psad detecció d’intrusos

Què és Psad?

El servei psad és un detector d’intrusos i un analitzador de logs de iptables. Consta de tres serveis lleugers que analitzen els logs d’Iptables, per detectar els escanejos de ports i altre transit sospitós.
A més, psad es nodreix de les signatures del detector d’intrusos Snort, per detectar accessos de programes tipus “backdoor” (EvilFTP, GirlFriend, …), eines per atacs DDos (mstream, shaft, …) i altres eines avançades d’escaneig de ports.

Com instal·lar psad?

NOTA: Totes les configuracions que es duran a terme a continuació s’han de fer amb un usuari root o que pertany al grup de sudoers i s’ha usat un sistema Debian 7. S’ha obviat el comandament sudo, per escurçar.

Primer de tot necessitam configurar iptables.

En primer lloc, per facilitar la tasca de configuració de iptables, podem usar iptables-persistent. Del qual parlarem a l’entrada anterior “Com usar iptables-persistent”, si ja sabeu com va, o teniu altre mètode, podem seguir.

Necessitem que iptables desi a un log, el transit descartat per així psad poder llegir-lo

iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG

Seguidament desam els canvis.

Instal·lació del psad

Per instal·lar és molt simple.

apt-get install psad

Configuració del psad

Per configurar el servei de psad s’ha de modificar el fitxer psad.conf.
Abans de començar a modificar-lo, millor fer una còpia de seguretat per tenir una referència

cp /etc/psad/psad.conf /etc/psad/psad.conf.backup

Llavors ja podem editar tranquilament.

nano /etc/psad/psad.conf

Per configurar les diferents variables del fitxer de configuració, podeu adreçar-vos al manpage del psad, on trobareu totes les variables. Tots els valors han d’acabar amb un punt i coma (;)

man psad

A continuació explicaré unes quantes, diguem, les més importants:
EMAIL_ADDRESS: És a l’adreça de correu on s’enviaran les notificacions. Es poden afegir varies separades per coma. Exemple:

EMAIL_ADDRESS    root@localhost, psad@test.com, psad@test2.com;

HOSTNAME: El nom de la màquina a la que està instal·lat psad. Exemple:

HOSTNAME    foner.uep.cat;

IPT_SYSLOG_FILE: El fitxer de log on psad agafarà la informació. A sistemes debian sol ser /var/log/kern.log.

IPT_SYSLOG_FILE    /var/log/kern.log;

PSAD_EMAIL_LIMIT: Defineix el nombre màxim de correus a enviar per a cada una de les IP que ens escanegen (per defecte 50). Nota important: Aquesta variable no està assignada al fitxer per defecte, per tant, psad agafa el valor per defecte de 50. Millor baixar el valor, ja que podrem tenir el correu inundat d’avisos.

PSAD_EMAIL_LIMIT    20;

EMAIL_ALERT_DANGER_LEVEL: Defineix el nivell de perill que ha d’arribar un escaneig abans d’enviar-nos un correu. Nota important: Aquesta variable no està assignada al fitxer per defecte, per tant, psad agafa el valor per defecte de 1. Millor pujar el valor a 3, ja que podrem tenir el correu inundat d’avisos.

EMAIL_ALERT_DANGER_LEVEL    3;

Podem configurar IPs i/o Ports per afegir-los a una llista negra “blacklist” (dangerlevel = 5) o una llista blanca whitelist (dangerlevel = 0). Per fer-ho hem de modificar el següent fitxer:

nano /etc/psad/auto_dl

On podem veure que segueix la següent estructura:
<IP address> <danger level> <optional protocol>/<optional ports> ;

Lo seu és afegir les IP del servidor i les que usam per a l’administració d’aquest a la llista blanca. Per exemple:

127.0.0.1    0; #adreça IP local
37.22.22.22    0; #adreça IP publica servidor
80.12.69.80    0; #adreça IP d’administració

(IPs inventades)

Una vegada modificats els fitxers, és necessari reiniciar psad

service psad restart

Un cop reiniciat el servei, ja tenim el psad funcionant.
Per veure l’estat del servei executam

psad -S

Fins aquí res més, que ho disfruteu 🙂

Fonts:

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *