Port Scan Attack Detector (PSAD) com iptables
Com o intuito de prevenir seu sistema de varreduras de usuários mal intencionados à procura de vulnerabilidades, surgiu entre outras a ferramenta OpenSource PSAD (que estarei abordando aqui), a qual pode detectar, alertar e ainda bloquear tentativas de escaneamentos externos à sua rede.
Parte 3: Configurando o Log do iptables
Precisamos configurar o iptables para escrever em um Log o movimento dos pacotes que estão passando pelo firewall. Para isto, adicionamos os
seguintes comandos no script do firewall:
Edite o arquivo "/etc/rsyslog.conf" e adicione a seguinte linha ao final:
Esta opção se torna muito útil no caso de você querer evitar bloqueios errôneos de IPs que fazem parte de um grupo confiável que acessa seu servidor.
Exemplo:
No primeiro exemplo, dizemos que o IP '200.139.34.1' deve ser tratado com o nível máximo (5) de atenção.
No segundo exemplo, o IP '200.193.34.2' é tratado com o nível 3, no entanto, apenas para tráfego utilizando o protocolo TCP.
O IP '200.193.34.3' é apenas para o tráfego TCP entre as portas 1 e 1024.
No último exemplo, o IP '200.193.34.4' será excluído do monitoramento do PSAD, sendo isto representado pelo nível 0.
No entanto o PSAD não elimina de maneira alguma a necessidade de um boa configuração de Firewall, ele apenas adiciona mais uma camada de proteção e monitoramento ao sistema.
Monitore continuamente as mensagens do PSAD e implemente sempre atualizações e novas proteções ao seu Firewall.
Espero que aproveitem o artigo.
Sugestões pelo e-mail: itnp@msn.com
Disponível também em:
Disponível em:
PSAD: Intrusion Detection and Log Analysis with iptables. Acesso em: 05 jun. 2011.
Disponivel em:
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
iptables -A FORWARD -j LOG
Edite o arquivo "/etc/rsyslog.conf" e adicione a seguinte linha ao final:
kern.info | /var/lib/psad/psadfifo
Liberando IPs do monitoramento do PSAD
Um outro arquivo de configuração interessante do PSAD é o "/etc/psad/auto_dl", nele você pode definir quais IPs estão liberados do monitoramento do PSAD, bem como níveis diferentes para IPs específicos.Esta opção se torna muito útil no caso de você querer evitar bloqueios errôneos de IPs que fazem parte de um grupo confiável que acessa seu servidor.
Exemplo:
200.139.34.1 5;
200.139.34.2 3 tcp;
200.139.34.3 3 tcp/1-1024;
200.193.34.4 0;
200.139.34.2 3 tcp;
200.139.34.3 3 tcp/1-1024;
200.193.34.4 0;
No primeiro exemplo, dizemos que o IP '200.139.34.1' deve ser tratado com o nível máximo (5) de atenção.
No segundo exemplo, o IP '200.193.34.2' é tratado com o nível 3, no entanto, apenas para tráfego utilizando o protocolo TCP.
O IP '200.193.34.3' é apenas para o tráfego TCP entre as portas 1 e 1024.
No último exemplo, o IP '200.193.34.4' será excluído do monitoramento do PSAD, sendo isto representado pelo nível 0.
Conclusões
O PSAD é um ferramenta muito poderosa que pode evitar grandes dores de cabeça, inibindo ataques diversos à sua rede e evitando que seu sistema seja comprometido.No entanto o PSAD não elimina de maneira alguma a necessidade de um boa configuração de Firewall, ele apenas adiciona mais uma camada de proteção e monitoramento ao sistema.
Monitore continuamente as mensagens do PSAD e implemente sempre atualizações e novas proteções ao seu Firewall.
Espero que aproveitem o artigo.
Sugestões pelo e-mail: itnp@msn.com
Disponível também em:
Referências
PSAD (Linux): Detectar e bloquear ataques Port Scan em tempo real. Acesso em: 05 jun. 2011.Disponível em:
PSAD: Intrusion Detection and Log Analysis with iptables. Acesso em: 05 jun. 2011.
Disponivel em: