Bueno acá les traigo un resumen sacado de howtoforge con alguna reforma de como instalar PSAD en Debian para evitar escaneos de NMAP. Les paso a contar...
Empezamos por instalar psad
apt-get install psad
Finalizada la instalación puede que nos de un error ya que Psad syslog, debe ser configurado para escribir todos los mensajes kern.info a una tubería con nombre /var/lib/psad/psadfifo esto lo hacemos de la siguiente manera
echo -e 'kern.info\t|/var/lib/psad/psadfifo' >> /etc/syslog.conf
También para que funcione correctamente tenemos que loguear los paquetes de Iptables de la siguiente manera
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
Psad consta de un archivo de configuración ubicado en /etc/psad/psad.conf
los parametros que vamos a cambiar son
EMAIL_ADDRESSES (dirección a la que vamos a mandar los mails)
HOSTNAME (nombre de la maquina)
SYSLOG_DAEMON (hay que cambiarlo en caso de que usemos otros ej syslog_ng)
EMAIL_LIMIT (limitamos la cantidad de mail de una IP especifica)
EMAIL_ALERT_DANGER_LEVEL 3(esto es para setear segun que danger hay que mandar los mails yo lo tengo en 3 o 4 para que no mande un millon de mails)
ENABLE_AUTO_IDS Y; (tenemos que ponerlo en Y si queremos que sea automatico la defensa)
AUTO_IDS_DANGER_LEVEL 3 (Activamos el nivel de danger en el que queremos que se active el IDS)
Despues de configurar todos los parametros reiniciamos el servicio /etc/init.d/psad restart
Con el comando psad --fw-list podemos ver las reglas que se añaden automaticamente.
Bueno seguramente hay muchas configuraciones más pero con esto a mi por ahora me alcanza si quieren más info pueden ir a la pagina oficial de psad o googlear
http://www.cipherdyne.org/psad/
No hay comentarios:
Publicar un comentario