Apartamento En Familia

Apartamento En Familia
Apartamento de playa para vacaciones. http://www.apartamentoenfamilia.es. Número registro HUTT-005768

viernes, 15 de noviembre de 2013

psad (Intrusion Detection and Log Analysis with iptables) en Ubuntu 13.10


psad emplea iptables para detectar, alertar y opcionalmente bloquear escaneos de puertos y otros tráficos sospechosos. En las exploraciones de TCP psad analiza indicadores TCP para determinar el tipo de escaneado (syn, fin, xmas, etc.) y sus correspondientes opciones en línea de comandos que puedan ser suministrados a nmap para generarla. Además, psad hace uso de de TCP, UDP, ICMP y sus firmas contenidas dentro de la detección de intrusos de la aplicación Snort (ver: http://www.snort.org/) que se usa para detectar el tráfico de red sospechoso, tales como puertas traseras comunes, herramientas DDoS, OS fingerprinting entre otros.

(Fuente xombra)

Para instalarlo simplemente lo podemos hacer desde nuestro repositorio oficial:

apt-get install psad

Una vez instalado, tenemos que personalizar un poco nuestro IDS para que actue según necesitemos. El archivo de configuración es /etc/psad/psad.conf . Aconsejo leer con cuidado este archivo para adecuarlo a nuestras necesidades. Yo hago mención a algunas opciones:

EMAIL_ADDRESSES             micorreo@servidor.edu;
HOSTNAME                    miservidor;

#IPT_SYSLOG_FILE             /var/log/messages;
IPT_SYSLOG_FILE         /var/log/syslog;

El archivo al cual debería mirar es el syslog. Hemos de cambiar la configuración por defecto.
Podemos encontrar un listado de las opciones y su función aquí : http://cipherdyne.org/psad/docs/config.html#HOME_NET

Ahora tenemos que añadir una linea en el rsyslog:
sudo nano /etc/rsyslog.conf

y añadimos:

kern.info |/var/lib/psad/psadfifo


¿Ya hemos terminado?

No, ahora tenemos el psad mirando el archivo /var/log/syslog para ver cuando nuestro iptables deniega o logea algún paquete. Así que evidentemente, sin iptables el psad no va a detectar por si solo nada.

La configuración de iptables es un asunto muy extenso y fuera de este tutorial. La configuración mínima para que psad pueda detectar escaneos seria esta:

sudo iptables -A INPUT -j LOG
sudo iptables -A FORWARD -j LOG
sudo ip6tables -A INPUT -j LOG
sudo ip6tables -A FORWARD -j LOG

Con esto ya podréis ver cosas así (comando psad -S):

psad -S

[+] psadwatchd (pid: 24248)  %CPU: 0.0  %MEM: 0.0
    Running since: Thu Nov 14 13:11:39 2013

[+] psad (pid: 24246)  %CPU: 0.1  %MEM: 0.4
    Running since: Thu Nov 14 13:11:39 2013
    Command line arguments: [none specified]
    Alert email address(es): micorreo@servidor.edu

[+] Version: psad v2.2.1

[+] Top 50 signature matches:
      "ICMP PING" (icmp),  Count: 11,  Unique sources: 2,  Sid: 384
      "MISC Microsoft PPTP communication attempt" (tcp),  Count: 2,  Unique sources: 1,  Sid: 100082
      "DOS arkiea backup communication attempt" (tcp),  Count: 2,  Unique sources: 1,  Sid: 282
      "BACKDOOR PhaseZero Server Active on Network" (tcp),  Count: 2,  Unique sources: 1,  Sid: 208
      "SNMP AgentX/tcp request" (tcp),  Count: 2,  Unique sources: 1,  Sid: 1421
      "P2P Fastrack kazaa/morpheus communication attempt" (tcp),  Count: 2,  Unique sources: 1,  Sid: 1383
      "MISC Insecure TIMBUKTU communication attempt" (tcp),  Count: 2,  Unique sources: 1,  Sid: 505
      "BACKDOOR SatansBackdoor.2.0.Beta, or BackConstruction 2.1 Connection Attempt" (tcp),  Count: 2,  Unique sources: 1,  Sid: 100041
      "BACKDOOR Doly 1.5 Connection attempt" (tcp),  Count: 2,  Unique sources: 1,  Sid: 1985
      "MISC LDAP communication attempt" (tcp),  Count: 2,  Unique sources: 1,  Sid: 100083
      "BACKDOOR Infector.1.x Connection attempt" (tcp),  Count: 2,  Unique sources: 1,  Sid: 100040
      "MISC Alcatel PABX 4400 connection attempt" (tcp),  Count: 2,  Unique sources: 1,  Sid: 1819
      "BACKDOOR - Dagger_1.4.0 Connection attempt" (tcp),  Count: 2,  Unique sources: 1,  Sid: 100038
      "MISC Microsoft SQL Server communication attempt" (tcp),  Count: 2,  Unique sources: 1,  Sid: 100205
      "ICMP Timestamp Request" (icmp),  Count: 1,  Unique sources: 1,  Sid: 453

[+] Top 25 attackers:
      4.8.1.174    DL: 4, Packets: 1663, Sig count: 0
      4.8.2.234    DL: 4, Packets: 5834, Sig count: 28
      4.8.1.182    DL: 2, Packets: 433, Sig count: 10

[+] Top 20 scanned ports:
      tcp 443   5 packets
      tcp 80    4 packets
      tcp 127   2 packets
      tcp 1801  2 packets
      tcp 1648  2 packets
      tcp 1481  2 packets
      tcp 1950  2 packets
      tcp 2865  2 packets
      tcp 1698  2 packets
      tcp 520   2 packets
      tcp 2782  2 packets
      tcp 2927  2 packets
      tcp 2266  2 packets
      tcp 2037  2 packets
      tcp 1178  2 packets
      tcp 532   2 packets
      tcp 1193  2 packets
      tcp 2455  2 packets
      tcp 2915  2 packets
      tcp 1387  2 packets

      udp 17500 4622 packets
      udp 5353  258 packets
      udp 67    34 packets
      udp 514   4 packets
      udp 68    2 packets

[+] iptables log prefix counters:
      "Rebutjat pel tallafocs:": 10656

    iptables auto-blocked IPs:
        [NONE]

    Total protocol packet counters:
        icmp: 12 pkts
         tcp: 5836 pkts
         udp: 4920 pkts

[+] IP Status Detail:

SRC:  4.8.1.174, DL: 4, Dsts: 2, Pkts: 1663, Total protocols: 2, Unique sigs: 0, Email alerts: 264

    DST: 255.255.255.255
        Scanned ports: UDP 67-17500, Pkts: 1659, Chain: INPUT, Intf: eth0
        Total scanned IP protocols: 1, Chain: INPUT, Intf: eth0
    DST: 224.0.0.251
        Scanned ports: UDP 5353, Pkts: 4, Chain: INPUT, Intf: eth0
        Total scanned IP protocols: 1, Chain: INPUT, Intf: eth0

SRC:  4.8.2.234, DL: 4, Dsts: 1, Pkts: 5834, Total protocols: 2, Unique sigs: 10, Email alerts: 2

    DST: 84.88.61.185
        Scanned ports: TCP 80-3000, Pkts: 5832, Chain: INPUT, Intf: eth0
        Total scanned IP protocols: 2, Chain: INPUT, Intf: eth0
        Signature match: "DOS arkiea backup communication attempt"
            TCP, Chain: INPUT, Count: 2, DP: 617, SYN, Sid: 282
        Signature match: "BACKDOOR PhaseZero Server Active on Network"
            TCP, Chain: INPUT, Count: 2, DP: 555, SYN, Sid: 208
        Signature match: "SNMP AgentX/tcp request"
            TCP, Chain: INPUT, Count: 2, DP: 705, SYN, Sid: 1421
        Signature match: "P2P Fastrack kazaa/morpheus communication attempt"
            TCP, Chain: INPUT, Count: 2, DP: 1214, SYN, Sid: 1383
        Signature match: "MISC Insecure TIMBUKTU communication attempt"
            TCP, Chain: INPUT, Count: 2, DP: 1417, SYN, Sid: 505
        Signature match: "BACKDOOR SatansBackdoor.2.0.Beta, or BackConstruction 2.1 Connection Attempt"
            TCP, Chain: INPUT, Count: 2, DP: 666, SYN, Sid: 100041
        Signature match: "BACKDOOR Doly 1.5 Connection attempt"
            TCP, Chain: INPUT, Count: 2, DP: 1015, SYN, Sid: 1985
        Signature match: "BACKDOOR Infector.1.x Connection attempt"
            TCP, Chain: INPUT, Count: 2, DP: 146, SYN, Sid: 100040
        Signature match: "BACKDOOR - Dagger_1.4.0 Connection attempt"
            TCP, Chain: INPUT, Count: 2, DP: 2589, SYN, Sid: 100038
        Signature match: "MISC Microsoft SQL Server communication attempt"
            TCP, Chain: INPUT, Count: 2, DP: 1433, SYN, Sid: 100205

    Total scan sources: 3
    Total scan destinations: 3

[+] These results are available in: /var/log/psad/status.out




That u don't know what you've got 'til it's gone