Detectar y avisar de cuando alguien se conecta a nuestros equipos
En una empresa en fácil que tengamos que habilitar conexiones para empresas externas. Mantenimiento de software, resolución de incidencias, etc ...
Lo normal es tener un firewall y habilitar sólo algunas ip fijas y puertos.
Pero aun así a mi me gusta saber cuándo se conectan a los servidores de mi red. Y si además veo los programas que está corriendo en ese momento, mejor.
El siguiente script avisa por email cuando alguien se conecta a nuestro equipo sea por:
- VNC
- Teamviewer
- RDP (escritorio remoto windows)
- gotoassist
- cualquier programa que se conecte a los puertos que estipulemos
- cualquier otro programa que queramos controlar
- también funciona avisando de cualquier EventId de windows que nosotros queramos, como login con éxito
Para ello, utiliza herramientas de los servidores windows como:
- netstat
- tasklist
- lectura del registro del sistema
Más características:
- se guarda todo en un log con fecha y hora y ip origen de la conexión
- el email de aviso se envía solo una vez cada hora para evitar saturación
- en el email adjunto va un fichero con todos los procesos que están corriendo en ese momento
- permite estipular excepciones de ips origen de la conexión (por ejemplo cuando me conecto yo)
- tiene un fichero
.ini
de fácil entendimiento donde poner todo ello
Ejemplo de un fichero .ini
donde se marcan los puertos, programas, eventos a controlar y excepciones:
```
[principal]
u=usuario@servidoremail
p=contraseña_servidor_email
pop3=servidor_entrante_email
ssl=no
smtp=servidor_saliente_email
aquien=destinatario_email
emailsi=si
formatofecha=%m/%d/%y %H:%M:%S
[puertos]
3389=
5900=
47194=
47195=
[procesos]
TeamViewer_Desktop=
g2ahost=
[excepciones]
10.xx.y.201=
[eventos]
4648=
```
Este script yo lo tengo puesto que se ejecute cada 5min y en todos los servidores expuestos a conexiones desde el exterior de otras empresas.
Por supuesto tiene muchas mejoras, ... pero como me funciona y es para mi uso particular ... me da pereza.
Lo tengo instalado desde ++junio 2011++ con muy buen resultado, avisándome cada vez que alguien entra.