K

- Base de connaissances

Accueil > Projets Open Source > psad > psad, détecteur de scan de ports

psad, détecteur de scan de ports

dimanche 11 décembre 2016, par webmestre

PSAD est projet OpenSource qui fournit une détection d’intrusion par analyse de fichiers journalisation avec IPtables (pare-feu Linux). L’outil de PSAD est utilisé pour changer un IDS (Détection d’intrusion) système en un IPS (Intrusion Prevention System). Il utilise les règles de l’IDS open source bien connu SNORT pour la détection d’événements d’intrusion.

Installation

Via la commande apt-get  :

apt-get install psad

Paramétrage

Le fichier de paramétrage à modifier est /etc/psad/psad.conf .

Et, on fera le strict minimum sur ce fichier en paramétrant PSAD en IDS :

EMAIL_ADDRESSES user@domain.fr;
HOSTNAME        nom_de_la_machine;
HOME_NET        any;
EXTERNAL_NET    any;
ENABLE_SYSLOG_FILE   Y;
IPT_WRITE_FWDATA      Y;
IPT_SYSLOG_FILE       /var/log/syslog;
ENABLE_AUTO_IDS Y;
AUTO_IDS_DANGER_LEVEL 1;

Il est a noté que par défaut la variable IGNORE_PORTS est à NONE. Ce paramétrage peut générer des messages "polluants" quant à l’activité de BIND9.
Pour pallier à cela, il suffit de modifier ce paramètre tel que :

IGNORE_PORTS                udp/53;

Une fois fait, il faut mettre en place une journalisation des évènements pour iptables, d’où l’ajout des règles :

iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
ip6tables -A INPUT -j LOG
ip6tables -A FORWARD -j LOG

Une fois fait, on va mettre à jour la base de données de signature des attaques et mettre à jour les nouveaux paramètres de psad  :

psad --sig-update
service psad restart

Répondre à cet article

Plan du site | Suivre la vie du site RSS 2.0 | powered by NYSTEK-EDITIONS and NYSTEK-CONSULTING