Tutorial PSAD - Detección de escaneo de

puertos en Ubuntu/Linux Mint

Luis Eduardo Verenzuela | moebius6357@gmail.com 27/04/2019 23:22

Introducción
Ser capaz de detectar la actividad de la red que puede indicar un intento de intrusión puede ayudarlo a
tomar las acciones apropiadas antes de que ocurra un evento. Los sistemas de detección de intrusos
están disponibles por esta razón específica.
Los sistemas de detección de intrusos se utilizan para registrar conexiones sospechosas e informar
cuando parece que se está llevando a cabo una actividad inusual. Algunos programas se utilizan
únicamente como un sistema de notificación, mientras que otros pueden intentar activamente bloquear
el tráfico que parece tener la intención de causar daños.
La herramienta psad , que significa detección de ataques de escaneo de puertos, es una pieza de
software que monitorea activamente sus registros de firewall para determinar si un evento de escaneo o
ataque está en progreso. Luego puede alertar a los administradores o tomar medidas activas para
disuadir la amenaza.
En este breve tutorial, le mostraré cómo instalar rápidamente un sistema de monitoreo de escaneo de
puertos.
El PSAD ha existido desde 2001. Como suele ser el caso, una herramienta simple de código abierto
puede proporcionar una gran cantidad de detalles sobre los atacantes.

¿Cómo PSAD detecta ataques?

La detección de escaneos de puertos puede lograrse al detectar paquetes del cable. Este es el método
utilizado para muchos sistemas de detección de intrusiones. En este caso, PSAD simplemente lee
syslog . Los mensajes de syslog son generados por el registro de firewall de IPTables . Los scripts de
PSAD analizan los registros para encontrar información relevante y crean informes simples.
Otra herramienta alternativa para los defensores es el OSSEC , esta herramienta basada en host también
podría configurarse para leer los registros del firewall y analizar los resultados en alertas. También
puede enviar registros de PSAD a OSSEC y crear algunas reglas para generar alertas, pero la
configuración y las alertas de correo electrónico de PSAD nativas son sencillas y directas para
comenzar a trabajar rápidamente.

Comenzando con PSAD en Ubuntu Linux

Básicamente, psad es un demonio basado en perl que supervisa la salida del registro de iptables.
Generalmente son estos 3 simples pasos:
1. Instalando psad
2. Edita el psad.conf
3. Habilitar el registro de iptables
Más información está disponible en la fuente. Por ahora vamos a empezar:

Paso 1: Instalación en Ubuntu (probado en 14.04) pero probablemente funcionará en cualquier

versión:
#apt update
#apt install psad

Paso 2: Editar el PSAD.Conf.

Ahora que está instalado, podemos editar el archivo /etc/psad/psad.conf para personalizarlo
para nuestros requisitos. La documentación dentro del archivo de configuración es excelente.
Simplemente trabaje a través de la 'configuración de opciones' según sea necesario.
Un recordatorio obvio pero útil. Si está ejecutando esto en sistemas de producción, siempre asegúrese
de entender lo que harán las diferentes configuraciones, y tal vez haga una prueba en un sistema que no
sea de producción.
Un par de cosas para ver en el archivo de configuración:
EMAIL_ADDRESSES youremail@example.com; Aquí es donde se enviarán las alertas de
correo electrónico.
HOME_NET NO_USADO; ### solo una interfaz en la caja
IGNORE_PORTS udp / 53; ### Puede filtrar puertos que generan mucho tráfico
legítimo.

MIN_DANGER_LEVEL 1; ## configuración de niveles de alerta. Dejé esto en 1 pero

subí el nivel de peligro de alerta por correo electrónico
### Solo envíe una alerta por correo electrónico si el nivel de peligro> = a este
valor.
EMAIL_ALERT_DANGER_LEVEL 3; ## dejar esto en 1 le dará alarmas durante todo el
tiempo como un ping de gusano en su casilla.

IPT_SYSLOG_FILE / var / log / syslog; ## el valor predeterminado es / var / log /

messages pero en los registros predeterminados de Ubuntu vaya a / var / log /
syslog

Paso 3: Habilitar el registro de iptables

Asegúrese de que está obteniendo registros de sus IPTables. Esta configuración dependerá de si tiene
implementadas las reglas de IPTables y tendrá que tener cuidado de no estropear las reglas del firewall.
Especialmente si tiene un servidor remoto (tiene administración fuera de banda, ¿verdad?).
La configuración de cortafuegos más básica es la siguiente, sin embargo, con este conjunto y ninguna
otra regla, podrá capturar todo el tráfico en sus registros. Tráfico legítimo así como exploraciones
portuarias.
iptables -A ENTRADA -j LOG
iptables -A ADELANTE -j LOG
Echa un vistazo a la página web para más detalles. Puede realizar un gran monitoreo en su lugar con
PSAD, OSSEC y otras herramientas de código abierto. Comprende el problema y encuentra la
herramienta que más te convenga.
Una vez que comience a recibir alertas e informes de direcciones IP que están afectando a su servidor,
inicie un análisis. Averigüe de dónde provienen los IP, incluidos los bloques de red, los países y si están
alojando servicios. ¿Parecen los usuarios domésticos escaneando, los servidores web comprometidos o
tal vez los robots? Nuestro Las herramientas IP podrían ayudarlo con su análisis