Arxiu d'etiquetes: psad

psad detecció d’intrusos

Què és Psad?

El servei psad és un detector d’intrusos i un analitzador de logs de iptables. Consta de tres serveis lleugers que analitzen els logs d’Iptables, per detectar els escanejos de ports i altre transit sospitós.
A més, psad es nodreix de les signatures del detector d’intrusos Snort, per detectar accessos de programes tipus “backdoor” (EvilFTP, GirlFriend, …), eines per atacs DDos (mstream, shaft, …) i altres eines avançades d’escaneig de ports.

Com instal·lar psad?

NOTA: Totes les configuracions que es duran a terme a continuació s’han de fer amb un usuari root o que pertany al grup de sudoers i s’ha usat un sistema Debian 7. S’ha obviat el comandament sudo, per escurçar.

Primer de tot necessitam configurar iptables.

En primer lloc, per facilitar la tasca de configuració de iptables, podem usar iptables-persistent. Del qual parlarem a l’entrada anterior “Com usar iptables-persistent”, si ja sabeu com va, o teniu altre mètode, podem seguir.

Necessitem que iptables desi a un log, el transit descartat per així psad poder llegir-lo

Seguidament desam els canvis.

Instal·lació del psad

Per instal·lar és molt simple.

Configuració del psad

Per configurar el servei de psad s’ha de modificar el fitxer psad.conf.
Abans de començar a modificar-lo, millor fer una còpia de seguretat per tenir una referència

Llavors ja podem editar tranquilament.

Per configurar les diferents variables del fitxer de configuració, podeu adreçar-vos al manpage del psad, on trobareu totes les variables. Tots els valors han d’acabar amb un punt i coma (;)

A continuació explicaré unes quantes, diguem, les més importants:
EMAIL_ADDRESS: És a l’adreça de correu on s’enviaran les notificacions. Es poden afegir varies separades per coma. Exemple:

HOSTNAME: El nom de la màquina a la que està instal·lat psad. Exemple:

IPT_SYSLOG_FILE: El fitxer de log on psad agafarà la informació. A sistemes debian sol ser /var/log/kern.log.

PSAD_EMAIL_LIMIT: Defineix el nombre màxim de correus a enviar per a cada una de les IP que ens escanegen (per defecte 50). Nota important: Aquesta variable no està assignada al fitxer per defecte, per tant, psad agafa el valor per defecte de 50. Millor baixar el valor, ja que podrem tenir el correu inundat d’avisos.

EMAIL_ALERT_DANGER_LEVEL: Defineix el nivell de perill que ha d’arribar un escaneig abans d’enviar-nos un correu. Nota important: Aquesta variable no està assignada al fitxer per defecte, per tant, psad agafa el valor per defecte de 1. Millor pujar el valor a 3, ja que podrem tenir el correu inundat d’avisos.

Podem configurar IPs i/o Ports per afegir-los a una llista negra “blacklist” (dangerlevel = 5) o una llista blanca whitelist (dangerlevel = 0). Per fer-ho hem de modificar el següent fitxer:

On podem veure que segueix la següent estructura:
<IP address> <danger level> <optional protocol>/<optional ports> ;

Lo seu és afegir les IP del servidor i les que usam per a l’administració d’aquest a la llista blanca. Per exemple:

(IPs inventades)

Una vegada modificats els fitxers, és necessari reiniciar psad

Un cop reiniciat el servei, ja tenim el psad funcionant.
Per veure l’estat del servei executam

Fins aquí res més, que ho disfruteu 🙂

Fonts: