Installation et Configuration de Psad

Un petit plus pour votre firewall netfilter.

Psad est un outil de détection et de blocage de port en temps réel pour des attaques par scan, il vous enverra des mails d'informations classés de 1 à 5 selon leurs niveaux de danger. Il procède en analysant les fichiers journaux d'un firewall iptable, il faut savoir aussi qu'il est possible de le coupler avec Snort.

Pré-requis :

Il faudra ajouter ces deux lignes dans votre firewall iptables :

iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG 

Psad a besoin de log à analyser pour vous rendre des comptes :).

Téléchargement :

Voici l'url ou vous trouverez la dernière version de Psad : http://cipherdyne.org/psad/download/

cd /opt/SOURCES
wget http://cipherdyne.org/psad/download/psad-2.1.5.tar.bz2
tar xvjf psad-2.1.5.tar.bz2
cd psad-2.1.5

Installation :

Encore une installation ultra simple voyez vous même :

./install.pl

Juste quelques questions en anglais rien de bien complexe

Si plus tard vous avez envi de débarrasser votre serveur de cette bestiole :

Retourner dans le repertoire source de psad.

./install.pl --uninstall

Maintenant il vous reste plus qu'a démarrer psad :

/etc/init.d/psad start

Un /etc/init.d/psad status vous donnera toute sorte d'info et de statistique, un petit page web aurait été mieux je pense mais bon

Configuration :

Psad à un fichier principal de configuration et il est très clair vous verrez : /etc/psad/psad.conf

Pour ce qui est des logs vous les trouverez dans le repertoire : /var/log/psad/ Un dossier par ip avec la totalité de l'attaque, le nombre de mail d'information envoyé, l'heure de l'attaque, etc... Les logs de psad sont interessant jeté y un coup d'œil.

un :

man psad

est à faire aussi.

Voici à quoi ressemble les mails d'alerte qui vous seront envoyés :

Objet 	[psad-alert] DL3 src: bozo.com dst: system-linux.eu
De 	root Add contact
À 	adminux@system-linux.eu Add contact
Date 	Aujourd'hui 23:13
Afin de préserver votre vie privée, les images distantes ont été bloquées dans ce message. Afficher les images

=-=-=-=-=-=-=-=-=-=-=-= Fri Oct 30 23:13:38 2009 =-=-=-=-=-=-=-=-=-=-=-=


         Danger level: [3] (out of 5)

    Scanned TCP ports: [22-62078: 155 packets]
            TCP flags: [SYN: 155 packets, Nmap: -sT or -sS]
       iptables chain: INPUT (prefix "[IPTABLES DROP] :"), 155 packets

               Source: 82.67.23.11
                  DNS: bozo.com

          Destination: 91.121.175.142
                  DNS: system-linux.eu

   Overall scan start: Fri Oct 30 23:13:36 2009
   Total email alerts: 1
   Complete TCP range: [22-62078]
      Syslog hostname: osirix

         Global stats: chain:   interface:   TCP:   UDP:   ICMP:  
                       INPUT    eth0         155    0      0      


[+] TCP scan signatures:

   "MISC MS Terminal Server communication attempt"
       dst port:  3389 (no server bound to local port)
       flags:     SYN
       psad_id:   100077 (derived from: 1447 1448 2418)
       chain:     INPUT
       packets:   2
       classtype: misc-activity
       reference: (bugtraq) http://www.securityfocus.com/bid/3099
       reference: (cve) http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0540

   "POLICY vncviewer Java applet communication attempt"
       dst port:  5802 (no server bound to local port)
       flags:     SYN
       sid:       1846
       chain:     INPUT
       packets:   2
       classtype: misc-activity
       reference: (nessus) http://cgi.nessus.org/plugins/dump.php3?id=10758

   "MISC Microsoft PPTP communication attempt"
       dst port:  1723 (no server bound to local port)
       flags:     SYN
       psad_id:   100082 (derived from: 2126 2044)
       chain:     INPUT
       packets:   2
       classtype: attempted-admin
       reference: (bugtraq) http://www.securityfocus.com/bid/5807
       reference: (cve) http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-1214


[+] Whois Information:
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '82.67.22.0 - 82.67.23.255'

inetnum:      82.67.22.0 - 82.67.23.255
netname:      FR-PROXAD-ADSL
descr:        Proxad / Free SAS
descr:        Static pool (Freebox)
descr:        moncey-2 (lyon)
descr:        NCC#2003105443
country:      FR
admin-c:      ACP23-RIPE
tech-c:       TCP8-RIPE
status:       ASSIGNED PA
remarks:      Spam/Abuse requests: mailto:abuse@proxad.net
mnt-by:       PROXAD-MNT
source:       RIPE # Filtered

role:           Administrative Contact for ProXad
address:        Free SAS / ProXad
address:        8, rue de la Ville L'Eveque
address:        75008 Paris
phone:          +33 1 73 50 20 00
fax-no:         +33 1 73 92 25 69
remarks:        trouble:      Information: http://www.proxad.net/
remarks:        trouble:      Spam/Abuse requests: mailto:abuse@proxad.net
admin-c:        RA999-RIPE
tech-c:         FG4214-RIPE
nic-hdl:        ACP23-RIPE
mnt-by:         PROXAD-MNT
source:         RIPE # Filtered
abuse-mailbox:  abuse@proxad.net

role:           Technical Contact for ProXad
address:        Free SAS / ProXad
address:        8, rue de la Ville L'Eveque
address:        75008 Paris
phone:          +33 1 73 50 20 00
fax-no:         +33 1 73 92 25 69
remarks:        trouble:      Information: http://www.proxad.net/
remarks:        trouble:      Spam/Abuse requests: mailto:abuse@proxad.net
admin-c:        RA999-RIPE
tech-c:         FG4214-RIPE
nic-hdl:        TCP8-RIPE
mnt-by:         PROXAD-MNT
source:         RIPE # Filtered
abuse-mailbox:  abuse@proxad.net

% Information related to '82.64.0.0/14AS12322'

route:        82.64.0.0/14
descr:        ProXad network / Free SA
descr:        Paris, France
origin:       AS12322
mnt-by:       PROXAD-MNT
source:       RIPE # Filtered

bon test à vous