1) O documento discute técnicas de detecção de intrusão como varredura de portas usando ferramentas como Nmap e Nessus, iptables e logs de sistema. 2) Ele também descreve o Psad, um sistema de detecção e prevenção de intrusão que usa logs do iptables para detectar varreduras de porta e outros tráfegos suspeitos. 3) Por fim, explica como configurar e usar o Psad, incluindo arquivos de configuração e comandos.

1. André Carrilho da Costa
Universidade Católica de Goiás
Goiânia - GO
25/04/2009

2.  Ports Scans
 Iptables
 Logs de Sistema
 Psad:
 Características
 Funções básicas
 Resposta ativa com Psad
 Prática

3.  Considerado primeiro passo de um ataque
 Mapeamento de portas e/ou serviços
 Ex:> Nmap , Nessus etc...
Retornos:
1. Open
2. Filtered
3. Closed

4.  # nmap –sS xxx.xxx.xxx.xxx
PORT STATE SERVICE VERSION
21/tcp open ftp
1.
22/tcp open ssh
2.
80/tcp open http
3.

5.  1# Lugar Top 100 Network Security Tools
(http://sectools.org/)
 Scan de vulnerabilidades

7. É um firewall em nível de pacotes e funciona baseado no

endereço/porta de origem/destino do pacote, prioridade,
etc.
Tabelas:
1. Filter
3. Mangle
1. INPUT
2. OUTPUT 1. INPUT
3. FORWARD 2. OUTPUT
3. FORWARD
2. Nat 4. PREROUTING
5. POSTROUTING
1. PREROUTING
2. OUTPUT
3. POSTROUTING

8.  Targets
ACCEPT
1.
DROP
2.
LOG
3.
REJECT
4.
RETURN
5.
# iptables -t filter -A INPUT -d 127.0.0.1 -j DROP

9. Importâncias:

Alertar sobre problemas de hardware e de
1.
software
Fornecer evidências importantes de intrusão
2.

10.  Syslog (Sistema de registro em Log)
 Syslogd (Daemon do syslog, capturar msg mandadas pelo sistema)
 Klogd (Daemon, capturar msg mandadas pelo kernel)
 /etc/syslog.conf (Aquivo de configuração do syslog)
 /var/log/ (Arquivo onde são armazenados os logs)
 Formato do log:
Data | Hora | Máquina | daemon | mensagem

11. Psad faz uso de logs gerados pelo Iptables podendo

detectar , alertar e opcionalmente bloquear port scans e
outros tráfigos suspeitos.
Daemons:

1. Psad
2. Kmsgsd
3. Psadwatchd

12.  Separar
as mensagens do Iptables de todas
as outras mensagens do kernel.
 Escreve
toda essa informação no arquivo
/var/log/psad/fwdata.
kern.info |/var/lib/psad/psadfifo

13.  Responsável pela checagem do kmsgsd e
psad
 Faz a verificação se ambos estão rodando
 Notifica via email que o daemon foi
reiniciado.

14. /etc/psad/psad.conf
HOME_NET 192.168.1.0/24;
EXTERNAL_NET any;
HTTP_SERVES $HOME_NET;
EMAIL_ADDRESSES root@localhost;
DANGER_LEVEL{1 a 5};
SYSLOG_DAEMON syslogd;
ENABLE_AUTO_IDS;
AUTO_IDS_DANGER_LEVEL 5 ;
AUTO_BLOCK_TIMEOUT 3600 ;
IGNORE_PORTS udp/53, udp/5000, tcp/51000-61356;
IGNORE_PROTOCOLS icmp;
IGNORE_LOG_PREFIXES estou logando loopback;

15. /etc/psad/auto_dl

<endereço ip> <danger level> <protocolo (opcional)>/<porta (opcional)>;
/etc/psad/snort_rule_dl

<sid><danger level>;

16.  /etc/psad/psad.conf
ENABLE_AUTO_IDS Y;

AUTO_IDS_DANGER_LEVEL 5 ;

AUTO_BLOCK_TIMEOUT 3600 ;

Nov 2 18:11:56 darkstar psad: scan detected: 192.168.1.10 -> 192.168.1.1 icmp pkts: 1 DL: 5
Nov 2 18:11:56 darkstar psad: added iptables auto-block against 192.168.1.10 for 3600 seconds

17. Contato: carrilhoandre@gmail.com