PSAD-installation og konfiguration på Debian 8 (Jessie)

PSAD-installation og konfiguration på Debian 8 (Jessie)

I denne vejledning vil jeg vise dig installationen og konfigurationen af ​​PSAD-værktøjet (Port Scan Attack Detection) på Debian 8 (Jessie). Per projekt internet side: PSAD giver indtrængningsdetektering og loganalyse med IPtables (Linux firewall). PSAD-værktøjet bruges til at ændre et IDS (Intrusion Detection) -system i et IPS (Intrusion Prevention System). Det anvender reglerne for den velkendte open source IDS "SNORT" til påvisning af indbrudshændelser. VM eller server overvåges løbende af værktøjet til eventuelle aktive angreb som portscanninger, og det kan blokere skadelige IP-adresser i Linux-firewallen automatisk. Et andet lignende projekt er Guardian, som har meget begrænsede funktioner. PSAD vil blive installeret på en Debian-8 (Jessie) VM, og scanningsværktøjet "Nmap" vil blive brugt til at kontrollere åbne porte på VM. Til sidst vil et DOS-angreb blive lanceret på webserveren (Apache) for at se PSAD-værktøjets opførsel.

PSAD Installation

Debian Jessie installeres på VMware VM ved hjælp af netinstallatør (debian-8.3.0-i386-netinst.iso).

Installer den virtuelle maskine til PSAD

Debian-installationsprocessen er beskrevet i den forrige artikel. PSAD-maskineens IP-adresse er 192.168.1.102 / 24.

Kontroller IP-adressen.

PSAD-værktøjet kan installeres fra kildekoden eller fra Debian-pakkebiblioteket. Jeg vil installere det fra Debian-depotet. Først og fremmest tilføj følgende i filen sources.list (eller kontroller om linjerne allerede er der), og kør apt-kommandoen for at opdatere lagerlisten.

deb http://httpredir.debian.org/debian jessie main deb-src http://httpredir.debian.org/debian jessie main deb http://httpredir.debian.org/debian jessie-opdateringer hoved deb-src http : //httpredir.debian.org/debian jessie-updates main deb http://security.debian.org/ jessie / opdateringer hoved deb-src http://security.debian.org/ jessie / updates main

Debian sources.list filindhold.

Kilder liste for Debian Jessie

apt-get update

Opdatering af Debian

Kør følgende kommando for at installere PSAD i VM.

apt-get install psad

Installation af PSAD

Flere Perl-pakker kræves under installation af PSAD-værktøj. Pakken afhængigheder vil blive automatisk løst af Debian pakke manager.

Installation af PSAD afhængigheder.

Firewalling-funktionen på Linux-platformen leveres af IPtables-pakken. Det er en velkendt Linux-firewall og er allerede installeret i alle Linux-distributioner.

Tjek IPTables.

PSAD og Firewall Configuration

Som standard vil der ikke være nogen regler i IPtables-kæderne på Debian-platformen. Kør følgende kommando for at liste kæderegler.

iptables -L

IPTables kæder.

Aktivér logning på IPtables input og forward kæder, så PSAD-dæmonen kan registrere unormal aktivitet.

iptables -A INPUT -j LOG

iptables -A FORWARD -J LOG

Aktivér Logning i IPTables.

Udgangen af ​​kommandoen "iptables -L" vil være den samme som vist nedenfor nu.

Chain INPUT (politik ACCEPT)
mål prot opt ​​kilde destination
LOG alle - overalt hvor som helst LOG niveau advarsel

Kæde FORWARD (politik ACCEPT)
mål prot opt ​​kilde destination
LOG alle - overalt hvor som helst LOG niveau advarsel
Kædeudgang (politik ACCEPT)
mål prot opt ​​kilde destination

Vis IPTables-konfiguration.

På Debian-distributionen gemmer PSAD-værktøjet konfigurationsfiler og regler i mappen / etc / psad.

PSAD-konfigurationsmappen.

Den vigtigste PSAD-konfigurationsfil er /etc/psad/psad.conf. I denne vejledning bruges IPS-funktionen til at registrere DOS-angreb på webserveren.

De grundlæggende indstillinger for PSAD er angivet nedenfor.

EMAIL_ADDRESSES [email protected];
HOSTNAME PSAD-box;
HOME_NET any;
EXTERNAL_NET any;

PSAD-konfigurationsfilen - del 1.

Standardindstillingen for fareniveauet, PSAD-kontrolintervallet og brugen af ​​SID er vist i den følgende figur.

PSAD-konfigurationsfilen - Fare niveauer.

Som standard søger PSAD-dæmonen efter logfiler / var / log / messages fil. Derfor, ændre IPT_SYSLOG_FILE parameter i PSAD-konfigurationen.

PSAD-konfigurationsfilen - Logfilen skal læses.

Debianbaserede distributioner gemmer syslog-meddelelser i / Var / log / syslog fil.

ENABLE_SYSLOG_FILE Y;
IPT_WRITE_FWDATA Y;
IPT_SYSLOG_FILE / var / log / syslog;

PSAD-konfigurationsfilen - Log.

PSAD fungerer som standard i IDS-tilstand, IPS-parameteren er deaktiveret i konfigurationsfilen. Aktivér følgende parametre for at aktivere IPS-funktionen og fareniveauet. Efter aktivering af parameteren i konfigurationsfilen vil PSAD-dæmonen automatisk blokere angriberen ved at tilføje sin IP-adresse i IPtables-kæderne.

ENABLE_AUTO_IDS Y;
AUTO_IDS_DANGER_LEVEL 1;

PSAD-konfigurationsfilen - aktiver IDS.

Kør nu følgende kommando for at opdatere signaturdatabasen til afsløring af angreb.

psad -sig-opdatering

PSAD signatur opdatering.

Apache-server lytter i øjeblikket på port 80 som vist nedenfor.

Kontroller, om apache lytter.

Start PSAD ved hjælp af følgende kommando og kontroller status.

psad start

Start PSAD.

psad -S

psad -S

Et DOS-angreb lanceres ved hjælp af LOIC (Low Orbit Ion Cannon) værktøj på VM for at teste PSAD som vist nedenfor.

Simulere en DOS med Loic

Syslog viser DOS-trafikken genereret ved hjælp af LOIC-værktøjet.

Vis trafik i syslog.

IP-adressen til den simulerede angriber 192.168.1.100 er blokeret af PSAD-dæmonen som vist nedenfor. Kør følgende kommando for at se de dynamiske regler tilføjet af PSAD.

psad -fw-liste

psad - fw-list

Følgende skærmbillede viser, at angriberen ikke kan pinge offerets IP-adresse igen, så han er blokeret med succes fra PSAD.

Angrebet er blokeret med succes.

Kør følgende kommando for at se den detaljerede output af PSAD.

psad -S

1. Signatur matchet og angriber IP-adresse

Underskriftens underskrift.

2. Trafik for bestemte porte

Attacked ports.

3. Attackerens IP-adresse i IPtables-kæderne.

Attackerens IP-adresse.

4. Detaljer om kommunikation mellem angriber og offer.

Kommunikations detaljer.

Konklusion

PSAD er et velkendt open source-værktøj til blokering af port scanningsangreb på Linux-servere. Den har både IDS og IPS funktioner og er i stand til dynamisk at blokere skadelige IP-adresser ved hjælp af IPtables.

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.