Port Scan Attack Detector (PSAD) com iptables

itn

Com o intuito de prevenir seu sistema de varreduras de usuários mal intencionados à procura de vulnerabilidades, surgiu entre outras a ferramenta OpenSource PSAD (que estarei abordando aqui), a qual pode detectar, alertar e ainda bloquear tentativas de escaneamentos externos à sua rede.

[ Hits: 30.165 ]

Por: Irineu Teza Nunes em 26/01/2012


Configurando o Log do iptables



Precisamos configurar o iptables para escrever em um Log o movimento dos pacotes que estão passando pelo firewall. Para isto, adicionamos os seguintes comandos no script do firewall:

iptables -A INPUT -j LOG

iptables -A FORWARD -j LOG


Edite o arquivo "/etc/rsyslog.conf" e adicione a seguinte linha ao final:

kern.info |  /var/lib/psad/psadfifo


Liberando IPs do monitoramento do PSAD

Um outro arquivo de configuração interessante do PSAD é o "/etc/psad/auto_dl", nele você pode definir quais IPs estão liberados do monitoramento do PSAD, bem como níveis diferentes para IPs específicos.

Esta opção se torna muito útil no caso de você querer evitar bloqueios errôneos de IPs que fazem parte de um grupo confiável que acessa seu servidor.

Exemplo:

200.139.34.1 5;

200.139.34.2 3 tcp;

200.139.34.3 3 tcp/1-1024;

200.193.34.4 0;


No primeiro exemplo, dizemos que o IP '200.139.34.1' deve ser tratado com o nível máximo (5) de atenção.

No segundo exemplo, o IP '200.193.34.2' é tratado com o nível 3, no entanto, apenas para tráfego utilizando o protocolo TCP.

O IP '200.193.34.3' é apenas para o tráfego TCP entre as portas 1 e 1024.

No último exemplo, o IP '200.193.34.4' será excluído do monitoramento do PSAD, sendo isto representado pelo nível 0.

Conclusões

O PSAD é um ferramenta muito poderosa que pode evitar grandes dores de cabeça, inibindo ataques diversos à sua rede e evitando que seu sistema seja comprometido.

No entanto o PSAD não elimina de maneira alguma a necessidade de um boa configuração de Firewall, ele apenas adiciona mais uma camada de proteção e monitoramento ao sistema.

Monitore continuamente as mensagens do PSAD e implemente sempre atualizações e novas proteções ao seu Firewall.

Espero que aproveitem o artigo.

Sugestões pelo e-mail: itnp@msn.com

Disponível também em:

Referências

PSAD (Linux): Detectar e bloquear ataques Port Scan em tempo real. Acesso em: 05 jun. 2011.
Disponível em:
PSAD: Intrusion Detection and Log Analysis with iptables. Acesso em: 05 jun. 2011.
Disponivel em:

Página anterior    

Páginas do artigo
   1. Introdução
   2. Instalação e configuração
   3. Configurando o Log do iptables
Outros artigos deste autor

Reforçando a segurança das conexões HTTPS no Apache

Bloqueando o UltraSurf e o WebMessenger do Hotmail com Proxy Transparente

Criando túneis com o VTUN

Leitura recomendada

Zentyal 2.0 - Solução completa de segurança open source

NoCatAuth - Construindo um firewall/gateway autenticado

Como bloquear o Ultrasurf - solução definitiva (iptables + Fail2ban)

Migrando do ipchains para o iptables

Entendendo TCP/IP (Parte 6) - Firewall

  
Comentários
[1] Comentário enviado por Leonardo Goretti em 26/01/2012 - 16:53h

Parabens ......

[2] Comentário enviado por removido em 26/01/2012 - 23:00h

Muito bom !

[3] Comentário enviado por eujobi em 29/01/2012 - 20:20h

Show! Vc e muitos outros estão de parabens por nos passar esses conhecimentos. Isso só facilita a gente a usar cada vez mais o linux!
Quero me aprofundar mais em em tcp/ip pois é algo que não domino. Se tiver algum site legal ai sobre redes que trans um conhcimento legal, manda ai!!


[4] Comentário enviado por marcoaw em 30/01/2012 - 17:17h

Muito bom !!! , este artigo e muito interessante.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts