Захист від сканування портів за допомогою psad Частина 2

допомогою

У цьому циклі описується один із корисних засобів мережевого захисту - детектор спроб сканування портів psad. У першій статті розглядалися основні функціональні властивості та можливості psad, а також деякі аспекти його встановлення та конфігурування. У цій статті основна увага приділена практичному використанню psad.

Як правило, після встановлення, конфігурування та запуску psad починає нормально працювати у штатному режимі. Тим не менш, дуже корисними можуть виявитися деякі дії та прийоми роботи, що дозволяють експлуатувати psad з більшою користю.

1. Забезпечення ефективної роботи зв'язування iptables + psad

Як вже було сказано в першій статті, psad працює спільно з системним екраном iptables, точніше, використовує повідомлення, що генеруються iptables і реєструються в системних журналах (логах). Також було зазначено, що потрібне деяке коригування правил iptables. У лістингу 1 наведено приклад скрипта, що визначає необхідні правила фаєрволу і ініціалізує його виконання для системи Debian.

Лістинг 1. Приклад скрипту для конфігурування правил та запуску iptables для Debian

2. Отримання звіту про поточний стан psad

Для отримання повного звіту про роботу psad та про його поточний стан, що включає дані про використання процесора та оперативної пам'яті всіма трьома демонами, а також кількість оброблених пакетів з розкладкою за їх джерелами, необхідно отримати привілеї суперкористувача root та виконати наступну команду:

(або з "довгим" прапором: psad - Status)

Висновок цієї команди містить таблицю, в якій зазначено, скільки TCP, UDP та ICMP пакетів обробленоpsad з моменту свого запуску. Слід зазначити, що не всі пакети, повідомлення про які зареєстровані в системних журналах, відносяться до виявлених фактів сканування, тому загальна кількість вхідних пакетів наведена нижче за таблицю, в розділі "Total packet counters". Приклад виведення команди psad -S наведено у лістингу 2 (деякі частини виведення, що містять конфіденційну інформацію про систему, видалені з міркувань безпеки).

Лістинг 2. Приклад виведення команди psad-S (скорочений варіант)

Примітка: у стовпці dl вказаний рівень небезпеки (danger level), встановлений на момент виведення таблиці стану.

Після того, як наведені вище параметри змінені:

у файлі конфігурації /etc/psad/psad.conf, і файл збережений, необхідно перезапустити сервіс psad, щоб внесені зміни набули чинності:

Перезапуск можна виконати і за допомогою команди psad-R або psad-Restart, яка також дозволяє реініціалізувати всі psad-процеси. Позитивним моментом тут є те, що цей ключ "згадує" і використовує всі параметри командного рядка, з якими був запущений початковий процес-процес.

(або з використанням "довгого" ключа: psad - Flash). При цьому видаляються всі автоматично згенеровані правила блокування iptables.

5. Отримання зведення параметрів конфігурації

Поточний список параметрів конфігурації psad можна отримати, використовуючи команду

Повний опис всіх ключів команди psad можна прочитати у відповідній man-сторінці, яка доступна відразу після установки дистрибутивного пакета.

Висновок

Практичні приклади застосування детектора спроб сканування портів psad, наведені в цій статті, показують, що працювати з цим засобом захисту легко та зручно,користь можна отримати чималу. Зрозуміло, тільки psad не забезпечить безпеку повною мірою, але в комплексі з іншими інструментами дозволить істотно підвищити надійність мережевого захисту.