imagen

sistemas operativos = on

de momento ...

Detectar y avisar de cuando alguien se conecta a nuestros equipos

05.May.2015 — Julio

En una empresa en fácil que tengamos que habilitar conexiones para empresas externas. Mantenimiento de software, resolución de incidencias, etc ...

Lo normal es tener un firewall y habilitar sólo algunas ip fijas y puertos.

Pero aun así a mi me gusta saber cuándo se conectan a los servidores de mi red. Y si además veo los programas que está corriendo en ese momento, mejor.

El siguiente script avisa por email cuando alguien se conecta a nuestro equipo sea por:

  • VNC
  • Teamviewer
  • RDP (escritorio remoto windows)
  • gotoassist
  • cualquier programa que se conecte a los puertos que estipulemos
  • cualquier otro programa que queramos controlar
  • también funciona avisando de cualquier EventId de windows que nosotros queramos, como login con éxito

Para ello, utiliza herramientas de los servidores windows como:

  • netstat
  • tasklist
  • lectura del registro del sistema

Más características:

  • se guarda todo en un log con fecha y hora y ip origen de la conexión
  • el email de aviso se envía solo una vez cada hora para evitar saturación
  • en el email adjunto va un fichero con todos los procesos que están corriendo en ese momento
  • permite estipular excepciones de ips origen de la conexión (por ejemplo cuando me conecto yo)
  • tiene un fichero .ini de fácil entendimiento donde poner todo ello

Ejemplo de un fichero .ini donde se marcan los puertos, programas, eventos a controlar y excepciones: 

```  
[principal]  
u=usuario@servidoremail  
p=contraseña_servidor_email  
pop3=servidor_entrante_email  
ssl=no  
smtp=servidor_saliente_email  
aquien=destinatario_email  
emailsi=si  
formatofecha=%m/%d/%y %H:%M:%S  

[puertos]  
3389=  
5900=  
47194=  
47195=  

[procesos]  
TeamViewer_Desktop=  
g2ahost=  

[excepciones]  
10.xx.y.201=  

[eventos]  
4648=  
```

Este script yo lo tengo puesto que se ejecute cada 5min y en todos los servidores expuestos a conexiones desde el exterior de otras empresas.

Por supuesto tiene muchas mejoras, ... pero como me funciona y es para mi uso particular ... me da pereza.

Lo tengo instalado desde ++junio 2011++ con muy buen resultado, avisándome cada vez que alguien entra.

FUENTE y más explicación en bitbucket

Tags: python, security

Comments? Tweet