Trong hướng dẫn này, tôi sẽ chỉ cho bạn cách cài đặt và cấu hình công cụ PSAD (Port Scan Attack Detection) trên Debian 8 (Jessie). Theo dự ánwebsite
SAD cung cấp tính năng phát hiện xâm nhập và phân tích nhật ký với IPtables (tường lửa Linux). Công cụ PSAD được sử dụng để thay đổi hệ thống IDS (Phát hiện xâm nhập) thành IPS (Hệ thống phòng ngừa xâm nhập). Công cụ này sử dụng các quy tắc của IDS nguồn mở nổi tiếng "SNORT" để phát hiện các sự kiện xâm nhập. VM hoặc máy chủ được công cụ liên tục giám sát để phát hiện bất kỳ cuộc tấn công nào đang hoạt động như quét cổng và có thể tự động chặn các địa chỉ IP độc hại trong tường lửa Linux. Một dự án tương tự khác là Guardian, có rất ít tính năng. PSAD sẽ được cài đặt trên VM Debian-8 (Jessie) và công cụ quét "Nmap" sẽ được sử dụng để kiểm tra các cổng mở trên VM. Cuối cùng, một cuộc tấn công DOS sẽ được khởi chạy trên máy chủ web (Apache) để xem hành vi của công cụ PSAD.
Quá trình cài đặt Debian được mô tả trong bài viết trước. Địa chỉ IP của máy PSAD là 192.168.1.102/24.
Công cụ PSAD có thể được cài đặt từ mã nguồn hoặc từ kho lưu trữ gói Debian. Tôi sẽ cài đặt nó từ kho lưu trữ Debian. Trước hết, hãy thêm nội dung sau vào tệp sources.list (hoặc kiểm tra xem các dòng đã có chưa) và chạy lệnh apt để cập nhật danh sách kho lưu trữ.
Danh sách nguồn cho Debian Jessie
Chạy lệnh sau để cài đặt PSAD trong VM.
Cần có một số gói Perl trong quá trình cài đặt công cụ PSAD. Các gói phụ thuộc sẽ được trình quản lý gói Debian tự động giải quyết.
Tính năng Tường lửa trên nền tảng Linux được cung cấp bởi gói IPtables. Đây là tường lửa Linux nổi tiếng và đã được cài đặt trong tất cả các bản phân phối Linux.
Bật ghi nhật ký trên các chuỗi đầu vào và chuyển tiếp của IPtables để daemon PSAD có thể phát hiện bất kỳ hoạt động bất thường nào.
Đầu ra của lệnh "iptables -L" sẽ tương tự như hiển thị bên dưới bây giờ.
Trên bản phân phối Debian, công cụ PSAD lưu trữ các tệp cấu hình và quy tắc trong thư mục /etc/psad.
Tệp cấu hình PSAD chính là/etc/psad/psad.conf. Trong hướng dẫn này, tính năng IPS sẽ được sử dụng để phát hiện các cuộc tấn công DOS trên máy chủ web.
Các thiết lập cơ bản cho PSAD được đưa ra bên dưới.
Thiết lập mức độ nguy hiểm mặc định, khoảng thời gian kiểm tra PSAD và cách sử dụng SID được hiển thị trong hình sau.
Theo mặc định, daemon PSAD tìm kiếm nhật ký trong tệp /var/log/messages . Do đó, hãy thay đổi tham số IPT_SYSLOG_FILE trong cấu hình PSAD.
Các bản phân phối dựa trên Debian lưu trữ các thông báo syslog trong tệp /var/log/syslog.
Theo mặc định, PSAD hoạt động ở chế độ IDS, tham số IPS bị vô hiệu hóa trong tệp cấu hình. Bật các tham số sau để bật tính năng IPS và mức độ nguy hiểm. Sau khi bật tham số trong tệp cấu hình, daemon PSAD sẽ tự động chặn kẻ tấn công bằng cách thêm địa chỉ IP của kẻ đó vào chuỗi IPtables.
Bây giờ hãy chạy lệnh sau để cập nhật cơ sở dữ liệu chữ ký để phát hiện các cuộc tấn công.
Hiện tại, máy chủ Apache đang lắng nghe trên cổng 80 như được hiển thị bên dưới.
Khởi động PSAD bằng lệnh sau và kiểm tra trạng thái.
Một cuộc tấn công DOS được khởi chạy bằng công cụ LOIC (Low Orbit Ion Cannon) trên VM để kiểm tra PSAD như được hiển thị bên dưới.
Syslog hiển thị lưu lượng DOS được tạo bằng công cụ LOIC.
Địa chỉ IP của kẻ tấn công được mô phỏng 192.168.1.100 bị daemon PSAD chặn như hiển thị bên dưới. Chạy lệnh sau để xem các quy tắc động do PSAD thêm vào.
Ảnh chụp màn hình sau cho thấy kẻ tấn công không thể ping địa chỉ IP của nạn nhân nữa, do đó, hắn đã bị PSAD chặn thành công.
Chạy lệnh sau để xem đầu ra chi tiết của PSAD.
1. Chữ ký khớp với địa chỉ IP của kẻ tấn công
2. Lưu lượng cho các cổng cụ thể
3. Địa chỉ IP của kẻ tấn công trong chuỗi IPtables.
4. Chi tiết về giao tiếp giữa kẻ tấn công và nạn nhân.
SAD cung cấp tính năng phát hiện xâm nhập và phân tích nhật ký với IPtables (tường lửa Linux). Công cụ PSAD được sử dụng để thay đổi hệ thống IDS (Phát hiện xâm nhập) thành IPS (Hệ thống phòng ngừa xâm nhập). Công cụ này sử dụng các quy tắc của IDS nguồn mở nổi tiếng "SNORT" để phát hiện các sự kiện xâm nhập. VM hoặc máy chủ được công cụ liên tục giám sát để phát hiện bất kỳ cuộc tấn công nào đang hoạt động như quét cổng và có thể tự động chặn các địa chỉ IP độc hại trong tường lửa Linux. Một dự án tương tự khác là Guardian, có rất ít tính năng. PSAD sẽ được cài đặt trên VM Debian-8 (Jessie) và công cụ quét "Nmap" sẽ được sử dụng để kiểm tra các cổng mở trên VM. Cuối cùng, một cuộc tấn công DOS sẽ được khởi chạy trên máy chủ web (Apache) để xem hành vi của công cụ PSAD.Cài đặt PSAD
Debian Jessie sẽ được cài đặt trên VM VMware bằng trình cài đặt mạng (debian-8.3.0-i386-netinst.iso).Quá trình cài đặt Debian được mô tả trong bài viết trước. Địa chỉ IP của máy PSAD là 192.168.1.102/24.
Công cụ PSAD có thể được cài đặt từ mã nguồn hoặc từ kho lưu trữ gói Debian. Tôi sẽ cài đặt nó từ kho lưu trữ Debian. Trước hết, hãy thêm nội dung sau vào tệp sources.list (hoặc kiểm tra xem các dòng đã có chưa) và chạy lệnh apt để cập nhật danh sách kho lưu trữ.
Mã:
deb http://httpredir.debian.org/debian jessie maindeb-src http://httpredir.debian.org/debian jessie maindeb http://httpredir.debian.org/debian jessie-updates maindeb-src http://httpredir.debian.org/debian jessie-updates maindeb http://security.debian.org/ jessie/updates maindeb-src http://security.debian.org/ jessie/updates mainDanh sách nguồn cho Debian Jessie
Mã:
apt-get updateChạy lệnh sau để cài đặt PSAD trong VM.
Mã:
apt-get install psadCần có một số gói Perl trong quá trình cài đặt công cụ PSAD. Các gói phụ thuộc sẽ được trình quản lý gói Debian tự động giải quyết.
Tính năng Tường lửa trên nền tảng Linux được cung cấp bởi gói IPtables. Đây là tường lửa Linux nổi tiếng và đã được cài đặt trong tất cả các bản phân phối Linux.
Cấu hình PSAD và Tường lửa
Theo mặc định, sẽ không có quy tắc nào trong chuỗi IPtables trên nền tảng Debian. Chạy lệnh sau để liệt kê các quy tắc chuỗi.
