web-dev-qa-db-fra.com

Que signifient les entrées du journal d'audit d'UFW?

Je reçois parfois beaucoup de ces entrées du journal AUDIT dans

...

[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0

...

Qu'est-ce que cela veut dire? Quand surviennent-ils et pourquoi? Dois-je et puis-je désactiver ces entrées spécifiques? Je ne souhaite pas désactiver la journalisation UFW, mais je ne suis pas sûr que ces lignes soient utiles du tout.

Notez que cela ne se produit pas réellement dans /var/log/ufw.log. Cela se produit uniquement dans /var/log/syslog. pourquoi est-ce le cas?

Plus d'informations

  • ma journalisation est définie sur moyenne: Logging: on (medium)
firewallloggingufw
11
Tom

Définissez votre consignation sur lowpour supprimer les messages AUDITname__.

Le but de AUDIT (d'après ce que je vois) est lié à la journalisation non recommandée par défaut/recommandée. Cependant, c'est une supposition, et je ne trouve rien de concret à cela.

3
jrg

Cela dépend de la ligne. Généralement, c'est Field = valeur.

Il y a IN, OUT, l'interface entrante ou sortante (ou les deux) pour les paquets qui viennent d'être relayés.

Quelques-uns d'entre eux sont:

  • TOS, pour Type de service,
  • DST est l'adresse IP de destination,
  • SRC est l'IP source
  • TTL c'est le moment de vivre, un petit compteur décrémenté chaque fois qu'un paquet passe par un autre routeur (donc s'il y a une boucle, le paquet se détruit une fois à 0)
  • DF est le bit "ne pas fragmenter", demandant au paquet de ne pas être fragmenté lors de l'envoi
  • PROTO est le protocole (principalement TCP et UDP)
  • SPT est le port source
  • DPT est le port de destination

etc.

Vous devriez jeter un coup d'œil à la documentation TCP/UDP/IP, où tout est expliqué de manière plus détaillée que possible.

Prenons le premier, cela signifie que 176.58.105.134 a envoyé un paquet UDP sur le port 123 pour 194.238.48.2. C'est pour ntp. Donc, je suppose que quelqu'un essaie d'utiliser votre ordinateur en tant que serveur NTP, probablement par erreur.

Pour l’autre ligne, c’est curieux, c’est le trafic sur l’interface de bouclage (lo), c’est-à-dire que cela ne va nulle part, cela va et vient de votre ordinateur.

Je voudrais vérifier si quelque chose écoute sur le port TCP 30002 avec lsof ou netstat.

9
Misc

En plus de ce qui a été dit, il est également possible de déduire ce qui va être enregistré en inspectant les règles d'iptables . Plus précisément, les règles de correspondance consignées peuvent être filtrées comme suit: Sudo iptables -L | grep -i "log":

ufw-before-logging-input  all  --  anywhere             anywhere
ufw-after-logging-input  all  --  anywhere             anywhere
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-before-logging-output  all  --  anywhere             anywhere
ufw-after-logging-output  all  --  anywhere             anywhere
Chain ufw-after-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG        all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)

Ce sont pour la plupart des règles par défaut. L'inspection de la sortie ci-dessus révèle que les chaînes ufw-before-* permettent de générer des journaux [UFW AUDIT ..].

Je ne suis pas un grand expert sur iptables et le manuel UFW n’est pas très utile à cet égard, mais pour autant que je sache, des règles correspondant à cette chaîne sont affichées /etc/ufw/before.rules .

Par exemple, les lignes ci-dessous autorisent les connexions en boucle qui pourraient avoir déclenché les deux dernières lignes de votre journal (celles commençant par [UFW AUDIT] IN = lo).

# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....

Quant à moi, je reçois beaucoup de paquets enregistrés LLMNR sur le port 5353:

Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126

Lesquels je pense sont causés par ce qui suit dans rules.before:

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

Une façon de les désactiver consiste à lancer ce qui suit:

Sudo ufw deny 5353
1
Sebastian Müller