PSAD - Port Scan Attack Detector
Psad é uma abreviatura de Port Scan Attack Detector, como nome sugere Psad foi criado com a intenção de evitar que seja feito um scan em sua rede ou muito improvável evitar um ataque DDos. O Psad é um aplicativo feito em Perl exceto os daemons kmsgsd e pasdwatchd que são escritos em C, por quê? Pois economizam memória, são mais eficientes.
Psad faz uso de logs gerados pelo Iptables podendo detectar, alertar e opcionalmente bloquear port scans e outros tráfegos suspeitos. Usado juntamente com fwsnort pode assim ser possível detectar e gerar alerta para quase 60% de todas as regras do snort-2.3.3. Umas das habilidades é saber de qual sistema os scan ou trafego suspeito está sendo originado.
Também pode ser inclusas assinaturas do Snort bastando informar seu caminho, no arquivo de configuração do Psad “/etc/psad/psad.conf”.
Quando Psad é iniciado 3 daemons são ativados, o principal psad, kmsgsd e o psadwatchd.
O kmsgsd, responsável por separar as mensagens do Iptables de todas as outras mensagens do kernel. Ele lê mensagens através de um pipe chamado /var/lib/psad/psadfifo e escreve toda essa informação no arquivo /var/log/psad/fwdata. É necessário ter muita atenção nesta parte, pois o Psad não irá detectar port scans ou outros tráfegos suspeitos sem o kmsgsd ativo. Caso ele não seja ativado automaticamente com o Psda, poderá se ativo manualmente.
Psadwatchd responsável pela checagem do kmsgsd e psad, ele verifica se ambos estão rodando, faz a checagem sempre em um intervalo de 5 segundos, se alguns dos dois daemons ou ambos não estiverem rodando, o psadwatchd irá reinicia-los e notificará via email que o daemon foi reiniciado.
Slackware 12.0.0
[maquina-firewall] $ cd /usr/local/src
[maquina-firewall] $ wget –c http://www.cipherdyne.org/psad/download/psad-2.1.4.tar.bz2
[maquina-firewall] $ tar xfj psad-2.1.4.tar.bz2
[maquina-firewall] $ su -
[maquina-firewall] # cd /usr/local/src/psad-2.14
[maquina-firewall] # ./install.pl
Caso tenha algum erro desinstale com o comando
[maquina-firewall] #vi /etc/syslog.conf
Acrescente a linha
kern.info |/var/lib/psad/psadfifo
Salve e reinicie o syslog.
[maquina-firewall] #/etc/rc.d/rc.syslog restart
[maquina-firewall] $ wget –c http://www.cipherdyne.org/psad/download/psad-2.1.4.tar.bz2
[maquina-firewall] $ tar xfj psad-2.1.4.tar.bz2
[maquina-firewall] $ su -
[maquina-firewall] # cd /usr/local/src/psad-2.14
[maquina-firewall] # ./install.pl
Caso tenha algum erro desinstale com o comando
"$ ./install -uninstall ".
And try again !
And try again !
[maquina-firewall] #vi /etc/psad/psad.conf
Deverá substituir /var/log/messages por /var/log/syslog ficando como esta abaixo
IPT_SYSLOG_FILE /var/log/syslog;
Deverá substituir /var/log/messages por /var/log/syslog ficando como esta abaixo
IPT_SYSLOG_FILE /var/log/syslog;
[maquina-firewall] #vi /etc/syslog.conf
Acrescente a linha
kern.info |/var/lib/psad/psadfifo
Salve e reinicie o syslog.
[maquina-firewall] #/etc/rc.d/rc.syslog restart
Para download do material completo com explicações e exemplos.
|
|
0 comentários:
Postar um comentário