PSAD (Port Scan Attack Detector), è un software utile ed abbastanza robusto, in grado di individuare l'indirizzo IP sorgente di un eventuale attacco port scan lanciato verso i nostri server. Nella fattispecie, in questo post illustrerò come installarlo e configurarlo.
Procediamo dunque con l'installazione del pacchetto citato in precedenza, digitando:
nightfly@nightbox:~$ sudo apt-get install psad
Poichè tale software si basa sui log generati da iptables, è necessario che sul nostro server siano attive le seguenti regole di firewalling:
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
Personalmente ho deciso di abilitare tali regole direttamente all'avvio del server, in modo da rendere psad subito operativo. Modifichiamo dunque il file /etc/rc.local:
nightfly@nightbox:~$ sudo nano /etc/rc.local
aggiungendo le entry:
#psad
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
Ovviamente, dopo aver installato psad è necessario configurarlo. Per fare ciò dobbiamo aprire in scrittura il file psad.conf, presente nella directory /etc/psad:
nightfly@nightbox:~$ sudo nano /etc/psad/psad.conf
Inseriamo l'indirizzo email a cui verranno inviati gli alert generati da psad:
EMAIL_ADDRESSES vostro.indirizzo@email.it;
impostiamo correttamente la soglia che fa scattare gli alert (ovvero il numero minimo di porte vittima del port scan):
PORT_RANGE_SCAN_THRESHOLD 3;
e successivamente facciamo in modo che vengano ignorati alcuni indirizzi IP inoffensivi. Per fare ciò occorre modificare il file /etc/psad/auto_dl, inserendo ad esempio queste direttive:
127.0.0.1 0;
193.204.114.232 0;
193.204.114.233 0;
10.0.3.0/24 0;
224.0.0.251 0;
Lo 0 indica il grado più basso di pericolosità associato all'IP, dove per pericolosità si intende un valore intero compreso nell'intervallo [0; 5].
Infine, riavviamo psad:
nightfly@nightbox:~$ sudo service psad restart
ed abbiamo finito.
Da notare che la configurazione trattata in questo post è piuttosto minimale e di tipo passivo, ovvero si limita ad individuare gli attacchi senza bloccarli. Potete però fare in modo che, appena psad riconosce un eventuale attacco, proceda automaticamente con la creazione di una regola iptables per bloccarlo (in questo caso parliamo di configurazione attiva).
A presto.