Jak nainstalovat PSAD na Ubuntu 15.04 LTS

Jak naznačuje název, nástroj Port Scan Scan Detection (PSAD) se používá k blokování skenování portů na serveru. Nmap, známý nástroj, se většinou používá k spuštění portu pro detekci otevřených / zavřených portů. Nástroj PSAD nepřetržitě sleduje firewall (protokol iptables v případě linuxové platformy) protokolů pro zjišťování portu nebo jakéhokoli jiného útoku. V případě úspěšného útoku na server PSAD také podniká kroky k odvrácení ohrožení.

V tomto článku nainstalujeme a nakonfigurujeme PSAD na Ubuntu 15.04 VM. V současné době provozujeme služby VM.

  1. Webový server (port 80)
  2. FTP server (port 21)
  3. ssh server (port 22)

Příkazy Netstat a telnet se používají ke kontrole stavu portů proti výše uvedeným službám.

Webová služba (Apache)

apache

Služba FTP (vsftpd)

ftp

Služba Ssh (zabezpečený shell)

sshd

Instalace

Podrobnosti nastavení VM jsou uvedeny v obrázku 1 a adresa IP je 192.168.1.111.

vm nastavení

Balík IPtables (známý jako linux firewall) je předem nainstalován na všech platformách linuxu. Proto nainstalujte balíček PSAD na VM. Může být instalován ze zdrojového kódu nebo binárního balíku. V tomto článku nainstalujeme balíček PSAD z úložiště Ubuntu. Nejprve spusťte balíček aktualizace balíčku a poté nainstalujte balíček PSAD pomocí následujícího příkazu.

$ sudo apt-get update

apt-get update

$ sudo apt-get nainstalovat psad

instalace psad

Balík PSAD vyžadoval mnoho závislostí, které jsou automaticky vyřešeny v případě instalace z repozitáře Ubuntu. Instalace PSAD ze zdrojové verze však vyžaduje několik perlových balíčků.

Během instalace balíčku vyzve PSAD konfiguraci poštovního serveru, která je uvedena níže. V tomto článku jsme nenastavili žádný SMTP server pro upozornění na e-maily.

e-mail

Konfigurace

PSAD používá protokoly firewall (iptables) k odhalení jakékoliv škodlivé aktivity v počítači. Následující příkazy umožňují protokolování paketů na vstupních a dopředných řetězcích iptables.

$ sudo iptables -A INPUT -j LOG

$ sudo iptables -A FORWARD -j LOG

Po povolení protokolů pro oba řetězce spusťte následující příkaz pro zobrazení aktuální konfigurace iptables.

$ sudo iptables -L

Výstup výše uvedeného příkazu bude podobný níže.

Řetězec INPUT (politika ACCEPT)
cílový zdroj cílového zdroje
LOG all - kdekoliv kdekoli LOG varování úrovně

Řetězec FORWARD (politika ACCEPT)
cílový zdroj cílového zdroje
LOG all - kdekoliv kdekoli LOG varování úrovně
Řetězový OUTPUT (politika ACCEPT)
cílový zdroj cílového zdroje

protokoly

Konfigurační soubor PSAD, pravidla pro snort a podpisy jsou pod / etc / psad adresář na platformě Ubuntu. Konfigurační soubor PSAD je /etc/psad/psad.conf a má mnoho parametrů pro změnu při nasazení na produkčním serveru. V tomto článku však změníme několik nastavení systému PSAD tak, aby zjistila protokoly protokolu iptables a podnikla potřebná opatření k odvrácení útoku.

konfigurace psad

EMAILOVÁ ADRESA [Email chráněn]; ## změňte jej, abyste dostali psad upozornění

Testovací stroj HOSTNAME; # název hostitele

HOME_NET 192.168.1.0 / 24; # Nastavte síť LAN

EXTERNAL_NET žádné; # Nastavte síť Wan

ENABLE_SYSLOG_FILE Y; # podle výchozího nastavení ano

Jedním z důležitých konfigurací PSAD je nastavení IPT_SYSLOG_FILE parametr. Ve výchozím nastavení vyhledává protokoly / var / log / zprávy. Syslog na Ubuntu je však / var / log / syslog proto změňte cestu tak, aby PSAD detekovala škodlivou aktivitu.

IPT_SYSLOG_FILE / var / log / syslog;

Používáme PSAD jako IDS / IPS, proto musíme povolit ENABLE_AUTO_IDS parametr v psad.conf soubor. Automaticky změní pravidla iptables tak, aby zablokovala skenování od útočníka.

ENABLE_AUTO_IDS Y; # defaultně zakázáno

AUTO_IDS_DANGER_LEVEL 1; # Výchozí úroveň je 5

Základní nastavení PSAD je dokončeno, nyní aktualizuje podpisy tak, aby správně rozpoznal známé typy útoků.

sudo psad -sig-update

aktualizace psad

Před spuštěním programu PSAD na počítači skenujte server pomocí nástroje Nmap. Výstup skeneru ukazuje, že na přístroji je otevřen následující port.

protokoly nmap

Nyní spusťte nástroj PSAD pomocí následujícího příkazu a také zkontrolujte stav, který je zobrazen na následujícím obrázku.

# /etc/init.d/psad start

#psad -S

psad start

Po zapnutí funkce PSAD nebyl detekován žádný otevřený port pomocí skeneru Nmap, který je také zobrazen na následujícím obrázku.

blokován psad

Útočník (adresa IP je 192.168.1.102) je zablokován systémem PSAD přidáním pravidla pravopisu v souboru iptables.

žádný další kolík

Pravidlo Iptables proti adrese 192.168.1.102 je zobrazeno na následujícím obrázku.

útočník ip blokován

Podrobný výstup PSAD je zobrazen na následujících obrázcích.

psad-1

Kontrola portů útočníkem je zobrazena na výstupu PSAD.

psad-2

Attacker IP je zobrazen v následujícím výstupu PSAD.

psad-3

závěr

V tomto článku jsme prozkoumali dobře známý open source nástroj PSAD pro blokování port scan na serverech. PSAD je kompletní IDS / IPS, který automaticky přidává adresu IP útočníka do pravidel brány firewall. Útočník používá scanner portů, aby získal předběžné informace o serveru a spustil další útoky, proto je velmi důležité automaticky zablokovat kontrolu portů.

Napsat komentář

Tyto stránky používají Akismet k omezení spamu. Zjistěte, jak jsou vaše údaje komentářů zpracovávány.