1) O documento discute técnicas de detecção de intrusão como varredura de portas usando ferramentas como Nmap e Nessus, iptables e logs de sistema. 2) Ele também descreve o Psad, um sistema de detecção e prevenção de intrusão que usa logs do iptables para detectar varreduras de porta e outros tráfegos suspeitos. 3) Por fim, explica como configurar e usar o Psad, incluindo arquivos de configuração e comandos.
1. André Carrilho da Costa
Universidade Católica de Goiás
Goiânia - GO
25/04/2009
2. Ports Scans
Iptables
Logs de Sistema
Psad:
Características
Funções básicas
Resposta ativa com Psad
Prática
3. Considerado primeiro passo de um ataque
Mapeamento de portas e/ou serviços
Ex:> Nmap , Nessus etc...
Retornos:
1. Open
2. Filtered
3. Closed
4. # nmap –sS xxx.xxx.xxx.xxx
PORT STATE SERVICE VERSION
21/tcp open ftp
1.
22/tcp open ssh
2.
80/tcp open http
3.
5. 1# Lugar Top 100 Network Security Tools
(http://sectools.org/)
Scan de vulnerabilidades
6.
7. É um firewall em nível de pacotes e funciona baseado no
endereço/porta de origem/destino do pacote, prioridade,
etc.
Tabelas:
1. Filter
3. Mangle
1. INPUT
2. OUTPUT 1. INPUT
3. FORWARD 2. OUTPUT
3. FORWARD
2. Nat 4. PREROUTING
5. POSTROUTING
1. PREROUTING
2. OUTPUT
3. POSTROUTING
8. Targets
ACCEPT
1.
DROP
2.
LOG
3.
REJECT
4.
RETURN
5.
# iptables -t filter -A INPUT -d 127.0.0.1 -j DROP
9. Importâncias:
Alertar sobre problemas de hardware e de
1.
software
Fornecer evidências importantes de intrusão
2.
10. Syslog (Sistema de registro em Log)
Syslogd (Daemon do syslog, capturar msg mandadas pelo sistema)
Klogd (Daemon, capturar msg mandadas pelo kernel)
/etc/syslog.conf (Aquivo de configuração do syslog)
/var/log/ (Arquivo onde são armazenados os logs)
Formato do log:
Data | Hora | Máquina | daemon | mensagem
11. Psad faz uso de logs gerados pelo Iptables podendo
detectar , alertar e opcionalmente bloquear port scans e
outros tráfigos suspeitos.
Daemons:
1. Psad
2. Kmsgsd
3. Psadwatchd
12. Separar
as mensagens do Iptables de todas
as outras mensagens do kernel.
Escreve
toda essa informação no arquivo
/var/log/psad/fwdata.
kern.info |/var/lib/psad/psadfifo
13. Responsável pela checagem do kmsgsd e
psad
Faz a verificação se ambos estão rodando
Notifica via email que o daemon foi
reiniciado.