechungslogik und vorausschauenden Schutz ausgelöst und kann nach Behebung des Vorfalls über das Aktionscenter rückgängig gemacht werden.
Firewall unter Linux: UFW, firewalld und iptables zum Stoppen schädlichen Datenverkehrs
Auf Linux-Servern ist die Schlüsselkomponente zum Blockieren ungewöhnlicher Verbindungen die System-Firewall, üblicherweise basierend auf iptables/nftables, mit Verwaltungsschichten wie UFW oder firewalld um es freundlicher zu machen.
In Ubuntu und vielen kompatiblen Distributionen vereinfacht UFW (Uncomplicated Firewall) die Sache erheblich. Sie können es mit folgendem Befehl installieren: sudo apt installieren ufwÜberprüfen Sie seinen Status mit Sudo UFW Status und aktivieren Sie es mit sudo ufw aktivierenStandardmäßig blockiert es in der Regel den gesamten eingehenden Datenverkehr und lässt ausgehenden Datenverkehr zu, was bereits eine recht sichere Einstellung darstellt.
Zur Definition der grundlegenden Richtlinien werden Befehle wie die folgenden verwendet:
sudo ufw default deny incoming
sudo ufw default allow outgoing
Anschließend können Sie bestimmte Dienste zulassen: zum Beispiel sudo ufw erlauben ssh Port 22 öffnen, oder sudo ufw erlauben 2222 / tcp Wenn Sie einen nicht standardmäßigen SSH-Port verwenden, können Sie einen Dienst beispielsweise wie folgt blockieren: sudo ufw deny 80 Schließen Sie den HTTP-Port.
Wenn Sie eine vertrauenswürdige IP-Adresse haben oder umgekehrt eine bestimmte Adresse blockieren möchten, können Sie Regeln wie die folgenden verwenden: sudo ufw allow from o sudo ufw deny fromund sogar mit „zu jedem Hafen“ feinabstimmen „um den Block einem bestimmten Port zuzuordnen.“
Die Regeln können nummeriert aufgelistet werden mit sudo ufw Status nummeriert und entfernen mit sudo ufw deleteDadurch wird es sehr einfach, die Richtlinie anhand der Informationen in Protokollen und Tools wie netstat, ss oder iftop anzupassen.
Zugriff absichern: Benutzer, SSH und Authentifizierung
Das Blockieren verdächtiger Verbindungen ist großartig, aber genauso wichtig. Verringern Sie die Angriffsfläche, indem Sie einschränken, wer und wie Zugang erhalten kann.Hier kommen Benutzerverwaltung, SSH und starke Authentifizierung ins Spiel.
Unter Linux stellt jedes Benutzerkonto mit Serverzugriff ein potenzielles Einfallstor für Angriffe dar, wenn es nicht ordnungsgemäß verwaltet wird. Konten werden erstellt mit useraddIhnen wird ein Passwort zugewiesen mit passwd Berechtigungen und Gruppen werden mit Tools wie chown und chmod angepasst, um zu verhindern, dass sie mehr Zugriffe haben, als sie sollten.
Um SSH zu stärken, ist es ideal, Folgendes zu verwenden: öffentliche/private Schlüssel statt PasswörterSie generieren Ihr Paar mit ssh-keygenSie akzeptieren oder definieren den Speicherpfad und fügen, falls gewünscht, eine zusätzliche Sicherheitsebene hinzu. Anschließend senden Sie den öffentlichen Schlüssel mit ssh-copy-id user@host Und von dort aus können Sie sich einloggen mit ssh user@host mit Ihrem Schlüssel.
Sobald die Schlüsselauthentifizierung funktioniert, ist es eine gute Vorgehensweise. Passwortanmeldung deaktivieren in der Datei /etc/ssh/sshd_config die Direktive PasswordAuthentication auf „no“ ändern und den Dienst neu starten mit systemctl startet ssh neuAuf diese Weise kann ein Angreifer keine Brute-Force-Angriffe auf Passwörter durchführen, da der Server diese Methode gar nicht erst akzeptiert.
Wenn Sie dies hinzufügen Zwei-Faktor-Authentifizierung Bei kritischen Diensten verringern regelmäßige Passwortrotation und Konten mit minimalen Berechtigungen die Wahrscheinlichkeit, dass eine verdächtige Verbindung über einige wenige Fehlversuche hinauskommt, drastisch.
Protokolle und Überwachung: Ohne Transparenz ist eine effektive Blockierung nicht möglich.
Keine Blockierungsstrategie funktioniert gut, wenn man keine hat ordentliche Audit-Protokolle und minimale ÜberwachungMan muss sehen, was passiert, um rechtzeitig reagieren zu können und gegebenenfalls den Hergang eines Vorfalls nachzuvollziehen.
Unter Linux sind die meisten Systemprotokolle in folgenden Dateien konzentriert: / var / logKernelmeldungen, Authentifizierung, Netzwerkdienste, Systemdienste… Es steuert fast immer das Verhalten und das Format. rsyslog (oder Varianten davon), konfiguriert in Dateien wie /etc/rsyslog.conf oder in Dateien innerhalb von /etc/rsyslog.d/.
Dort können Sie festlegen, welche Ereignistypen protokolliert werden, deren Schweregrad und in welcher Datei sie gespeichert werden. Es ist auch möglich Protokolle an einen zentralen Server senden um sie besser analysieren zu können und zu verhindern, dass ein Angreifer sie auf dem kompromittierten Computer leicht löschen kann.
Ausgewogenheit ist wichtig: Es ist nicht möglich, absolut alles aufzuzeichnen. Die Festplatte wird voll, sodass es unmöglich wird, nützliche Informationen herauszufiltern.Eine sehr lückenlose Protokollierung birgt gefährliche Sicherheitslücken. Deshalb kombinieren viele Anwender eine detaillierte Protokollierung kritischer Dienste (SSH, Firewall, Authentifizierung) mit einer weniger strengen Protokollierung weniger sensibler Komponenten.
Zur Analyse können Sie Befehle wie grep, awk oder less verwenden, aber in mittleren und großen Umgebungen ist es üblich, SIEM-Tools oder -Stacks wie [Name der Software/Plattform einfügen] einzusetzen. ELK, Splunk oder ähnlichesdie es ermöglichen, Ereignisse zu korrelieren, Angriffsmuster zu erkennen und Echtzeitwarnungen zu generieren.
Unter Windows wird etwas Ähnliches mit der Ereignisanzeige, den Windows Defender-Protokollen, der Firewall und, auf einer fortgeschritteneren Ebene, mit Lösungen wie … realisiert. Microsoft Defender XDR die diesen gesamten Datenfluss bereits integrieren und mit Bedrohungsdaten abgleichen.
Durch die Kombination von netstat und anderen Netzwerkdienstprogrammen zur Erkennung verdächtigen Datenverkehrs, die Stärkung der Firewall (unter Windows, Linux oder auf dedizierten Geräten), die effektive Verwaltung von Benutzern und SSH sowie die Nutzung erweiterter Funktionen wie Geräteisolierung oder IP- und Kontobegrenzung sind Sie deutlich besser aufgestellt: Verdächtige Verbindungen werden nicht länger zu einer wiederkehrenden Angst, sondern zu Ereignissen, die Sie kontrollieren können. Schnell identifizieren, über die Kommandozeile oder Sicherheitspanels blockieren und in Ruhe analysieren. um die Verteidigung Ihrer gesamten Infrastruktur schrittweise zu verbessern.
