Sådan installeres PSAD på Ubuntu 15.04 LTS

Som navnet antyder, bruges værktøjet Port Scan Attack Detection (PSAD) til at blokere portscanning på serveren. Nmap, et velkendt værktøj bruges hovedsagelig til lancering af portscanning for at registrere åbne / lukke porte. PSAD-værktøj overvåger løbende firewall (iptables i tilfælde af linux platform) logfiler for at bestemme port scan eller andre angreb opstod. I tilfælde af et vellykket angreb på serveren træffer PSAD også foranstaltninger til at afværge truslen.

I denne artikel vil vi installere og konfigurere PSAD på Ubuntu 15.04 VM. I øjeblikket kører vi følgende tjenester på VM.

  1. Webserver (port 80)
  2. FTP-server (port 21)
  3. ssh server (port 22)

Netstat- og telnet-kommandoer bruges til at kontrollere havnestatus mod ovenstående omtale.

Web service (Apache)

apache

Ftp service (vsftpd)

ftp

Ssh service (Secure shell)

sshd

Installation

Detaljerne for VM-indstilling er angivet i figur 1, og ip-adressen er 192.168.1.111.

vm indstilling

IPtables (kendt som linux firewall) pakken er forudinstalleret på alle Linux platforme. Installer derfor PSAD-pakken på VM. Det kan installeres fra kildekode eller binær pakke. I denne artikel installerer vi PSAD-pakken fra Ubuntu-depotet. Først og fremmest kør pakke opdatering kommando derefter installere PSAD pakke ved hjælp af følgende kommando.

$ sudo apt-get opdatering

apt-get update

$ sudo apt-get install psad

psad instalation

PSAD-pakken krævede mange afhængigheder, der løses automatisk i tilfælde af installation fra Ubuntu-depot. Imidlertid krævede PSAD installation fra kilde torsk flere perl pakker.

Under installation af pakken beder PSAD om konfiguration af mail server som vist nedenfor. I denne artikel har vi ikke konfigureret nogen SMTP-server til e-mail-alarm.

e-mail

Konfiguration

PSAD bruger firewall (iptables) logfiler til at registrere eventuelle ondsindede aktiviteter på maskinen. Følgende kommandoer vil muliggøre logning af pakker på input & forward kæder af iptables.

$ sudo iptables -A INPUT -j LOG

$ sudo iptables -A FORWARD -j LOG

Når du har aktiveret logfiler for begge kæder, skal du køre følgende kommando for at liste den nuværende konfiguration af iptables.

$ sudo iptables -L

Output af ovenstående kommando vil være ens som vist nedenfor.

Chain INPUT (politik ACCEPT)
mål prot opt ​​kilde destination
LOG alle - overalt hvor som helst LOG niveau advarsel

Kæde FORWARD (politik ACCEPT)
mål prot opt ​​kilde destination
LOG alle - overalt hvor som helst LOG niveau advarsel
Kædeudgang (politik ACCEPT)
mål prot opt ​​kilde destination

logs

PSAD-konfigurationsfil, snortregler og signaturer er under / Etc / pSAD mappe på Ubuntu platform. PSAD-konfigurationsfilen er /etc/psad/psad.conf og det har mange parametre, der skal ændres, mens de implementeres på produktionsserveren. I denne artikel ændrer vi imidlertid nogle få indstillinger af PSAD, så det registrerer iptables-logfiler og træffer nødvendige foranstaltninger for at afværge angreb.

konfiguration psad

EMAIL ADRESSE [Email protected]; ## skift det for at få psad alarmer

HOSTNAME test-machine; #sæt værtsnavn

HOME_NET 192.168.1.0 / 24; # Indstil LAN-netværk

EXTERNAL_NET any; # Indstil Wan netværk

ENABLE_SYSLOG_FILE Y; # ved standardindstilling ja

En af de vigtige konfigurationer af PSAD er indstillingen IPT_SYSLOG_FILE parameter. Som standard søger den efter logfiler / Var / log / messages. Men syslog på Ubuntu er / Var / log / syslog Skift derfor sti, så PSAD registrerer skadelig aktivitet.

IPT_SYSLOG_FILE / var / log / syslog;

Vi bruger PSAD som IDS / IPS derfor skal vi aktivere ENABLE_AUTO_IDS parameter i psad.conf fil. Det vil automatisk ændre iptables-reglerne for at blokere scanning fra angriber.

ENABLE_AUTO_IDS Y; # deaktiver som standard

AUTO_IDS_DANGER_LEVEL 1; # Standardindstillingen er 5

Grundindstillingen af ​​PSAD er færdig, nu opdaterer underskrifterne, så den korrekt kan genkende kendte angrebstyper.

sudo psad --sig-opdatering

psad opdatering

Inden du starter PSAD på maskinen, skal du scanne serveren ved hjælp af Nmap-værktøjet. Output of scanner viser, at følgende port er åben på maskinen.

nmap logs

Start nu PSAD-værktøj ved hjælp af følgende kommando og kontroller også status som vist i følgende figur.

# /etc/init.d/psad start

#psad -S

psad start

Efter aktivering af PSAD, er der ingen åben port registreret af Nmap scanner, som også vises i følgende figur.

blokeret af psad

Attacker (ip-adresse er 192.168.1.102) er blokeret af PSAD ved at tilføje drop-regel i iptables.

ikke mere pin

Iptables regel mod 192.168.1.102 adresse er vist i følgende figur.

angriber ip blokeret

Detaljeret output af PSAD er vist i følgende figurer.

pSAD-1

Port scan af angriberen vises i PSAD output.

pSAD-2

Attacker IP vises i følgende udgang af PSAD.

pSAD-3

Konklusion

I denne artikel undersøgte vi et velkendt open source-værktøj PSAD til blokering af portscanning på servere. PSAD er komplet IDS / IPS, som automatisk tilføjer angriberens ip-adresse i firewallreglerne. Attacker bruger portscanner til at få foreløbige oplysninger om serveren til at starte yderligere angreb, derfor er det meget vigtigt at blokere port scan automatisk.

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.