.: HosiriS :.

Informatica e non solo

Analisi delle intrusioni: PSAD

Posted by hosiris su giugno 12, 2010

Ho parlato di come bloccare il tentativo di un malintenzionato di scansionare le porte del vostro server alla ricerca di punti deboli.
Adesso vorrei aggiungere a quella tecnica l’uso di un software tramite cui è possibile individuare e neutralizzare quel tipo di attacchi.
PSAD (Port Scan Attack Detection) è un tool installabile da repository:

$ sudo apt-get install psad

Come requisito, dobbiamo aver creato delle regole di logging sul firewall come segue:

$ sudo iptables -A INPUT -j LOG --log-level info
$ sudo iptables -A FORWARD -j LOG --log-level info

Inoltre, è necessario aggiungere la seguente linea al file /etc/syslog.conf:

kern.info |/var/lib/psad/psadfifo

La configurazione di PSAD passa per il file /etc/psad/psad.conf in cui dobbiamo inserire una serie di dati, quali: l’indirizzo mail a cui inviare i messaggi di alert; l’hostname della macchina; gli indirizzi IP da considerare come appartenenti alla LAN; gli indirizzi da considerare come esterni.

In questo modo potrete già pensare ad una protezione di base. Facendo un po’ di statistiche si potrà pensare di aggiungere delle regole di alert fatte ad-hoc.

Una Risposta to “Analisi delle intrusioni: PSAD”

  1. […] Analisi delle intrusioni: PSAD « .: HosiriS :. […]

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

 
%d blogger cliccano Mi Piace per questo: