Manter um log das portas abertas em servidores Linux pode parecer uma tarefa simples e até irrelevante, mas é essencial para a segurança não apenas de forma remediativa, por meio de auditorias, mas, principalmente, de forma preventiva. Quando um administrador de sistemas percebe que um hacker black hat tem acesso aos servidores, ele não alarma todo o departamento. Em vez disso, adota uma postura estratégica e configura uma infraestrutura com o objetivo de determinar o perfil desse atacante.
Um hacker black hat pode ser motivado por diversos fatores, como o ciberterrorismo ou até a venda de dados. Por isso, é mais importante identificar o atacante e suas intenções do que simplesmente detectar o ataque, alarmar todo o departamento e, posteriormente, bloquear todas as portas usando o firewall.
Uma das formas de identificar se um servidor foi comprometido por um hacker black hat é verificar se novas portas foram abertas sem o consentimento da Gestão de Tecnologia da Informação durante um determinado período.
Como realizar essas verificações? Existe um pacote na distribuição Kali Linux, muito útil para essa tarefa, chamado nmap. Disponibilizei neste link um shell script que, se associado ao cron para ser executado diariamente, criará logs na pasta /var/log/nmap-port-monitor.
Com esses logs, é possível, por exemplo, identificar quando uma porta foi aberta e, assim, iniciar uma auditoria em todas as partes do sistema operacional, além de realizar uma análise de tráfego (sniffing) com o Wireshark, a fim de identificar o tráfego de rede relacionado a essa determinada porta.
Uma observação muito importante: por padrão, o diretório /var/log é configurado, após a instalação do Linux, para permitir somente ao usuário root a permissão de escrita:
drwxr-xr-x root root
Verifique essas permissões com frequência para garantir que nenhum outro usuário possa alterar os logs, comprometendo a integridade das informações, conforme preconiza a ISO 27001. Mantenha os logs acessíveis para leitura por todos os usuários, caso necessário para auditoria, mas assegure-se de que nenhum deles, exceto root, possua permissões de escrita nesse diretório crítico.
Desenvolvedor full-stack, formado em Ciência da Computação e Redes de Computadores, com certificações internacionais da AWS e IBM. Atuou em projetos de inovação tecnológica no governo de Portugal. Atualmente, trabalha com processamento de dados IoT na telemetria de grandes frotas de veículos em todo o continente europeu, visando otimizar processos, reduzir custos e minimizar impactos ambientais.