Instalar PSAD (Detector de Intrusos) en Centos 6




Instalar PSAD (Detector de Intrusos) en Centos 6

PSAD (Port Scan Attack Detector) es un conjunto de 3 demonios escritos en Perl y C, es un detector de intrusos y analiza el logs de iptables, determinando el tipo de ataque etc. Una herramienta bastante útil en cuanto a seguridad se refiere.

PSAD procesa todos los paquetes que han sido registrados por el cortafuegos (firewall) y aplica la lógica de firmas para determinar qué tipo de scan ha sido desplegado contra la máquina o contra la red.

Para instalar PSAD en Centos 6 debemos realizar las siguientes operaciones:

Nota: todas las acciones debemos hacerla como "root" o como un usuario de "sudoers"

Necesitamos que iptables guarde en log las acciones para que psad poder leerlo

iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG

Agregamos el repo EPEL

yum install epel-release

Instalamos el PSAD

yum install psad

Hacemos un respaldo de la configuración:

cp /etc/psad/psad.conf /etc/psad/psad.conf.backup

editamos el archivo de configuración de PSAD

nano -w /etc/psad/psad.conf

Buscar la línea:

EMAIL_ADDRESSES to_your_email;

y colocar en to_your_email el email donde llegarán las notificaciones. debe dejar el ; es necesario. Si son varias cuentas email puede separarlas con , (comas)

Buscar IPT_SYSLOG_FILE:

IPT_SYSLOG_FILE /var/log/psad.log;

tambien buscar ENABLE_AUTO_IDS y colocarlo en Y:

ENABLE_AUTO_IDS Y;

Buscamos EMAIL_ALERT_DANGER_LEVEL

EMAIL_ALERT_DANGER_LEVEL 3;

Buscamos AUTO_BLOCK_TIMEOUT y bloqueamos la IP (sospechosa) por 1 semana:

AUTO_BLOCK_TIMEOUT 86400;

Buscamos CHECK_INTERVAL

CHECK_INTERVAL 30;

Buscamos DSHIELD_ALERT_EMAIL (Se recomienda no quitar o cambiar, de esa forma colaboramos con ese importante servicio)

DSHIELD_ALERT_EMAIL reports@dshield.org;

Guardar

Ahora, reiniciamos psad, actualizamos el archivo signature (para que reconozca los tipos de ataques) y cargamos las nuevas firmas:

psad -R

psad --sig-update

psad -H

Añadimos en el cron para que cargue las nuevas firmas:

crontab -e

0 0 * * 7 /usr/sbin/psad –sig-update && /usr/sbin/psad -H

Reiniciar rsyslog para que tome las acciones del log ;)

service rsyslog restart

Para ver el estado del PSAD

psad -S

Listo!

Cuando queramos ver el log ejecutamos:

cat /var/log/psad.log

Puedes ir testeando hasta llegar a una configuración óptima, de esa forma una herramienta de detección de intrusiones de red como psad, aumenta las posibilidades de conseguir las advertencias necesarias sobre las posibles amenazas antes de que un problema ocurra en realidad.

Documentación:
http://cipherdyne.org/psad/docs/

Puedes instalarlo en Debian, Ubuntu, Linux Mint y derivados leyendo este post:
PSAD - THE PORT SCAN ATTACK DETECTOR (DETECTOR DE ATAQUES DE SCANEO DE PUERTO)
http://xombra.com/



Otras artículos de interés:

Razor-Qt el escritorio minimalista
Hace unos días gracias a una nota publicada por Willy Klew en visualbeta.es, conocí a Razor-Qt, pequeño pero poderoso escritorio para GNU/Linux. Según indican trae como nuevo: un editor de políticas de se...
Para navegar en Internet hay que ser paranoico.
Cada vez que inciamos un browser (navegador) llamese IExplore, Mozilla, Opera, etc, así como cuando usamos algún cliente peer to peer (P2P) estamos abriendo nuestro equipo a una infinidad de posibilidades de que sea objeto de intrusión por parte ...
Instalar fail2ban en centOS 6
Elige el repo de tu arquitectura: CentOS 6 32 bit: rpm -Uvh http://mirror.pnl.gov/epel//6/i386/epel-release-6-8.noarch.rpm CentOS 6 64 bit: rpm -Uvh http://mirror.us.leaseweb.net/epel/6/x86_...
Manipular PDF en Ubuntu
Necesitaremos el programa pdftk y para ello pondremos: $ sudo apt-get install pdftk Esto no es un manual completo. Son los ejemplos más prácticos. Para...
Thunar: Opción de Buscar archivos
Por default Thunar no posee la opción de Buscar Archivos, por lo que tenemos que recurrir a este pequeño truco: Instalamos: sudo aptitude install zenity thunar-archive-plugin Creamos...
RFP (Request for Proposal) de seguridad informática
La famosa Solicitud de Propuesta o Request for Proposal (RFP) como suele llamársela es uno de los documentos más importantes para los responsables de la seguridad informática de cualquier organización. Ventajas ...
Session hijacking, peligro en la red
Navegando en la red por casualidad caí en un blog (http://d3ny4ll.blogspot.com/) por demás interesante donde el propietario de Julio Jaime expone en forma bastante didactica y sencilla p...
¿Sabías que MSN Messenger Tiene un SpyWare?
El MSN Messenger posee un SpyWare (espía) muy famoso es el QMGR. Para limpiar este espía de Microsoft tendrás que seguir estos pasos: Renombra los archivos: Loadqm.exe, qmgr.dll, qmgrprxy.dll y progdl.dll como por ejemplo: Loadqm.old y qmgr.d_...
Instalación de Linux en un Pendrive o Memory Stick
Voy a poner aquí los pasos que se han de seguir para la instalación de GNU/Linux en el Pendrive por si a alguien le sirve de ayuda. Lo principal de todo es que la BIOS de la placa base debe tener la opción de ...
NTP (Network Time Protocol) en Ubuntu / LinuxMint
NTP («Network Time Protocol»), se usa para mantener los relojes de los computadores en la hora correcta sincronizándolos mediante internet o una red local, o mediante un receptor que interprete GPS, DCF-77, NIST o se&nt...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • detector
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • instalar
  • internet
  • intrusos
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • psad
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra