Pular para o conteúdo

PSAD: Port Scan Attack Detector

Neste artigo vamos conhecer o PSAD, um um software criado exclusivamente para agir como um detector de ataques como port scan e DDoS. Veremos suas principais características e como tirar proveito deste projeto muito interessante.
Anderson L Tamborim y2h4ck

Por Anderson L Tamborim em 25/10/2004

Hits: 108.005 Categoria: Linux Subcategoria: Segurança
  • Indicar
  • Impressora
  • Denunciar

Prólogo

A cada dia mais e mais pessoas estão utilizando a internet como meio de comunicação principal. Seja para conversar com os amigos em bate-papo, seja para verificar seu saldo pelo Home Banking, seja para se divertir, negócios, compras, a lista de utilidades e facilidades proporcionada pela internet é inegavelmente grande, porém, todo tipo de comodidade gera um vício e todo vício nos cobra um preço e com a internet não é diferente.

Cada dia todos estamos mais e mais dependentes deste meio de comunicação, cada dia mais e mais sistemas estão interligados, a divisão do que seria virtual e real acaba caindo cada vez mais por terra e da mesma forma que as facilidades aparecem, surgem também os problemas.

A internet é um meio de comunicação pouco amigável, todos os dias usuários estão a mercê de vírus, worms, spams, invasores e uma infinidade de problemas que podem causar muita dor de cabeça e prejuízos para pessoas e grandes corporações.

Interceptação de mensagens de correio eletrônico, senhas de acesso e contas de banco são apenas pequenas amostras do que é possível acontecer em um ambiente tão anônimo e com tantas possibilidades, do mesmo modo que a internet nos abriu uma porta, também abriu porta para pessoas mal intencionadas e assim como no mundo real, temos que ficar atentos no mundo virtual.

Páginas do artigo

   1. Prólogo
   2. Introdução: PSAD
   3. Instalação do PSAD
   4. Configuração do PSAD
   5. Proof of Concept: testes de segurança
   6. Considerações finais
   7. Append 1

Outros artigos deste autor

Análise Forense - Aspectos de perícia criminal

Carnivore e Altivore: Os predadores do FBI

OpenVZ: Virtualização para servidores Linux

Snort avançado: Projetando um perímetro seguro

Análise Passiva: Analisando seu tráfego de maneira segura

Leitura recomendada

TOR: A Internet sem rastreabilidade

O que é ForceCommand

Instalação do Snort + BASE no Debian Etch pelos fontes

Desafio: Análise Forense Computacional - Forense em Tráfego de Rede [Resolvido]

Instalando a nova versão do HLBR - IPS invisível

Comentários

#1 Comentário enviado por cvs em 25/10/2004 - 09:52h
Aprendeu do jeitinho que eu ensinei hein? :D ehehehhehe... muito bom o artigo, jã vou testar aqui.
#2 Comentário enviado por rfranzen em 25/10/2004 - 12:23h
Mais um excelente artigo do y2h4ck...

Parabéns !
#3 Comentário enviado por ygorth em 25/10/2004 - 12:25h
interessante o assunto. Só nao acho que o artigo ficaria chato se o .conf do PSAD fosse tratado com mais atencao. Porem, muito valido o artigo eu pessoalmente nao conhecia ferramenta.
#4 Comentário enviado por ygorth em 25/10/2004 - 12:30h
interessante o assunto. Só nao acho que o artigo ficaria chato se o .conf do PSAD fosse tratado com mais atencao. Porem, muito valido o artigo eu nao conhecia ferramenta.
#5 Comentário enviado por y2h4ck em 25/10/2004 - 13:12h
Caro controlc, o conf do PSAD vai ser postado na seção "Conf"
justamente para evitar ter que colar um .conf gigante aqui :)

Abraços
#6 Comentário enviado por cmarcelo em 25/10/2004 - 15:00h
Esta ferramenta é melhor que o Protsentry? Quais as principais diferenças? Qual você me recomendaria usar?
#7 Comentário enviado por neriberto em 25/10/2004 - 17:01h
Cmarcelo, mandou bem... o artigo tá legal mesmo...
#8 Comentário enviado por y2h4ck em 25/10/2004 - 18:30h
Cmarcelo, como o PSAD e o portsentry trabalham de maneira um pouco diferente, eu diria que isso iria depender um pouco do cenario que iria ser implantado.

Mas eu recomendo utilizar o PSAD integrado ao Snort, assim conseguiria uma solução mais Eficiente.

:)

Boa sorte
#9 Comentário enviado por tucs em 25/10/2004 - 20:17h
Realmente interessante, utilizo o guardian para esse serviço mas estarei estudando essa possibilidade, parabens.

