Я уверен, что мой компьютер с Windows Server 2008 постоянно подвергается атакам как на уровне сети, так и на уровне веб-приложений.
Вопрос в том, как мне обнаружить эти атаки? Есть ли какое-нибудь легкое программное обеспечение, которое может контролировать сервер?
Примечание: я запускаю это на VPS, поэтому программу мониторинга придется запускать на том же сервере.
ИМО, вы никогда не сможете полностью доверять программному обеспечению на сервере, за которым ведется мониторинг, для получения такой информации. Вам нужен прозрачный слой между всем трафиком и вашим сервером. Вы также можете выполнять мониторинг «боковой полосы», зеркалируя весь трафик, попадающий на ваш сервер, и анализируя его. Однако это действительно не дает большого потенциала для защиты.
Я полагаю, вы могли бы рассмотреть возможность установки Microsoft IAG или TMG на сервере, но это немного сложно. TMG будет бороться с атаками на сетевом уровне, а IAG - конкретно с уровнем веб-приложений.
Я бы предложил многогранный подход, используя Snort в качестве NIDS (системы обнаружения вторжений в сеть и чего-то еще в качестве HIDS (системы обнаружения вторжений на хост)).
Что касается HIDS, Pixelicious уже упоминал Tripwire, но, как уже упоминалось, это очень дорогое решение.
OSSEC - это мощный HIDS с открытым исходным кодом, который вполне может удовлетворить ваши потребности, и при необходимости доступна коммерческая поддержка (через Trend Micro).
Ionx Verisys это коммерческая, но более легкая и менее дорогая альтернатива Tripwire.
Я собираюсь предположить, что вам не потребуются ресурсы для использования IDS корпоративного уровня, например tripwire? что определенно было бы эффективным. Я могу предложить вам регистрировать все полученные запросы, поэтому в IIS обязательно регистрируйте и просматривайте свои HTTP-запросы. Можете ли вы ограничить диапазоны IP-адресов, от которых ожидаете подключения?
Можете ли вы аутентифицировать свое веб-приложение? если вы отключите анонимный доступ, вы сможете значительно снизить количество атак на ваше приложение. Если нет, посмотрите на снижение привилегий вашей службы IIS и пулов приложений.
Если вы видите зонды в своей сети, определите сетевые службы (netstat -an поможет), выключите все, что можно. Включите брандмауэр Windows; Изучите правила, ограничьте их до минимума.
Нет приложения, которое вы можете установить, или устройства, которое вы можете купить, которое просто включилось бы и все исправило. Лучшая защита - это активно проверять свою систему.