PSAD — представляет собой набор из трех легких системных демонов, которые работают на Linux и анализируют логи iptables  для обнаружения сканирования портов и наличие  подозрительного трафика.

Кроме того, PASD может взаимодействовать с Snort – системой обнаружения вторжения.

Сканирование портов не вредит системе, но само по себе является первым и обязательный шагом атаки на целевую систему. Злоумышленник может использовать nmap или любые другие аналогичные инструменты для сканирования сети. Результатом данного сканирования будут возможные, более конкретные векторы атаки (информации о сети, сервисах, хотах, и т.д).

Настройка IPTables

Главное требование для политики iptables, чтобы быть совместимым с psad — нужно, чтобы iptables логировал пакеты. Это достигается путем включения правил INPUT и FORWARD

Чтобы посмотреть, какие правила сейчас включены, нужно ввести команду

Теперь мы можем начать добавлять наши правила, в основном, на INPUT цепи. Нам нужно добавить правил, чтобы явно разрешить наши авторизованные соединения перед добавлением ограничения.

Для того, чтобы сделать наши сервисы открытыми, можно использовать следующий синтакс

Настройка psad на обнаружение атак

Отрываем конфигурационный файл psad’a

Первое, что нужно изменить — это верхняя часть конфига. Изменяем параметр EMAIL_ADDRESSES, на тот куда вы хотите получать уведомления от psad. Также стоит изменить HOSTNAME, чтобы psad ссылался на правильную машину.

Еще один из важных разделов, на который стоит взглянуть «уровни опасности». Эти уровни используются psad’ом, чтобы классифицировать угрозу. Они определяют пороговые значения количества пакетов, участвующих в событии. По умолчанию они задаются так

Если вы используете определенные порты для таких вещей, как port knocking, то можно указать psad’у игнорировать их при мониторинге.

Можно настроить белый/черный список адресов

Чтобы добавить в черный список ip-адрес нужно присвоить ему значение на «5»

Для белого списка — присвоить «0»

Чтобы включить блокировку фаерволлом определенных адресов нужно изменить в файле psad.conf значение ENABLE_AUTO_IDSнаY

И установим пороговое значение уровня опасности, по которому фаерволл будет блокировать ip-адрес

Так же установим время блока

После всех изменений перезагружаем psad

Полезные команды

Чтобы посмотреть активность psad, а так же его статистику

Будет показана информация о топ атакующих, о топ сигнатурах и др.

Удалить автоматически заблокированный ip

Удалить все автоматически заблокированные ip

Обновление сигнатур

Более подробную информацию о командах можно посмотреть на официальной станице PSAD man

Тестирование PSAD

Используем сканирование с помощью Nmap

IP-адрес тестовой машины будет заблокирован.

Почти сразу же вы получите электронное письмо:

Заключение

Путем правильной настройки такого инструмента для обнаружения сетевых атак, как psad Вы увеличиваете свои шансы на своевременное предупреждение об атаках. Так же psad может в автоматическом режиме применять меры для устранения этих атак.