Flisol_2009_Psad

361 views

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
361
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
5
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Flisol_2009_Psad

  1. 1. André Carrilho da Costa Universidade Católica de Goiás Goiânia - GO 25/04/2009
  2. 2.   Ports Scans   Iptables   Logs de Sistema   Psad:  Características  Funções básicas   Resposta ativa com Psad   Prática
  3. 3.   Considerado primeiro passo de um ataque   Mapeamento de portas e/ou serviços   Ex:> Nmap , Nessus etc... Retornos: 1.  Open 2.  Filtered 3.  Closed
  4. 4.   # nmap –sS xxx.xxx.xxx.xxx PORT STATE SERVICE VERSION 21/tcp open ftp 1.  22/tcp open ssh 2.  80/tcp open http 3. 
  5. 5.   1# Lugar Top 100 Network Security Tools (http://sectools.org/)   Scan de vulnerabilidades
  6. 6. É um firewall em nível de pacotes e funciona baseado no   endereço/porta de origem/destino do pacote, prioridade, etc. Tabelas: 1.  Filter 3. Mangle 1.  INPUT 2.  OUTPUT 1.  INPUT 3.  FORWARD 2.  OUTPUT 3.  FORWARD 2.  Nat 4.  PREROUTING 5.  POSTROUTING 1.  PREROUTING 2.  OUTPUT 3.  POSTROUTING
  7. 7.  Targets ACCEPT 1.  DROP 2.  LOG 3.  REJECT 4.  RETURN 5.  # iptables -t filter -A INPUT -d 127.0.0.1 -j DROP
  8. 8. Importâncias:   Alertar sobre problemas de hardware e de 1.  software Fornecer evidências importantes de intrusão 2. 
  9. 9.   Syslog (Sistema de registro em Log)   Syslogd (Daemon do syslog, capturar msg mandadas pelo sistema)   Klogd (Daemon, capturar msg mandadas pelo kernel)   /etc/syslog.conf (Aquivo de configuração do syslog)   /var/log/ (Arquivo onde são armazenados os logs)   Formato do log: Data | Hora | Máquina | daemon | mensagem
  10. 10. Psad faz uso de logs gerados pelo Iptables podendo   detectar , alertar e opcionalmente bloquear port scans e outros tráfigos suspeitos. Daemons:   1.  Psad 2.  Kmsgsd 3.  Psadwatchd
  11. 11.   Separar as mensagens do Iptables de todas as outras mensagens do kernel.   Escreve toda essa informação no arquivo /var/log/psad/fwdata. kern.info |/var/lib/psad/psadfifo
  12. 12.   Responsável pela checagem do kmsgsd e psad   Faz a verificação se ambos estão rodando   Notifica via email que o daemon foi reiniciado.
  13. 13. /etc/psad/psad.conf HOME_NET 192.168.1.0/24; EXTERNAL_NET any; HTTP_SERVES $HOME_NET; EMAIL_ADDRESSES root@localhost; DANGER_LEVEL{1 a 5}; SYSLOG_DAEMON syslogd; ENABLE_AUTO_IDS; AUTO_IDS_DANGER_LEVEL 5 ; AUTO_BLOCK_TIMEOUT 3600 ; IGNORE_PORTS udp/53, udp/5000, tcp/51000-61356; IGNORE_PROTOCOLS icmp; IGNORE_LOG_PREFIXES estou logando loopback;
  14. 14. /etc/psad/auto_dl   <endereço ip> <danger level> <protocolo (opcional)>/<porta (opcional)>; /etc/psad/snort_rule_dl   <sid><danger level>;
  15. 15.   /etc/psad/psad.conf ENABLE_AUTO_IDS Y;   AUTO_IDS_DANGER_LEVEL 5 ;    AUTO_BLOCK_TIMEOUT 3600 ;   Nov 2 18:11:56 darkstar psad: scan detected: 192.168.1.10 -> 192.168.1.1 icmp pkts: 1 DL: 5 Nov 2 18:11:56 darkstar psad: added iptables auto-block against 192.168.1.10 for 3600 seconds
  16. 16. Contato: carrilhoandre@gmail.com

×