Pular para o conteúdo

Detectando Intrusões em Servidores Linux: O Papel do Monitoramento de Portas

Monitoramento de portas abertas no Linux: segurança preventiva e análise de ataques

Manter um log das portas abertas em servidores Linux pode parecer uma tarefa simples e até irrelevante, mas é essencial para a segurança não apenas de forma remediativa, por meio de auditorias, mas, principalmente, de forma preventiva. Quando um administrador de sistemas percebe que um hacker black hat tem acesso aos servidores, ele não alarma todo o departamento. Em vez disso, adota uma postura estratégica e configura uma infraestrutura com o objetivo de determinar o perfil desse atacante.

Monitoramento de portas abertas no Linux para segurança preventiva

Por que monitorar portas abertas em servidores Linux

Um hacker black hat pode ser motivado por diversos fatores, como o ciberterrorismo ou até a venda de dados. Por isso, é mais importante identificar o atacante e suas intenções do que simplesmente detectar o ataque, alarmar todo o departamento e, posteriormente, bloquear todas as portas usando o firewall.

Uma das formas de identificar se um servidor foi comprometido por um hacker black hat é verificar se novas portas foram abertas sem o consentimento da Gestão de Tecnologia da Informação durante um determinado período.

Como monitorar portas abertas com nmap e cron

Como realizar essas verificações? Existe um pacote na distribuição Kali Linux, muito útil para essa tarefa, chamado nmap. Disponibilizei neste link um shell script que, se associado ao cron para ser executado diariamente, criará logs na pasta /var/log/nmap-port-monitor.

Com esses logs, é possível, por exemplo, identificar quando uma porta foi aberta e, assim, iniciar uma auditoria em todas as partes do sistema operacional, além de realizar uma análise de tráfego (sniffing) com o Wireshark, a fim de identificar o tráfego de rede relacionado a essa determinada porta.

Análise de logs e sniffing de rede com Wireshark

Permissões de logs no Linux e boas práticas de segurança

Uma observação muito importante:

Por padrão, o diretório /var/log é configurado, após a instalação do Linux, para permitir somente ao usuário root a permissão de escrita:

drwxr-xr-x root root

Verifique essas permissões com frequência para garantir que nenhum outro usuário possa alterar os logs, comprometendo a integridade das informações, conforme preconiza a ISO 27001. Mantenha os logs acessíveis para leitura por todos os usuários, caso necessário para auditoria, mas assegure-se de que nenhum deles, exceto root, possua permissões de escrita nesse diretório crítico.

Hercílio Simões

Desenvolvedor Full Stack, formado em Ciência da Computação e Redes de Computadores, certificado AWS Cloud Practitioner. Atua com aplicações web, APIs e microsserviços, utilizando tecnologias como Node.js, C#, .NET, Angular e Vue.js. Trabalha com processamento de dados em uma multinacional europeia, com foco em soluções escaláveis, automação e análise de dados. Possui experiência com Docker, AWS, CI/CD e bancos de dados SQL e NoSQL.

LinkedIn GitHub 🚀ㅤWork with me