Eduardo Assis
#10 Comentário enviado por naoexistemais em 26/10/2004 - 04:55h
Andeson,

Kd o Engos, reclamando do seu artigo, parabéns....

Falou,
#11 Comentário enviado por andreguerra em 26/10/2004 - 10:48h
Mais um artigo excelente, aliás como todos os outros do Anderson.

Abraço,

André Guerra
#12 Comentário enviado por naoexistemais em 29/10/2004 - 06:08h
Anderson,

Você testou em qual distribuição o PSAD, por se foi no Slackware você deve ter esquecido mencionar alguns provaveis problemas, exemplo como editar o install.pl e colocar o caminho correto do INIT_DIR.

Falou,
#13 Comentário enviado por y2h4ck em 29/10/2004 - 09:56h
Como mencionei na pagina 2 ...
Plataforma: SuSE Linux 9.1 Professional

Aqui não tive problemas :)

Abraços
#14 Comentário enviado por Sabaote em 29/12/2004 - 08:23h
Eu instalei em um Sistema o PSAD e agora recebo e-mails a cada minuto.. chego a receber cerca de 5000 mil e-mails por dia avisando que alguém tentou scanear o sistema.. como posso parar com isso ?
Muito bom o artigo.. :)
#15 Comentário enviado por removido em 21/11/2006 - 07:40h
O PSAD trabalha com os logs gerados de algum firewall, geralmente o iptables, mas pelo que vi no artigo, você não colocou nenhuma regra de firewall para gerar logs. Você até comentou no começo, mas deve ter esquecido durante o artigo.

Para que ele envie a notificação via email é preciso está rodando o Sendmail, o PSAD usa esse Daemon para enviar os emails.

Para habilitar a diretiva "IPTABLES_BLOCK_METHOD" a diretiva "ENABLE_AUTO_IDS" tem que está ativa também, senão estiver não vai ter efeito a diretiva "IPTABLES_BLOCK_METHOD".

A respeito do usuário acima uma sugestão é você mudar o valor da diretiva "EMAIL_ALERT_DANGER_LEVEL" para 4 no arquivo de configuração do PSAD "/etc/psad/psad.conf". Para só enviar um email para as notificações mais importantes.
Outra solução é mudar o valor da diretiva "EMAIL_LIMIT" que por padrão seu valor é 0, ou seja, ilimitado. Defina o valor de quantos email você pode receber em um determinado IP, por exemplo:

EMAIL_LIMIT 5

Apesar de o PSAD não ter muita documentação, este artigo vai ser bem útil para vários administradores. Parabéns!
#16 Comentário enviado por fjbvn em 11/12/2007 - 21:15h
Bom artigo...

> /mybrower/bookmarks.

Vou implementar aqui e relato algum problema ocorrido!
#18 Comentário enviado por condealisson em 04/11/2011 - 11:12h
Parabéns, excelente tutorial, simples e eficiente!

Vou deixar aqui minha experiencia.

Instalei o psad e nada dele monitorar, rodava normalmente, sem erros, porém sem reports.

Então lembrei que havia alterado meu rsyslogd.conf, aí a solução.

A linha que busca o arquivo de log continha:

IPT_SYSLOG_FILE /var/log/messages;

E eu alterei as mensagens de log do kernel para cairem todas no kern.log no rsyslogd.conf!!!

Então alterei a linha para:

IPT_SYSLOG_FILE /var/log/kern.log;

E está tudo funcionando agora.

Outra observação: caso o processo /usr/sbin/kmsgsd não exista é devido à configuração:

ENABLE_SYSLOG_FILE Y;

Se alterarmos para N o psad usará o kmsgsd para monitorar o iptables, mas assim ele vai inserir dados no arquivo de log, então, melhor deixar com Y mesmo e sem o kmsgsd para "estufar" os logs.

(Dica retirada de: <http://www.mail-archive.com/psad-discuss@lists.sourceforge.net/msg00015.html>)

Outro problema que encontrei foi a mensagem:

Starting psad: Undefined subroutine &main::LOG_DAEMON called at /usr/sbin/psad line 9443.

Isso se deve ao colocar a opção N na regra IPTABLES_BLOCK_METHOD.
Caso queira desativar o bloqueio de ips altere:

ENABLE_AUTO_IDS Y;

para:


ENABLE_AUTO_IDS N;

e não a opção:

IPTABLES_BLOCK_METHOD Y;

para:

IPTABLES_BLOCK_METHOD N;

Essa última deve ser sempre Y.

Forte abraço.
#19 Comentário enviado por jgama em 26/06/2014 - 11:11h
Esta maquina que vai ter o PSAD tem que ser o gateway da Rede?

Abraço

Contribuir com comentário

Entre na sua conta para comentar.