Mã:
iptables -LBật ghi nhật ký trên các chuỗi đầu vào và chuyển tiếp của IPtables để daemon PSAD có thể phát hiện bất kỳ hoạt động bất thường nào.
Đầu ra của lệnh "iptables -L" sẽ tương tự như hiển thị bên dưới bây giờ.
Mã:
[I]Chuỗi INPUT (chính sách CHẤP NHẬN)[/I][I]target prot opt source destination[/I][I]LOG all -- anywhere anywhere LOG level warning[/I][I]Chuỗi CHUYỂN TIẾP (chính sách CHẤP NHẬN)[/I][I]target prot opt source destination[/I][I]LOG all -- anywhere anywhere LOG level warning[/I][I]Chuỗi OUTPUT (chính sách ACCEPT)[/I][I]target prot opt source destination[/I]Trên bản phân phối Debian, công cụ PSAD lưu trữ các tệp cấu hình và quy tắc trong thư mục /etc/psad.
Tệp cấu hình PSAD chính là/etc/psad/psad.conf. Trong hướng dẫn này, tính năng IPS sẽ được sử dụng để phát hiện các cuộc tấn công DOS trên máy chủ web.
Các thiết lập cơ bản cho PSAD được đưa ra bên dưới.
Mã:
EMAIL_ADDRESSES root@localhost;
HOSTNAME PSAD-box;
HOME_NET any;
EXTERNAL_NET any;Thiết lập mức độ nguy hiểm mặc định, khoảng thời gian kiểm tra PSAD và cách sử dụng SID được hiển thị trong hình sau.
Theo mặc định, daemon PSAD tìm kiếm nhật ký trong tệp /var/log/messages . Do đó, hãy thay đổi tham số IPT_SYSLOG_FILE trong cấu hình PSAD.
Các bản phân phối dựa trên Debian lưu trữ các thông báo syslog trong tệp /var/log/syslog.
Mã:
ENABLE_SYSLOG_FILE Y;
IPT_WRITE_FWDATA Y;
IPT_SYSLOG_FILE /var/log/syslog;Theo mặc định, PSAD hoạt động ở chế độ IDS, tham số IPS bị vô hiệu hóa trong tệp cấu hình. Bật các tham số sau để bật tính năng IPS và mức độ nguy hiểm. Sau khi bật tham số trong tệp cấu hình, daemon PSAD sẽ tự động chặn kẻ tấn công bằng cách thêm địa chỉ IP của kẻ đó vào chuỗi IPtables.
Mã:
ENABLE_AUTO_IDS Y;
AUTO_IDS_DANGER_LEVEL 1;Bây giờ hãy chạy lệnh sau để cập nhật cơ sở dữ liệu chữ ký để phát hiện các cuộc tấn công.
Mã:
psad --sig-updateHiện tại, máy chủ Apache đang lắng nghe trên cổng 80 như được hiển thị bên dưới.
Khởi động PSAD bằng lệnh sau và kiểm tra trạng thái.
Mã:
psad start
Mã:
psad -SMột cuộc tấn công DOS được khởi chạy bằng công cụ LOIC (Low Orbit Ion Cannon) trên VM để kiểm tra PSAD như được hiển thị bên dưới.
Syslog hiển thị lưu lượng DOS được tạo bằng công cụ LOIC.
Địa chỉ IP của kẻ tấn công được mô phỏng 192.168.1.100 bị daemon PSAD chặn như hiển thị bên dưới. Chạy lệnh sau để xem các quy tắc động do PSAD thêm vào.
Mã:
psad --fw-listẢnh chụp màn hình sau cho thấy kẻ tấn công không thể ping địa chỉ IP của nạn nhân nữa, do đó, hắn đã bị PSAD chặn thành công.
Chạy lệnh sau để xem đầu ra chi tiết của PSAD.
Mã:
psad -S2. Lưu lượng cho các cổng cụ thể
3. Địa chỉ IP của kẻ tấn công trong chuỗi IPtables.
4. Chi tiết về giao tiếp giữa kẻ tấn công và nạn nhân.
