El dia de ayer tuve que implementar un Firewall para limitar el trafico de ciertos servicios solo para el rango de IPs Argentinas. Encontré 2 formas de hacer esto y seguramente habrá otras.
La primera consiste en los siguientes pasos
1º Patching iptables + add geoip
2º Building and installing the geoip kernel module
3º Building and installing the iptables library
4º Creating the IP-country mapping
Un poco tedioso todo el proceso pero nos da como resultado un comando de iptables mucho más practico como por ejemplo
iptables -A INPUT -p tcp --dport 22 -m geoip ! --src-cc AR -j DROP
Todo este procedimiento lo pueden ver en este post de Debian Admin
Como segundo metodo encontré una pagina donde estan todos los rangos de IPs
Todos los paises
http://www.ipdeny.com/ipblocks/data/countries/
Zona Argetina
http://www.ipdeny.com/ipblocks/data/countries/ar.zone
Con esto podemos hacer algo así
1º wget http://www.ipdeny.com/ipblocks/data/countries/ar.zone
2º creamos una cadena nueva iptables -N countryOK
3º mandamos todo el trafico de los puertos que nos interesan a countryOK
4º grep a la ar.zone
5º Bucle for para recorrer el grep de ar.zone + respectiva linea de iptables
Fuente de inspiración el gran nixCRAFT
Mostrando entradas con la etiqueta Tips Seguridad. Mostrar todas las entradas
Mostrando entradas con la etiqueta Tips Seguridad. Mostrar todas las entradas
viernes, 20 de mayo de 2011
viernes, 15 de abril de 2011
Habilitando SSL en Proftpd Ubuntu 10.04
Hace un tiempito que monté un FTP y la verdad que 0 practica de seguridad , mientras lo tuve que usar localmente no había problemas , pero ante la necesidad de usarlo desde una red WIFI o cualquier otra red desconocida me di cuenta que era hora de implementar SSL para no enviar la autenticación en texto claro.
Manos a la obra! voy a suponer que ya tienen andando proftpd y openssl instalado
1º editamos /etc/proftpd/modules.conf y descomentamos o agregamos
LoadModule mod_tls.c
2º editamos /etc/proftpd/proftpd.conf y descomentamos
Include /etc/proftpd/tls.conf
3º generamos los certificados (todo en una sola linea)
openssl req -x509 -newkey rsa:1024 -keyout /etc/ssl/private/proftpd.key -out /etc/ssl/certs/proftpd.crt -nodes -days 365
4º editamos/etc/proftpd/tls.conf y descomentamos para que nos quede así
TLSEngine on
TLSLog /var/log/proftpd/tls.log
TLSProtocol SSLv23
TLSRSACertificateFile /etc/ssl/certs/proftpd.crt
TLSRSACertificateKeyFile /etc/ssl/private/proftpd.key
TLSOptions NoCertRequest
TLSVerifyClient off
TLSRequired on
TLSRenegotiate required off
5º Guardamos y reiniciamos el servicio y ya podemos acceder con ftps://
En caso de que "TLSRequired on" SIEMPRE va a pedir SSL si lo ponemos en OFF podemos elegir de que manera acceder.
Desde una maquina probé a acceder con Windows Commander y para poder hacerlo tuve que copiar libssl32.dll a la carpeta. Esta dll la saqué instalando OPENSSL32
Inspirado en el blog italiano de : Luca Ercoli
Molte Grazie Luca!
Manos a la obra! voy a suponer que ya tienen andando proftpd y openssl instalado
1º editamos /etc/proftpd/modules.conf y descomentamos o agregamos
LoadModule mod_tls.c
2º editamos /etc/proftpd/proftpd.conf y descomentamos
Include /etc/proftpd/tls.conf
3º generamos los certificados (todo en una sola linea)
openssl req -x509 -newkey rsa:1024 -keyout /etc/ssl/private/proftpd.key -out /etc/ssl/certs/proftpd.crt -nodes -days 365
4º editamos/etc/proftpd/tls.conf y descomentamos para que nos quede así
TLSEngine on
TLSLog /var/log/proftpd/tls.log
TLSProtocol SSLv23
TLSRSACertificateFile /etc/ssl/certs/proftpd.crt
TLSRSACertificateKeyFile /etc/ssl/private/proftpd.key
TLSOptions NoCertRequest
TLSVerifyClient off
TLSRequired on
TLSRenegotiate required off
5º Guardamos y reiniciamos el servicio y ya podemos acceder con ftps://
En caso de que "TLSRequired on" SIEMPRE va a pedir SSL si lo ponemos en OFF podemos elegir de que manera acceder.
Desde una maquina probé a acceder con Windows Commander y para poder hacerlo tuve que copiar libssl32.dll a la carpeta. Esta dll la saqué instalando OPENSSL32
Inspirado en el blog italiano de : Luca Ercoli
Molte Grazie Luca!
jueves, 14 de abril de 2011
Nod Antivirus en Windows Live Messenger
Hoy en dia abundan los virus informaticos y Windows Live Messenger es una de las tantas vias usadas para difundirlos. Aprovechan la curiosidad de la gente y envian archivos infectados.
Hoy en este breve post vamos a configurar para que ESET NOD32, escanee los archivos que nos envian nuestros contactos.
Manos a la obra!
1º Abrimos Windows Live Messenger
2º Menú Herramientas --> Opciones
3º En la ventana que nos abre en la columna izquieda buscamos
"Transferencia Archivos"
4º Tildamos el casillero "Examinar los archivos en busca de virus ..."
5º En el nuevo casillero que se habilita copiamos esto
Win7 "C:\Program Files\ESET\ESET NOD32 Antivirus\ecls.exe" /log-file=C:\log.txt"
XP "C:\Archivos de Programa\ESET\ESET NOD32 Antivirus\ecls.exe" /log-file=C:\log.txt""
Listo una protección más... Proximamente para otro antivirus..
Fuente: Blog ESET
Hoy en este breve post vamos a configurar para que ESET NOD32, escanee los archivos que nos envian nuestros contactos.
Manos a la obra!
1º Abrimos Windows Live Messenger
2º Menú Herramientas --> Opciones
3º En la ventana que nos abre en la columna izquieda buscamos
"Transferencia Archivos"
4º Tildamos el casillero "Examinar los archivos en busca de virus ..."
5º En el nuevo casillero que se habilita copiamos esto
Win7 "C:\Program Files\ESET\ESET NOD32 Antivirus\ecls.exe" /log-file=C:\log.txt"
XP "C:\Archivos de Programa\ESET\ESET NOD32 Antivirus\ecls.exe" /log-file=C:\log.txt""
Listo una protección más... Proximamente para otro antivirus..
Fuente: Blog ESET
lunes, 4 de abril de 2011
Usando OpenPGP en Thunderbird Windows
Bueno... vayamos tachando pendientes , uno de ellos era instalar OpenPGP en Thunderbird para Windows. Manos a la obra...
1º Descargamos GPG4Win desde http://ftp.gpg4win.org/gpg4win-2.1.0.exe y lo instalamos.
2º Vamos a la pagina de descarga de la extensión de OpenPGP para Thunderbird http://enigmail.mozdev.org/download/index.php.html elegimos en este caso Windows (solo hay versión para 32 bit) y descargamos el enigmail-1.1.12-tb-win.xpi (al momento de escribir este articulo).
Ya tenemos la extensión de Thunderbird la instalamos desde Herramientas --> Complementos --> Instalar y reiniciamos Thuderbird
3º Una vez reiniciado ya tenemos un nuevo menú en Thunderbird llamado OpenPGP lo abrimos y vamos a "Administrar claves OpenPGP" , nos abre una nueva ventana y
nos pide el path del GPG y por ejemplo en Windows 7 sería "C:\Program Files (x86)\GNU\GnuPG\gpg2.exe".
4º Una vez puesto el path buscamos al final del menú "Generar" --> Nuevo par de claves.
5º Nos abre un "formulario" para generar la clave , elegimos la cuenta , completamos los campos (yo lo tengo sin frase clave" ponemos una fecha de expiración y en avanzadas podemos cambiar el tamaños de bit (por defecto 2048 y RSA) , presionamos el boton generar clave y esperamos.
6º Finalizado el proceso nos sale un cartel para generar un certificado para revocar la llave por si acaso compromenten nuestra clave. Lo generamos y lo guardamos en un lugar seguro.
7º Volvemos a la ventana de "Administración de claves" y vemos nuestro usuario (en caso de no verlo tildar "Mostrar por defecto todas las claves". Nos paramos sobre el usuario ---> Botón derecho --> Subir clave publica al servidor de claves y cerramos
8º Volvemos al Thunderbird ---> Herramientas --> Config de cuentas y tenemos un nuevo item "Seguridad OpenPGP". Tildamos "Activar Soporte OpenPGP" --> Usar ID de clave OpenPGP y elegimos nuestra clave y seleccionamos las opciones que queremos usar.
Listo...ya podemos mandar nuestro mail usando OpenPGP desde Thunderbid!
Fuente de referencia: "ubuntu facil"
PD= En la pagina http://pgp.mit.edu/ podemos verificar la clave
1º Descargamos GPG4Win desde http://ftp.gpg4win.org/gpg4win-2.1.0.exe y lo instalamos.
2º Vamos a la pagina de descarga de la extensión de OpenPGP para Thunderbird http://enigmail.mozdev.org/download/index.php.html elegimos en este caso Windows (solo hay versión para 32 bit) y descargamos el enigmail-1.1.12-tb-win.xpi (al momento de escribir este articulo).
Ya tenemos la extensión de Thunderbird la instalamos desde Herramientas --> Complementos --> Instalar y reiniciamos Thuderbird
3º Una vez reiniciado ya tenemos un nuevo menú en Thunderbird llamado OpenPGP lo abrimos y vamos a "Administrar claves OpenPGP" , nos abre una nueva ventana y
nos pide el path del GPG y por ejemplo en Windows 7 sería "C:\Program Files (x86)\GNU\GnuPG\gpg2.exe".
4º Una vez puesto el path buscamos al final del menú "Generar" --> Nuevo par de claves.
5º Nos abre un "formulario" para generar la clave , elegimos la cuenta , completamos los campos (yo lo tengo sin frase clave" ponemos una fecha de expiración y en avanzadas podemos cambiar el tamaños de bit (por defecto 2048 y RSA) , presionamos el boton generar clave y esperamos.
6º Finalizado el proceso nos sale un cartel para generar un certificado para revocar la llave por si acaso compromenten nuestra clave. Lo generamos y lo guardamos en un lugar seguro.
7º Volvemos a la ventana de "Administración de claves" y vemos nuestro usuario (en caso de no verlo tildar "Mostrar por defecto todas las claves". Nos paramos sobre el usuario ---> Botón derecho --> Subir clave publica al servidor de claves y cerramos
8º Volvemos al Thunderbird ---> Herramientas --> Config de cuentas y tenemos un nuevo item "Seguridad OpenPGP". Tildamos "Activar Soporte OpenPGP" --> Usar ID de clave OpenPGP y elegimos nuestra clave y seleccionamos las opciones que queremos usar.
Listo...ya podemos mandar nuestro mail usando OpenPGP desde Thunderbid!
Fuente de referencia: "ubuntu facil"
PD= En la pagina http://pgp.mit.edu/ podemos verificar la clave
miércoles, 22 de septiembre de 2010
Iptables error "Using intrapositioned negation (`--option ! this`)..."
El dia de hoy después de un tiempito de ya haber visto este mensaje en iptables "Using intrapositioned negation (`--option ! this`) is deprecated in favor of extrapositioned (`! --option this`)" me digné a buscarle la solución.
La busqueda fue muyyyy cortita y la solución muy facil dejo el post de donde lo saqué.
El error lo da cuando en una regla de iptables ponemos un "not" o sea "!" por ejemplo
en un DNAT
iptables -t nat -I PREROUTING -s ! 192.168.0.0/24 -p tcp --dport 3389 -j DNAT --to 192.168.0.10
Eso daría el error que vimos arriba, lo unico que cambia es que ahora el signo va después o sea.
iptables -t nat -I PREROUTING -s 192.168.0.0/24 ! -p tcp --dport 3389 -j DNAT --to 192.168.0.10
Haciendo eso ya no tenemos el molesto mensajito.
La busqueda fue muyyyy cortita y la solución muy facil dejo el post de donde lo saqué.
El error lo da cuando en una regla de iptables ponemos un "not" o sea "!" por ejemplo
en un DNAT
iptables -t nat -I PREROUTING -s ! 192.168.0.0/24 -p tcp --dport 3389 -j DNAT --to 192.168.0.10
Eso daría el error que vimos arriba, lo unico que cambia es que ahora el signo va después o sea.
iptables -t nat -I PREROUTING -s 192.168.0.0/24 ! -p tcp --dport 3389 -j DNAT --to 192.168.0.10
Haciendo eso ya no tenemos el molesto mensajito.
viernes, 16 de julio de 2010
Usando el modulo Recent de iptables
Ayer estuve dandole una mano a Nica , un amigo en la implementación de ipt_recent , para evitar flooding a un puerto de un servidor de juegos. Rapidamente copio las reglas para no olvidarme!
iptables -t nat -A PREROUTING -p tcp --dport 55901 -m recent --name mu_gs3 --rsource --update --seconds 120 --hitcount 3 -j DROP
iptables -t nat -A PREROUTING -p tcp --dport 55901 -m recent --set --rsource --name mu_gs3 -j DNAT --to 192.168.1.120:55901
En este caso las reglas estan en PREROUTING de la tabla NAT ya que hace el reenvio a un server interno ,pero se pueden usar obviamente en el INPUT de la tabla FILTER
Si bien existen aplicaciones como Fail2ban , en caso de que tengamos algun servicio que no podemos configurar , este puede ser una prevención.
En la pagina oficial tienen más ejemplos http://www.snowman.net/projects/ipt_recent/
iptables -t nat -A PREROUTING -p tcp --dport 55901 -m recent --name mu_gs3 --rsource --update --seconds 120 --hitcount 3 -j DROP
iptables -t nat -A PREROUTING -p tcp --dport 55901 -m recent --set --rsource --name mu_gs3 -j DNAT --to 192.168.1.120:55901
En este caso las reglas estan en PREROUTING de la tabla NAT ya que hace el reenvio a un server interno ,pero se pueden usar obviamente en el INPUT de la tabla FILTER
Si bien existen aplicaciones como Fail2ban , en caso de que tengamos algun servicio que no podemos configurar , este puede ser una prevención.
En la pagina oficial tienen más ejemplos http://www.snowman.net/projects/ipt_recent/
martes, 2 de febrero de 2010
Secunia escaneando vulnerabilidades online o version Desktop
Mediante un post de Lifehacker veo que salió una nueva version de Secunia Online para escanear las vulnerabilidades de nuestro sistema operativo y software instalado (Windows Only). Existe también una versión instalable para desktop que se puede bajar desde este link
Será cuestión de probar que tan vulnerables somos...
Será cuestión de probar que tan vulnerables somos...
sábado, 14 de noviembre de 2009
Actualizando kernel sin Reiniciar con Ksplice (karmic)
Leyendo un post del blog de cbittachira me entero de la existencia de Ksplice. Voy a hacer un copy & paste del blog de cbittachira con algunas modificaciones ya que lo probé en karmic.
Instalar las actualizaciones del kernel de Ubuntu sin necesidad de reiniciar utilizando Ksplice Uptrack
Ksplice Uptrack es un servicio de actualización para el kernel de Linux,que automáticamente ofrece mejoras de seguridad y fiabilidad de su máquina, sin la necesidad de reiniciar su maquina.
Para instalarlo vamos a seguir los siguientes pasos:
Paso 1. Obtener una clave de acceso
Por favor, solicite una clave de acceso aqui, la clave de acceso será enviada a su correo electrónico. http://ksplice.com/uptrack/key
Paso 2. Instalar el software base
Para esto debemos agregar los repositorios de ksplice. esto los haremos de la siguiente manera:
crear /etc/apt/sources.list.d/ksplice.list
sudo gedit /etc/apt/sources.list.d/ksplice.list
Agregamos el siguiente contenido al archivo ksplice.list elijan su distro
deb http://www.ksplice.com/apt jaunty ksplice
deb-src http://www.ksplice.com/apt jaunty ksplice
deb http://www.ksplice.com/apt karmic ksplice
deb-src http://www.ksplice.com/apt karmic ksplice
Guardamos y salimos, y hacemos lo siguiente desde el terminal
sudo wget -N https://www.ksplice.com/apt/ksplice-archive.asc
sudo apt-key add ksplice-archive.asc
sudo aptitude update
sudo aptitude install uptrack
En la siguiente pantalla introducimos la clave enviada a nuestro correo en el Paso 1
Paso 3. Instalar el software Grafico
sudo aptitude install uptrack-manager
Si no se inicia automaticamente lo ejecutamos uptrack-manager y se va a posicionar el icontray.
Nos aparece una interface grafica en la cual salen los update que nos faltan en el kernel , solo nos queda darle Install update y listo!! La verdad que me parece muy bueno.
En la pagina de Kspiice tenemos los comandos para ejecutarlo desde la consola.
uptrack-upgrade
Bring your system up to date by installing the latest available updates.
uptrack-remove id
Removes the update with ID id. If invoked with --all, removes all installed updates.
uptrack-install id
Installs the update with ID id.
uptrack-show
Show a list of the updates that are currently installed.
PD= En la pagina parece ser que para hardy solo hay un trial de 30 dias.
Instalar las actualizaciones del kernel de Ubuntu sin necesidad de reiniciar utilizando Ksplice Uptrack
Ksplice Uptrack es un servicio de actualización para el kernel de Linux,que automáticamente ofrece mejoras de seguridad y fiabilidad de su máquina, sin la necesidad de reiniciar su maquina.
Para instalarlo vamos a seguir los siguientes pasos:
Paso 1. Obtener una clave de acceso
Por favor, solicite una clave de acceso aqui, la clave de acceso será enviada a su correo electrónico. http://ksplice.com/uptrack/key
Paso 2. Instalar el software base
Para esto debemos agregar los repositorios de ksplice. esto los haremos de la siguiente manera:
crear /etc/apt/sources.list.d/ksplice.list
sudo gedit /etc/apt/sources.list.d/ksplice.list
Agregamos el siguiente contenido al archivo ksplice.list elijan su distro
deb http://www.ksplice.com/apt jaunty ksplice
deb-src http://www.ksplice.com/apt jaunty ksplice
deb http://www.ksplice.com/apt karmic ksplice
deb-src http://www.ksplice.com/apt karmic ksplice
Guardamos y salimos, y hacemos lo siguiente desde el terminal
sudo wget -N https://www.ksplice.com/apt/ksplice-archive.asc
sudo apt-key add ksplice-archive.asc
sudo aptitude update
sudo aptitude install uptrack
En la siguiente pantalla introducimos la clave enviada a nuestro correo en el Paso 1
Paso 3. Instalar el software Grafico
sudo aptitude install uptrack-manager
Si no se inicia automaticamente lo ejecutamos uptrack-manager y se va a posicionar el icontray.
Nos aparece una interface grafica en la cual salen los update que nos faltan en el kernel , solo nos queda darle Install update y listo!! La verdad que me parece muy bueno.
En la pagina de Kspiice tenemos los comandos para ejecutarlo desde la consola.
uptrack-upgrade
Bring your system up to date by installing the latest available updates.
uptrack-remove id
Removes the update with ID id. If invoked with --all, removes all installed updates.
uptrack-install id
Installs the update with ID id.
uptrack-show
Show a list of the updates that are currently installed.
PD= En la pagina parece ser que para hardy solo hay un trial de 30 dias.
jueves, 19 de marzo de 2009
Bloquear autorun.inf solución by Panda
Leyendo en mis RSS veo que en el blog de cryptex
Panda Security, puso a disposición de los usuarios Panda USB Vaccine, una solución de seguridad gratuita diseñada para bloquear el malware que se propaga a través de unidades extraíbles como llaves de memoria USB, CD/DVDs, reproductores MP3, etc.
Dejo el link para descargarlo
PandaVaccine
Panda Security, puso a disposición de los usuarios Panda USB Vaccine, una solución de seguridad gratuita diseñada para bloquear el malware que se propaga a través de unidades extraíbles como llaves de memoria USB, CD/DVDs, reproductores MP3, etc.
Dejo el link para descargarlo
PandaVaccine
viernes, 13 de marzo de 2009
Boletin de seguridad Microsoft Marzo 09
El boletín "crítico" es:
* MS09-006: Actualización del kernel de Microsoft Windows que soluciona tres vulnerabilidades que podrían permitir la ejecución remota de código arbitrario.
Los dos boletines "importantes" son:
* MS09-007: Actualización destinada a corregir una vulnerabilidad en Secure Channel (Schannel) de Windows que podría permitir a un atacante remoto la falsificación de certificados.
* MS09-008: Actualización para DNS y WINS que resuelve cuatro vulnerabilidades que podrían ser aprovechadas por un atacante remoto para falsificar respuestas y redirigir tráfico de Internet.
Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.
Microsoft Security Bulletin Summary for March 2009
http://www.microsoft.com/technet/security/bulletin/ms09-mar.mspx
Microsoft Security Bulletin MS09-006 � Critical Vulnerabilities in Windows Kernel Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS09-006.mspx
Microsoft Security Bulletin MS09-007 - Important Vulnerability in SChannel Could Allow Spoofing
http://www.microsoft.com/technet/security/bulletin/MS09-007.mspx
Microsoft Security Bulletin MS09-008 � Important Vulnerabilities in DNS and WINS Server Could Allow Spoofing
http://www.microsoft.com/technet/security/bulletin/MS09-008.mspx
Fuente: Hispasec
* MS09-006: Actualización del kernel de Microsoft Windows que soluciona tres vulnerabilidades que podrían permitir la ejecución remota de código arbitrario.
Los dos boletines "importantes" son:
* MS09-007: Actualización destinada a corregir una vulnerabilidad en Secure Channel (Schannel) de Windows que podría permitir a un atacante remoto la falsificación de certificados.
* MS09-008: Actualización para DNS y WINS que resuelve cuatro vulnerabilidades que podrían ser aprovechadas por un atacante remoto para falsificar respuestas y redirigir tráfico de Internet.
Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.
Microsoft Security Bulletin Summary for March 2009
http://www.microsoft.com/technet/security/bulletin/ms09-mar.mspx
Microsoft Security Bulletin MS09-006 � Critical Vulnerabilities in Windows Kernel Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS09-006.mspx
Microsoft Security Bulletin MS09-007 - Important Vulnerability in SChannel Could Allow Spoofing
http://www.microsoft.com/technet/security/bulletin/MS09-007.mspx
Microsoft Security Bulletin MS09-008 � Important Vulnerabilities in DNS and WINS Server Could Allow Spoofing
http://www.microsoft.com/technet/security/bulletin/MS09-008.mspx
Fuente: Hispasec
Descargar videos Defcon 16
Leyendo en el blog de Chema encuentro la noticia que podemos descargar los videos de la Defcon 16. Dejó el link https://www.defcon.org/podcast/defcon-16-video.rss.
lunes, 25 de febrero de 2008
Instalación Psad en función anti-nmap
Bueno acá les traigo un resumen sacado de howtoforge con alguna reforma de como instalar PSAD en Debian para evitar escaneos de NMAP. Les paso a contar...
Empezamos por instalar psad
apt-get install psad
Finalizada la instalación puede que nos de un error ya que Psad syslog, debe ser configurado para escribir todos los mensajes kern.info a una tubería con nombre /var/lib/psad/psadfifo esto lo hacemos de la siguiente manera
echo -e 'kern.info\t|/var/lib/psad/psadfifo' >> /etc/syslog.conf
También para que funcione correctamente tenemos que loguear los paquetes de Iptables de la siguiente manera
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
Psad consta de un archivo de configuración ubicado en /etc/psad/psad.conf
los parametros que vamos a cambiar son
EMAIL_ADDRESSES (dirección a la que vamos a mandar los mails)
HOSTNAME (nombre de la maquina)
SYSLOG_DAEMON (hay que cambiarlo en caso de que usemos otros ej syslog_ng)
EMAIL_LIMIT (limitamos la cantidad de mail de una IP especifica)
EMAIL_ALERT_DANGER_LEVEL 3(esto es para setear segun que danger hay que mandar los mails yo lo tengo en 3 o 4 para que no mande un millon de mails)
ENABLE_AUTO_IDS Y; (tenemos que ponerlo en Y si queremos que sea automatico la defensa)
AUTO_IDS_DANGER_LEVEL 3 (Activamos el nivel de danger en el que queremos que se active el IDS)
Despues de configurar todos los parametros reiniciamos el servicio /etc/init.d/psad restart
Con el comando psad --fw-list podemos ver las reglas que se añaden automaticamente.
Bueno seguramente hay muchas configuraciones más pero con esto a mi por ahora me alcanza si quieren más info pueden ir a la pagina oficial de psad o googlear
http://www.cipherdyne.org/psad/
Empezamos por instalar psad
apt-get install psad
Finalizada la instalación puede que nos de un error ya que Psad syslog, debe ser configurado para escribir todos los mensajes kern.info a una tubería con nombre /var/lib/psad/psadfifo esto lo hacemos de la siguiente manera
echo -e 'kern.info\t|/var/lib/psad/psadfifo' >> /etc/syslog.conf
También para que funcione correctamente tenemos que loguear los paquetes de Iptables de la siguiente manera
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
Psad consta de un archivo de configuración ubicado en /etc/psad/psad.conf
los parametros que vamos a cambiar son
EMAIL_ADDRESSES (dirección a la que vamos a mandar los mails)
HOSTNAME (nombre de la maquina)
SYSLOG_DAEMON (hay que cambiarlo en caso de que usemos otros ej syslog_ng)
EMAIL_LIMIT (limitamos la cantidad de mail de una IP especifica)
EMAIL_ALERT_DANGER_LEVEL 3(esto es para setear segun que danger hay que mandar los mails yo lo tengo en 3 o 4 para que no mande un millon de mails)
ENABLE_AUTO_IDS Y; (tenemos que ponerlo en Y si queremos que sea automatico la defensa)
AUTO_IDS_DANGER_LEVEL 3 (Activamos el nivel de danger en el que queremos que se active el IDS)
Despues de configurar todos los parametros reiniciamos el servicio /etc/init.d/psad restart
Con el comando psad --fw-list podemos ver las reglas que se añaden automaticamente.
Bueno seguramente hay muchas configuraciones más pero con esto a mi por ahora me alcanza si quieren más info pueden ir a la pagina oficial de psad o googlear
http://www.cipherdyne.org/psad/
Suscribirse a:
Entradas (Atom)