UFWの監査ログエントリの意味は何ですか?

11

私は時々これらのAUDITログエントリの多くを取得しています 

...

[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0

...

これの意味は何ですか?それらはいつ発生し、なぜ発生しますか?これらの特定のエントリを無効にする必要がありますか?UFWロギングを無効にしたくありませんが、これらの行が有用かどうかはわかりません。

これは実際には発生しないことに注意してください/var/log/ufw.log。でのみ発生し/var/log/syslogます。これはなぜですか?

より詳しい情報

  • 私のロギングは中に設定されています: Logging: on (medium)
firewall  logging  ufw 
トム
ソース

回答:

3

ログをlowに設定して、AUDITメッセージを削除します。

AUDITの目的(私が見ているものから)は、非デフォルト/推奨のロギングに関連しています-しかし、それは推測であり、私はそれで具体的なものを見つけることができないようです。

jrg
ソース
ログのレベルはオプションメニューにあります。
MUYベルギー
どのツールの@MUYBelgiumオプションメニュー?
jrg
9

それはラインに依存します。通常、Field = valueです。

IN、OUT、着信インターフェイス、または発信(または両方)

それらのいくつかは次のとおりです。

  • TOS、サービスの種類、
  • DSTは宛先IPです。
  • SRCはソースIPです
  • TTLは存続時間であり、パケットが別のルーターを通過するたびに小さなカウンターが減ります(ループがある場合、パッケージは一度0になります)
  • DFは「フラグメント化しない」ビットで、送信時にフラグメント化しないようにパケットに要求します
  • PROTOはプロトコルです(主にTCPとUDP)
  • SPTは送信元ポートです
  • DPTは宛先ポートです

TCP / UDP / IPのドキュメントをご覧ください。ここでは、すべてのことをより詳細に説明できます。

最初のものを見てみましょう。つまり、176.58.105.134は194.238.48.2に対してポート123でUDPパケットを送信しました。のためntpです。だから誰かがあなたのコンピューターをntpサーバーとして使おうとしていると思う。おそらくエラーが原因だろう。

もう1つは、好奇心が強い、ループバックインターフェイス(lo)のトラフィックです。つまり、どこにも行かず、コンピューターから送信されます。

lsofまたはでTCPポート30002でリッスンしているかどうかを確認しnetstatます。

その他
ソース
ありがとうございました。ポート30002は実行中のmongodbアービターです。私は何も知りませんntpが、心配する必要がありますか?
トム
いいえ。NTPは単に時間を設定するだけであり、おそらく知らないうちにすでに使用されています(gnomeで「ネットワークを使用して時間を同期する」をチェックすると、ntpが使用されます)。ネットワーク全体で時刻を同期するだけです。たぶん、ipはntpネットワークのグローバルプール(pool.ntp.org/fr)の一部だったので、インターネット上の誰かからのリクエストでしょうか?
その他
2

言われたことに加えて、iptablesルールを調べることで、ログに記録される内容を推測することもできます。具体的には、ログに記録される一致ルールは、次のようにフィルタリングできますsudo iptables -L | grep -i "log"

ufw-before-logging-input  all  --  anywhere             anywhere
ufw-after-logging-input  all  --  anywhere             anywhere
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-before-logging-output  all  --  anywhere             anywhere
ufw-after-logging-output  all  --  anywhere             anywhere
Chain ufw-after-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG        all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)

それらはほとんどの場合デフォルトのルールです。上記の出力を調べると、ufw-before-*[UFW AUDIT ..]ログを生成するチェーンが明らかになります。

私はiptablesの専門家ではありません。UFWマニュアルはこれについてはあまり役に立ちませんが、このチェーンに一致するルールが/etc/ufw/before.rulesにあることを伝えることができます。

たとえば、次の行は、ログの最後の2行の例([UFW AUDIT] IN = loで始まる行)をトリガーしたループバック接続を許可しています。

# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....

私の場合は、ポート5353で大量のLLMNRパケットが記録されます。

Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126

私は次のものが原因だと思うrules.before

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

これらを無効化する1つの方法は、次を起動することです。

sudo ufw deny 5353
セバスチャン・ミュラー
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.