Installation et Configuration de Psad
Un petit plus pour votre firewall netfilter.
Psad est un outil de détection et de blocage de port en temps réel pour des attaques par scan, il vous enverra des mails d'informations classés de 1 à 5 selon leurs niveaux de danger. Il procède en analysant les fichiers journaux d'un firewall iptable, il faut savoir aussi qu'il est possible de le coupler avec Snort.
Pré-requis :
Il faudra ajouter ces deux lignes dans votre firewall iptables :
iptables -A INPUT -j LOG iptables -A FORWARD -j LOG
Psad a besoin de log à analyser pour vous rendre des comptes :).
Téléchargement :
Voici l'url ou vous trouverez la dernière version de Psad : http://cipherdyne.org/psad/download/
cd /opt/SOURCES wget http://cipherdyne.org/psad/download/psad-2.1.5.tar.bz2 tar xvjf psad-2.1.5.tar.bz2 cd psad-2.1.5
Installation :
Encore une installation ultra simple voyez vous même :
./install.pl
Juste quelques questions en anglais rien de bien complexe
Si plus tard vous avez envi de débarrasser votre serveur de cette bestiole :
Retourner dans le repertoire source de psad.
./install.pl --uninstall
Maintenant il vous reste plus qu'a démarrer psad :
/etc/init.d/psad start
Un /etc/init.d/psad status vous donnera toute sorte d'info et de statistique, un petit page web aurait été mieux je pense mais bon
Configuration :
Psad à un fichier principal de configuration et il est très clair vous verrez : /etc/psad/psad.conf
Pour ce qui est des logs vous les trouverez dans le repertoire : /var/log/psad/ Un dossier par ip avec la totalité de l'attaque, le nombre de mail d'information envoyé, l'heure de l'attaque, etc... Les logs de psad sont interessant jeté y un coup d'œil.
un :
man psad
est à faire aussi.
Voici à quoi ressemble les mails d'alerte qui vous seront envoyés :
Objet [psad-alert] DL3 src: bozo.com dst: system-linux.eu De root Add contact À adminux@system-linux.eu Add contact Date Aujourd'hui 23:13 Afin de préserver votre vie privée, les images distantes ont été bloquées dans ce message. Afficher les images =-=-=-=-=-=-=-=-=-=-=-= Fri Oct 30 23:13:38 2009 =-=-=-=-=-=-=-=-=-=-=-= Danger level: [3] (out of 5) Scanned TCP ports: [22-62078: 155 packets] TCP flags: [SYN: 155 packets, Nmap: -sT or -sS] iptables chain: INPUT (prefix "[IPTABLES DROP] :"), 155 packets Source: 82.67.23.11 DNS: bozo.com Destination: 91.121.175.142 DNS: system-linux.eu Overall scan start: Fri Oct 30 23:13:36 2009 Total email alerts: 1 Complete TCP range: [22-62078] Syslog hostname: osirix Global stats: chain: interface: TCP: UDP: ICMP: INPUT eth0 155 0 0 [+] TCP scan signatures: "MISC MS Terminal Server communication attempt" dst port: 3389 (no server bound to local port) flags: SYN psad_id: 100077 (derived from: 1447 1448 2418) chain: INPUT packets: 2 classtype: misc-activity reference: (bugtraq) http://www.securityfocus.com/bid/3099 reference: (cve) http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0540 "POLICY vncviewer Java applet communication attempt" dst port: 5802 (no server bound to local port) flags: SYN sid: 1846 chain: INPUT packets: 2 classtype: misc-activity reference: (nessus) http://cgi.nessus.org/plugins/dump.php3?id=10758 "MISC Microsoft PPTP communication attempt" dst port: 1723 (no server bound to local port) flags: SYN psad_id: 100082 (derived from: 2126 2044) chain: INPUT packets: 2 classtype: attempted-admin reference: (bugtraq) http://www.securityfocus.com/bid/5807 reference: (cve) http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-1214 [+] Whois Information: % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: This output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '82.67.22.0 - 82.67.23.255' inetnum: 82.67.22.0 - 82.67.23.255 netname: FR-PROXAD-ADSL descr: Proxad / Free SAS descr: Static pool (Freebox) descr: moncey-2 (lyon) descr: NCC#2003105443 country: FR admin-c: ACP23-RIPE tech-c: TCP8-RIPE status: ASSIGNED PA remarks: Spam/Abuse requests: mailto:abuse@proxad.net mnt-by: PROXAD-MNT source: RIPE # Filtered role: Administrative Contact for ProXad address: Free SAS / ProXad address: 8, rue de la Ville L'Eveque address: 75008 Paris phone: +33 1 73 50 20 00 fax-no: +33 1 73 92 25 69 remarks: trouble: Information: http://www.proxad.net/ remarks: trouble: Spam/Abuse requests: mailto:abuse@proxad.net admin-c: RA999-RIPE tech-c: FG4214-RIPE nic-hdl: ACP23-RIPE mnt-by: PROXAD-MNT source: RIPE # Filtered abuse-mailbox: abuse@proxad.net role: Technical Contact for ProXad address: Free SAS / ProXad address: 8, rue de la Ville L'Eveque address: 75008 Paris phone: +33 1 73 50 20 00 fax-no: +33 1 73 92 25 69 remarks: trouble: Information: http://www.proxad.net/ remarks: trouble: Spam/Abuse requests: mailto:abuse@proxad.net admin-c: RA999-RIPE tech-c: FG4214-RIPE nic-hdl: TCP8-RIPE mnt-by: PROXAD-MNT source: RIPE # Filtered abuse-mailbox: abuse@proxad.net % Information related to '82.64.0.0/14AS12322' route: 82.64.0.0/14 descr: ProXad network / Free SA descr: Paris, France origin: AS12322 mnt-by: PROXAD-MNT source: RIPE # Filtered
bon test à vous