Saltar al contenido

¿Qué significan las entradas del registro de auditoría de UFW?

Solución:

Eso depende de la línea. Por lo general, es Campo = valor.

Hay ENTRADA, SALIDA, la interfaz entrante o saliente (o ambas, para los paquetes que se acaban de retransmitir.

Algunos de ellos son:

  • TOS, por Tipo de servicio,
  • DST es la ip de destino,
  • SRC es ip de origen
  • TTL es tiempo de vida, un pequeño contador decrementa cada vez que un paquete pasa a través de otro enrutador (por lo tanto, si hay un bucle, el paquete se destruye a sí mismo una vez a 0)
  • DF es el bit “no fragmentar”, que solicita que el paquete no se fragmente cuando se envía
  • PROTO es el protocolo (principalmente TCP y UDP)
  • SPT es el puerto de origen
  • DPT es el puerto de destino

etc.

Debería echar un vistazo a la documentación de TCP / UDP / IP, donde todo se explica de una manera más detallada que yo podría hacer.

Tomemos el primero, eso significa que 176.58.105.134 envió un paquete UDP en el puerto 123 para 194.238.48.2. Eso es para ntp. Así que supongo que alguien intentó usar su computadora como servidor ntp, probablemente por error.

Para la otra línea, eso es curioso, es tráfico en la interfaz loopback (lo), es decir, eso no va a ninguna parte, va y viene de su computadora.

Verificaría si algo está escuchando en el puerto tcp 30002 con lsof o netstat.

Configure su registro en low para quitar el AUDIT mensajes.

El propósito de AUDIT (por lo que estoy viendo) está relacionado con el registro no predeterminado / recomendado; sin embargo, eso es una suposición, y parece que no puedo encontrar nada concreto con eso.

Además de lo que se ha dicho, también es posible inferir lo que se va a registrar inspeccionando iptables normas. Específicamente, las reglas coincidentes que se están registrando se pueden filtrar de esta manera sudo iptables -L | grep -i "log":

ufw-before-logging-input  all  --  anywhere             anywhere
ufw-after-logging-input  all  --  anywhere             anywhere
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-before-logging-output  all  --  anywhere             anywhere
ufw-after-logging-output  all  --  anywhere             anywhere
Chain ufw-after-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG        all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)

Esas son, en su mayor parte, reglas predeterminadas. La inspección de la salida anterior revela la ufw-before-* cadenas para generar [UFW AUDIT ..] registros.

No soy un gran experto en iptables y el manual de UFW no es muy útil en esto, pero por lo que puedo decir, las reglas que coinciden con esta cadena se encuentran en /etc/ufw/before.rules.

Por ejemplo, las líneas a continuación permiten conexiones de bucle invertido que podrían haber activado las dos últimas líneas de ejemplo en su registro (las que comienzan con [UFW AUDIT] IN = lo)

# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....

En cuanto a mi parte, obtengo muchos paquetes LLMNR registrados en el puerto 5353:

Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126 

Que creo que son causados ​​por lo siguiente en rules.before:

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

Una forma de desactivarlos es activar lo siguiente:

sudo ufw deny 5353
¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *