Precisamos configurar o iptables para escrever em um Log o movimento dos pacotes que estão passando pelo firewall. Para isto, adicionamos os seguintes comandos no script do firewall:



Edite o arquivo "/etc/rsyslog.conf" e adicione a seguinte linha ao final:

Liberando IPs do monitoramento do PSAD

Um outro arquivo de configuração interessante do PSAD é o "/etc/psad/auto_dl", nele você pode definir quais IPs estão liberados do monitoramento do PSAD, bem como níveis diferentes para IPs específicos.

Esta opção se torna muito útil no caso de você querer evitar bloqueios errôneos de IPs que fazem parte de um grupo confiável que acessa seu servidor.

Exemplo:



No primeiro exemplo, dizemos que o IP '200.139.34.1' deve ser tratado com o nível máximo (5) de atenção.

No segundo exemplo, o IP '200.193.34.2' é tratado com o nível 3, no entanto, apenas para tráfego utilizando o protocolo TCP.

O IP '200.193.34.3' é apenas para o tráfego TCP entre as portas 1 e 1024.

No último exemplo, o IP '200.193.34.4' será excluído do monitoramento do PSAD, sendo isto representado pelo nível 0.

Conclusões

O PSAD é um ferramenta muito poderosa que pode evitar grandes dores de cabeça, inibindo ataques diversos à sua rede e evitando que seu sistema seja comprometido.

No entanto o PSAD não elimina de maneira alguma a necessidade de um boa configuração de Firewall, ele apenas adiciona mais uma camada de proteção e monitoramento ao sistema.

Monitore continuamente as mensagens do PSAD e implemente sempre atualizações e novas proteções ao seu Firewall.

Espero que aproveitem o artigo.

Sugestões pelo e-mail: itnp@msn.com

Disponível também em:

• http://itnproducoes.blogspot.com - Port Scan Attack Detector

Referências

PSAD (Linux): Detectar e bloquear ataques Port Scan em tempo real. Acesso em: 05 jun. 2011.
Disponível em:

• http://segurancalinux.com/artigo - PSAD Linux

PSAD: Intrusion Detection and Log Analysis with iptables. Acesso em: 05 jun. 2011.
Disponivel em:

• http://cipherdyne.org/psad