Psad: une protection supplémentaire contre les attaques

Psad est un outil développé en C/Perl visant à completer le pare-feu IpTables en détectant les scan de réseau et le traffic suspect pour en avertir l’administrateur. Les rapports fournis sont très détaillés (adresse de l’attaquant, date, heure, système (OS), ports scannés, …) et parmis ses possibilités, outre d’envoyer un mail à l’administrateur, il peut bloquer dynamiquement l’attaquant.

Psad inclue des  signatures de divers backdoor et DDos-tools et peut analyser les paquets afin de définir quel type de scan a été lancé (options de nmap).

Installation (Debian):

Par paquet:

Psad est contenu dans les dépots Lenny (v2.1.3), Squeeze et Sid (2.1.7). Avec ses dépendances Perl, il y a 1400 ko de paquet à télécharger et 6400 ko d’espace disque nécessaire.

aptitude install psad

Avec les sources:

cd /opt/sources

wget http://www.cipherdyne.org/psad/download/psad-2.1.7.tar.bz2

tar xjf psad-2.1.7.tar.bz2

cd psad-2.1.7

./install.pl

Configuration:

Configurer Syslog:

Si on essaie de lancer le daemon, le système nous alerte que rien n’est configuré au niveau de SysLog :

Syslog has not been configured to send messages to /var/lib/psad/psadfifo. Please configure it as descripted in psad (8).

En effet pour fonctionner il faut que les messages kern-info soient restransmis vers /psad/psadinfo. Pour règler ce problème il faut entrez la commande suivante :

echo -e ‘kern.info\t|/var/lib/psad/psadinfo’ >> /etc/syslog.conf

Et on redémarre SysLog:

/etc/init.d/syslog restart

Configurer Psad:

Le fichier de configuration est /etc/psad/psad.conf

Pour l’avertissement par mail:

EMAIL_ADRESSE : changer pour recevoir les alertes par mail.

Verifier aussi les chemin mailCmd et sendMailCmd à la fin du fichier.

HOSTNAME : le nom de la machine

IGNORE_PORTS : ports à ignorer. On peut défnir une plage : udp/5000-6000

Concernant la création dynamique de règle dans IpTables pour bloquer l’utilisateur:

ENABLE_AUTO_IDS : mettre la valeur à ‘Y’

IPTABLES_BLOC_METHOD : vérifier que la valeur est ‘Y’

Configurer IpTables:

Il faut ajouter deux règles:

iptables -A INPUT -j LOG

iptables -A FORWARD -j LOG

Utilisation:

Lancement du daemon:

/etc/init.d/psad start

Visualisation des attaques

Les rapports d’attaques sont rangés dans /var/log/psad avec un dossier pour chaque adresse de l’attaquant.

Il est aussi possible d’utiliser :

psad -S

La commande va retourner un récapitulatif de toute les attaques.

Suppression des blocages d’adresses automatiques (IPS)

Psad -F

Conclusion:

Psad est un très bon outil de détection d’attaque, très rapide à mettre en oeuvre et comprenant de nombreuses options de configuration. On peut regreter qu’il ne gère pas le daemon rsyslog devenu standart sous Lenny.

Liens:

Psad sur Freshmeat

Publicités

Une réflexion sur “Psad: une protection supplémentaire contre les attaques

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s