Archivo de la etiqueta: iptables

PSAD detección de intrusos

¿Qué es Psad?

El servicio psad es un detector de intrusos y un analizador de logs de iptables. Consta de tres servicios ligeros que analizan los logs de Iptables, para detectar los escaneos de puertos y otro tráfico sospechoso.
Además, psad se nutre de las firmas del detector de intrusos Snort, para detectar acesos de programas del tipo “backdoor” (EvilFTP, GirlFriend, …), herramientas para ataques DDos (mstream, shaft, …) y otras más avanzadas de escaneo de puertos.

¿Cómo instalar psad?

NOTA: Todas las configuraciones que se llevarán a cabo a continuación se tienen que hacer con un usuario root o que pertenezca al grupo de sudoers i se ha utilizado un sistema Debian 7. Se ha obviado el comando sudo.

Primero de todo necesitamos configurar iptables

Primero, para facilitarnos la tarea de configuración de iptables, podemos usar iptables-persistent. Del cual ya hablamos en una entrada anterior “Cómo usar iptables-persistent”, si ya sabeis cómo va, o teneis otro método, podemos seguir.

Necesitamos que iptables guarde en un log, el tráfico descartado para así psad poder leerlo

Seguidamente guardamos los cambios.

Instalación del psad

Para instalar es muy simple.

Configuración

Para configurar el servicio de psad se tiene que modificar el fichero psad.conf.
Antes de empezar a modificarlo, mejor crear una copia de seguridad para tener una referencia

Después ya podemos editar tranquilamente.

Para configurar las diferentes variables del fichero de configuración, podéis revisar la manpage del psad, donde encontrareis todas las variables. Todos los valores han de terminar en punt y coma (;)

A continuación explicaré unas cuantas, digamos, las más importantes:

EMAIL_ADDRESS
: Es a dirección de correo donde se enviarán las notificaciones. Se pueden añadir varias separadas por coma. Ejemplo:

HOSTNAME: El nombre de la máquina en la que está instalado psad. Exejemplo:

IPT_SYSLOG_FILE: El fichero de log donde psad recogerá la información. En los sistemas debian suele estar en /var/log/kern.log.

PSAD_EMAIL_LIMIT: Define el nombre máximo de correos a enviar para cada una de las IP que nos escanean (por defecto 50). Nota importante: Esta variable no está asignada en el fichero por defecto, por tanto, psad usará el valor por defecto de 50. Mejor bajar el valor, ya que podriamos tener el correo inundado de avisos.

EMAIL_ALERT_DANGER_LEVEL: Define el nivel de peligro que tiene que llegar un escanop antes de enviarnos un correo (por defecto 1). Nota importante: Esta variable no está asignada en el fichero por defecto, por tanto, psad usará el valor por defecto de 1. Mejor subir el valor a 3, ya que podríamos tener el correo inundado de avisos.

Podemo configurar IPs y/o Ports para añadirlos a una lista negra blacklist o una lista blanca whitelist. Para hacerlo tenemos que modificar el siguiente fichero:

Donde podemos ver que sigue la siguiente estructura:

<IP address> <danger level> <optional protocol>/<optional ports> ;

Lo suyo es añadir las IP del servidor y las que se usen para su administración a la lista blanca. Por ejemplo:

(IPs inventadas)

Una vez se hayan modificado los ficheros, es necesario reiniciar psad

Una vez reiniciado el servicio, ya tenemos el psad funcionando.
Para ver el estado del servicio ejecutamos

Hasta aquí, que lo disfrutes 🙂

Fuentes:

Cómo usar iptables-persistent en Debian 7

¿Que es iptables-persistent?

Iptables-persistent és un servicio que nos simplificará la vida al configurar el cortafuegos iptables en un sistema basado en Debian.

NOTA: Es necesario ser root o miembro del grupo sudoers para llevar a cabo estas configuraciones.

Advertencia: Alerta con lo que haces con la configuración de iptables. Una incorrecta configuración puede dejarnos sin acceso al servidor, así que ¡cuidado! ¡No me hago responsable!

Instalación de iptables-persistent

La instalación es muy simple:

Perfecto, la instalación nos creará dos ficheros con las reglas de IPv4 y de IPv6 y se nos pedirádonde queremos guardarlos. Por defecto los colocará en /etc/iptables/rules.v4 y /etc/iptables/rules.v6.
Si ya tenemos iptables-persistent instalado, podemos crear los de la siguiente forma:

Modificación de las reglas de iptables

Cuando necesitemos modificar reglas de iptables, tenemos que modificar los ficheros comentados anteriormente, según pertoque.

Una vez modificados, para guardar la configuración en iptables, solo tenemos que reiniciar el servicio de iptables-persistent

Para ver si nuestras modificaciones han tenido efecto, podemos ejecutar

fuentes: