Instalar PSAD (Detector de Intrusos) en Centos 6




Instalar PSAD (Detector de Intrusos) en Centos 6

PSAD (Port Scan Attack Detector) es un conjunto de 3 demonios escritos en Perl y C, es un detector de intrusos y analiza el logs de iptables, determinando el tipo de ataque etc. Una herramienta bastante útil en cuanto a seguridad se refiere.

PSAD procesa todos los paquetes que han sido registrados por el cortafuegos (firewall) y aplica la lógica de firmas para determinar qué tipo de scan ha sido desplegado contra la máquina o contra la red.

Para instalar PSAD en Centos 6 debemos realizar las siguientes operaciones:

Nota: todas las acciones debemos hacerla como "root" o como un usuario de "sudoers"

Necesitamos que iptables guarde en log las acciones para que psad poder leerlo

iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG

Agregamos el repo EPEL

yum install epel-release

Instalamos el PSAD

yum install psad

Hacemos un respaldo de la configuración:

cp /etc/psad/psad.conf /etc/psad/psad.conf.backup

editamos el archivo de configuración de PSAD

nano -w /etc/psad/psad.conf

Buscar la línea:

EMAIL_ADDRESSES to_your_email;

y colocar en to_your_email el email donde llegarán las notificaciones. debe dejar el ; es necesario. Si son varias cuentas email puede separarlas con , (comas)

Buscar IPT_SYSLOG_FILE:

IPT_SYSLOG_FILE /var/log/psad.log;

tambien buscar ENABLE_AUTO_IDS y colocarlo en Y:

ENABLE_AUTO_IDS Y;

Buscamos EMAIL_ALERT_DANGER_LEVEL

EMAIL_ALERT_DANGER_LEVEL 3;

Buscamos AUTO_BLOCK_TIMEOUT y bloqueamos la IP (sospechosa) por 1 semana:

AUTO_BLOCK_TIMEOUT 86400;

Buscamos CHECK_INTERVAL

CHECK_INTERVAL 30;

Buscamos DSHIELD_ALERT_EMAIL (Se recomienda no quitar o cambiar, de esa forma colaboramos con ese importante servicio)

DSHIELD_ALERT_EMAIL reports@dshield.org;

Guardar

Ahora, reiniciamos psad, actualizamos el archivo signature (para que reconozca los tipos de ataques) y cargamos las nuevas firmas:

psad -R

psad --sig-update

psad -H

Añadimos en el cron para que cargue las nuevas firmas:

crontab -e

0 0 * * 7 /usr/sbin/psad –sig-update && /usr/sbin/psad -H

Reiniciar rsyslog para que tome las acciones del log ;)

service rsyslog restart

Para ver el estado del PSAD

psad -S

Listo!

Cuando queramos ver el log ejecutamos:

cat /var/log/psad.log

Puedes ir testeando hasta llegar a una configuración óptima, de esa forma una herramienta de detección de intrusiones de red como psad, aumenta las posibilidades de conseguir las advertencias necesarias sobre las posibles amenazas antes de que un problema ocurra en realidad.

Documentación:
http://cipherdyne.org/psad/docs/

Puedes instalarlo en Debian, Ubuntu, Linux Mint y derivados leyendo este post:
PSAD - THE PORT SCAN ATTACK DETECTOR (DETECTOR DE ATAQUES DE SCANEO DE PUERTO)
http://xombra.com/



Otras artículos de interés:

Instalar Kernel 4.13 en Ubuntu - Linux Mint - Xanadu
Hemos publicado en diferentes oportunidades la forma de cambiar el kernel en nuestro Linux, bien sea que usemos Debian, Ubuntu, Linuxt Mint o Xanadu. O cualquier distribución Linux que use .DEB ...
Aspectos para Auditorías de Sistemas de Información y Tecnologías Informáticas e implementación de estándares de Seguridad Infor
Este documento es una guía práctica para las personas que desean conocer la situación de una organización en relación a su seguridad informática. Conformacíon de la monografía:...
Actualizar al Kernel 3.9 en Ubuntu / LinuxMint
Entre las novedades más llamativas de este Kernel: - Soporte completo para todos los dispositivos Chrome - Soporte a virtualización KVM dentro de arquitecturas ARM - Mejora de la eficiencia energética...
Prevenir IP Spoofing Ubuntu / LinuxMint
Por spoofing se conoce a la creación de tramas TCP/IP utilizando una dirección IP falseada. Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente...
Cambiar la fuente (FONTS) predeterminada de Ubuntu
Aunque se puede hacer con cualquiera, vamos a predeterminar al sistema para que use las fuentes Tahoma.ttf y tahomabd.ttf. Esto no es ni más ni menos porque son dos de las fuentes que trae Windows por defecto, y no solo tenemos un fácil acceso a...
Your browser sent a request that this server could not understand. -Bad Request
Solución al mensaje: Your browser sent a request that this server could not understand. Size of a request header field exceeds server limit. Te aparecerá este mensaje en el navegador: ...
Guía rápida de Network bonding en Debian
EL amigo Jesús Lara (Phenobarbital) publicó en su blog una excelente guía para hacer bonding usando Debian. A continuación la guía. Introducción Esta guía no pretende ser guí...
Instalar RHEL EPEL Repo Centos 6.x
Abrir una terminal Como root hacer: cd /tmp wget http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm wget http://rpms.famillecollet.com/enterprise/rem...
Leer libros electrónicos en formato epub en Ubuntu
Que es el formato .epub? La wikipedia no saca de la oscurida: (acrónimo de la expresión inglesa Electronic publication - Publicación electrónica) es un formato estándar redimensionable para archivos de libro ele...
Instalar Turpial, cliente (linux) twitter Venezolano
Turpial ha demostrado ser un cliente ligero y de excelente calidad desarrollado en phyton para plataforma GNU/linux, para instalarlo solo debes realizar lo siguiente: ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • detector
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • instalar
  • internet
  • intrusos
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • psad
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra