Instalar PSAD (Detector de Intrusos) en Centos 6




Instalar PSAD (Detector de Intrusos) en Centos 6

PSAD (Port Scan Attack Detector) es un conjunto de 3 demonios escritos en Perl y C, es un detector de intrusos y analiza el logs de iptables, determinando el tipo de ataque etc. Una herramienta bastante útil en cuanto a seguridad se refiere.

PSAD procesa todos los paquetes que han sido registrados por el cortafuegos (firewall) y aplica la lógica de firmas para determinar qué tipo de scan ha sido desplegado contra la máquina o contra la red.

Para instalar PSAD en Centos 6 debemos realizar las siguientes operaciones:

Nota: todas las acciones debemos hacerla como "root" o como un usuario de "sudoers"

Necesitamos que iptables guarde en log las acciones para que psad poder leerlo

iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG

Agregamos el repo EPEL

yum install epel-release

Instalamos el PSAD

yum install psad

Hacemos un respaldo de la configuración:

cp /etc/psad/psad.conf /etc/psad/psad.conf.backup

editamos el archivo de configuración de PSAD

nano -w /etc/psad/psad.conf

Buscar la línea:

EMAIL_ADDRESSES to_your_email;

y colocar en to_your_email el email donde llegarán las notificaciones. debe dejar el ; es necesario. Si son varias cuentas email puede separarlas con , (comas)

Buscar IPT_SYSLOG_FILE:

IPT_SYSLOG_FILE /var/log/psad.log;

tambien buscar ENABLE_AUTO_IDS y colocarlo en Y:

ENABLE_AUTO_IDS Y;

Buscamos EMAIL_ALERT_DANGER_LEVEL

EMAIL_ALERT_DANGER_LEVEL 3;

Buscamos AUTO_BLOCK_TIMEOUT y bloqueamos la IP (sospechosa) por 1 semana:

AUTO_BLOCK_TIMEOUT 86400;

Buscamos CHECK_INTERVAL

CHECK_INTERVAL 30;

Buscamos DSHIELD_ALERT_EMAIL (Se recomienda no quitar o cambiar, de esa forma colaboramos con ese importante servicio)

DSHIELD_ALERT_EMAIL reports@dshield.org;

Guardar

Ahora, reiniciamos psad, actualizamos el archivo signature (para que reconozca los tipos de ataques) y cargamos las nuevas firmas:

psad -R

psad --sig-update

psad -H

Añadimos en el cron para que cargue las nuevas firmas:

crontab -e

0 0 * * 7 /usr/sbin/psad –sig-update && /usr/sbin/psad -H

Reiniciar rsyslog para que tome las acciones del log ;)

service rsyslog restart

Para ver el estado del PSAD

psad -S

Listo!

Cuando queramos ver el log ejecutamos:

cat /var/log/psad.log

Puedes ir testeando hasta llegar a una configuración óptima, de esa forma una herramienta de detección de intrusiones de red como psad, aumenta las posibilidades de conseguir las advertencias necesarias sobre las posibles amenazas antes de que un problema ocurra en realidad.

Documentación:
http://cipherdyne.org/psad/docs/

Puedes instalarlo en Debian, Ubuntu, Linux Mint y derivados leyendo este post:
PSAD - THE PORT SCAN ATTACK DETECTOR (DETECTOR DE ATAQUES DE SCANEO DE PUERTO)
http://xombra.com/



Otras artículos de interés:

Instalar OpenVPN en Ubuntu
Qué es una VPN Una red privada virtual (virtual private network) es una red de comunicaciones canalizada a través de otra red y dedicada a un uso específico. Para nuestro caso esa otra red es Internet....
Rsync: Sincroniza tus carpetas o respalda tus archivos en Linux - Debian - Ubuntu - Derivados
rsync el concepto que nos wikipedia: es una aplicación libre para sistemas de tipo Unix y Microsoft Windows que ofrece transmisión eficiente de datos incrementales, que opera también con datos comprimidos y cifrados. Con esta maravill...
Optimizar Firefox en Ubuntu
Escribir about:config en la barra de navegación: Cambia los siguientes valores: network.http.pipelining true network.http.pipelining.maxrequests 30 network.http.max-connections 96 netwo...
Tuneando nuestro Ubuntu
Ubuntu Tweak es un aplicación que nos permite realizar ajustes y modificaciones a nuestro ubuntu. hay dos formas de instalación: 1.- Descargarlo desde http://ubuntu-tweak.com/do...
Implementación efectiva de IDS
Los sniffers e IDS examinan, registran, o actúan sobre el tráfico de red. Prepararse para implementar un sistema de detección de intrusos, o IDS, como parte de su estrategia integral de seguridad, significa conocer a fondo la arquitectura de su re...
Desinstalar MS-Windows y dejar solo Ubuntu / LinuxMint
Es bastante fácil. Realiza respaldo de tus documentos (textos - Videos - Imagenes) de MS-Windows. Iniciar la pc/laptop cargando tu Linux instalado. Si usas Ubuntu o LinuxMint ve a Sistema->Admi...
INTRODUCCIÓN A LA CRIPTOGRAFÍA
La palabra Criptografía viene del griego Kryptos, escondido, y Graphos, escritura. Es decir, cuando hablamos de Criptografía estamos hablando de Escritura escondida. Se trata de escribir algo de manera que otra persona que quiera leer lo qu...
El Derecho de Autor o Propiedad Intelectual
El Derecho de Autor, se usa para describir los derechos de los creadores sobre sus obras. Las obras bajo el derecho de autor van desde: libros, música, pintura, escultura , imágenes de fotografías, películas hasta el software de computadoras...
Convertir USB Pendrive en RAM / Debian - Ubuntu
A veces debemos trabajar que poseen 1GB de ram o menos y cuando abrimos aplicaciones se va volviendo lento el equipo. Afortunadamente Linux nos permite usar un pendrive USB o Memoria Flash para usarla como memoria adicional. Solo hay que s...
Cambiando el Theme GTK de tu Linux
Cambiar el Theme (tema - vista) de tu escritorio en tu distribución Linux instalada, es bastante sencillo. Primero debes ingresr a: gnome-...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • detector
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • instalar
  • internet
  • intrusos
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • psad
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra