.: HosiriS :.

Informatica e non solo

Archive for 12 giugno 2010

Analisi delle intrusioni: PSAD

Posted by hosiris su giugno 12, 2010

Ho parlato di come bloccare il tentativo di un malintenzionato di scansionare le porte del vostro server alla ricerca di punti deboli.
Adesso vorrei aggiungere a quella tecnica l’uso di un software tramite cui è possibile individuare e neutralizzare quel tipo di attacchi.
PSAD (Port Scan Attack Detection) è un tool installabile da repository:

$ sudo apt-get install psad

Come requisito, dobbiamo aver creato delle regole di logging sul firewall come segue:

$ sudo iptables -A INPUT -j LOG --log-level info
$ sudo iptables -A FORWARD -j LOG --log-level info

Inoltre, è necessario aggiungere la seguente linea al file /etc/syslog.conf:

kern.info |/var/lib/psad/psadfifo

La configurazione di PSAD passa per il file /etc/psad/psad.conf in cui dobbiamo inserire una serie di dati, quali: l’indirizzo mail a cui inviare i messaggi di alert; l’hostname della macchina; gli indirizzi IP da considerare come appartenenti alla LAN; gli indirizzi da considerare come esterni.

In questo modo potrete già pensare ad una protezione di base. Facendo un po’ di statistiche si potrà pensare di aggiungere delle regole di alert fatte ad-hoc.

Annunci

Posted in Sicurezza, Sistemi | 1 Comment »