lunes, 25 de febrero de 2008

Instalación Psad en función anti-nmap

Bueno acá les traigo un resumen sacado de howtoforge con alguna reforma de como instalar PSAD en Debian para evitar escaneos de NMAP. Les paso a contar...

Empezamos por instalar psad

apt-get install psad


Finalizada la instalación puede que nos de un error ya que Psad syslog, debe ser configurado para escribir todos los mensajes kern.info a una tubería con nombre /var/lib/psad/psadfifo esto lo hacemos de la siguiente manera

echo -e 'kern.info\t|/var/lib/psad/psadfifo' >> /etc/syslog.conf


También para que funcione correctamente tenemos que loguear los paquetes de Iptables de la siguiente manera

iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG

Psad consta de un archivo de configuración ubicado en /etc/psad/psad.conf
los parametros que vamos a cambiar son

EMAIL_ADDRESSES (dirección a la que vamos a mandar los mails)
HOSTNAME (nombre de la maquina)
SYSLOG_DAEMON (hay que cambiarlo en caso de que usemos otros ej syslog_ng)
EMAIL_LIMIT (limitamos la cantidad de mail de una IP especifica)
EMAIL_ALERT_DANGER_LEVEL 3(esto es para setear segun que danger hay que mandar los mails yo lo tengo en 3 o 4 para que no mande un millon de mails)

ENABLE_AUTO_IDS Y; (tenemos que ponerlo en Y si queremos que sea automatico la defensa)

AUTO_IDS_DANGER_LEVEL 3 (Activamos el nivel de danger en el que queremos que se active el IDS)

Despues de configurar todos los parametros reiniciamos el servicio /etc/init.d/psad restart
Con el comando psad --fw-list podemos ver las reglas que se añaden automaticamente.

Bueno seguramente hay muchas configuraciones más pero con esto a mi por ahora me alcanza si quieren más info pueden ir a la pagina oficial de psad o googlear

http://www.cipherdyne.org/psad/

No hay comentarios: