Estaremos utilizando para a configuração do PSAD, o sistema Ubuntu 10.10, no entanto, ele pode ser instalado em qualquer distribuição, bastando para isto executar pequenas alterações.

Para instalar:

# apt-get install psad

O arquivo de configuração do PSAD fica, por padrão, em "/etc/psad/psad.conf" possui muitas opções que podem ser testadas e adequadas às suas necessidades. Abaixo temos algumas que considerei mais importantes:

EMAIL_ADDRESSES itn@localhost;

EMAIL_ADDRESSES: configure aqui o endereço de e-mail para qual irá o aviso de detecção de varreduras. Neste exemplo, os avisos irão para o usuário “itn” da própria máquina local. Caso você possua um servidor de e-mails instalado, basta modificar 'itn@localhost' pelo seu e-mail e alterar a opção 'HOME_NET NOT_USED' que evita que você continue a receber e-mails na caixa de entrada do seu usuário “itn”.

Dica: Se você estiver utilizando um servidor Linux, por exemplo, sem o X instalado, você pode instalar o cliente de e-mails para o terminal mutt:

# apt-get install mutt

E utilizar o comando 'mutt –z' para ler os e-mails recebidos do PSAD.

DANGER_LEVEL1 5; ### Number of packets.

DANGER_LEVEL2 15;

DANGER_LEVEL3 150;

DANGER_LEVEL4 1500;

DANGER_LEVEL5 10000;

DANGER LEVEL: É dividido em 5 níveis que representam a quantidade de pacotes enviado de terminado IP dentro de um período de tempo. Por exemplo, o valor 150 do nível 3 diz para o PSAD que quando a quantidade de pacotes atingirem esse limite, ele deve considerar como uma tentativa de varredura externa.

CHECK_INTERVAL 5;

CHEK_INTERVAL: representa o tempo em segundos em que os Logs do iptables serão verificados em busca de varreduras.

Dica: Tenha bastante cuidado em configurar o 'DANGER_LEVEL', uma vez que configurar para o PSAD bloquear ou reportar tentativas de varreduras em LEVEL baixos como 1 e 2, podem causar problemas de conexões dos clientes reais uma vez que pacotes de dados são trocados constantemente entre clientes e servidores.

IGNORE_PORTS tcp/3389, udp/53, tcp/22;

IGNORE_PORTS NONE;

IGNORE_PORTS: uma das opções chaves para um bom funcionamento do PSAD, uma vez que você pode configurá-lo para ignorar o tráfego de pacotes em determinadas portas.

Imaginamos que você possui um servidor onde a porta 3389 possui um tráfego de pacotes relativamente alto. Este simples fato poderia vir a causar falsos positivos ao PSAD que poderia entender esta troca de pacotes intensa como uma tentativa de varredura ou invasão à sua rede. No entanto, se você não precisa disponibilizar nenhuma porta aberta para acesso externo, pode utilizar tranquilamente a opção: IGNORE_PORTS NONE;

Você pode estar se perguntando: É para liberar as principais portas que utilizo do monitoramento do PSAD, então qual o objetivo de utilizá-lo para monitorar minha rede?

Resposta: As varreduras de redes são realizadas com software que enviam uma quantidade enorme de pacotes em diversas portas e em um curto espaço de tempo. Então o fato de você liberar algumas portas do monitoramento do PSAD não irá impedi-lo de executar seu serviço, além de lhe dar uma proteção adicional contra falsos positivos.

IGNORE_INTERFACES eth1;

IGNORE_INTERFACES: opção bastante interessante para quem utiliza uma máquina que possui mais de uma interface de rede onde apenas uma delas está diretamente ligada à internet. Assim você pode configurar de quais placas os PSAD irá monitorar o tráfego.

MIN_DANGER_LEVEL 4;
EMAIL_ALERT_DANGER_LEVEL 5;

MIN_DANGER_LEVEL, EMAIL_ALERT_DANGER_LEVEL: estas duas opções estão diretamente ligadas à opção 'DANGER LEVEL', a opção 'MIN_DANGER_LEVEL' representa o nível mínimo que deve ser atingido para um arquivo de e-mail ser gerado e 'EMAIL_ALERT_DANGER_LEVEL' é quando este arquivo será efetivamente enviado.

ENABLE_AUTO_IDS Y;

AUTO_IDS_DANGER_LEVEL 4;

IPTABLES_BLOCK_METHOD Y;

AUTO_BLOCK_TIMEOUT 3600;

ENABLE_AUTO_IDS, AUTO_IDS_DANGER_LEVEL, IPTABLES_B LOCK_METHOD: opções chave do PSAD e que são um dos principais objetivos deste artigo. Com estas opções definidas como 'Y' (ativadas), o nível determinado (4 no exemplo) o PSAD irá bloquear todo o acesso do IP que está executando a varredura em sua rede pelo tempo determinado em segundos (3600 segundos no exemplo).