Защита при сканиране на портове с psad: Част 2: Практическа употреба

портове

Тази поредица описва една от полезните защитни стени - детекторът за опит за сканиране на PSAD порт. Първата статия обхваща основната функционалност и възможности на psad, както и някои аспекти от неговата инсталация и конфигурация. Тази статия се фокусира върху практическото използване на psad.

Като правило, след инсталиране, конфигуриране и стартиране, psad започва да работи нормално в нормален режим. Независимо от това, някои действия и трикове могат да бъдат много полезни, за да направят psad по-полезен.

1. Осигуряване на ефективна работа на пакета iptables + psad

Както бе споменато в първата статия, psad работи съвместно със защитната стена на системата iptables, по-точно използва съобщения, генерирани от iptables и записани в системните дневници (регистрационни файлове). Също така беше отбелязано, че са необходими някои корекции на правилата на iptables. Листинг 1 показва примерен скрипт, който определя необходимите правила на защитната стена и инициира изпълнението на защитната стена за система Debian.

Списък 1. Примерен скрипт за конфигуриране на правила и стартиране на iptables за Debian

2. Получаване на отчет за текущото състояние на psad

За да получите пълен отчет за работата на psad и неговото текущо състояние, включително данни за използването на процесора и RAM от трите демона, както и броя на обработените пакети с оформление според техните източници, трябва да получите привилегии на суперпотребител на root и да стартирате следната команда:

(или с флага „long“: psad --Status)

Резултатът от тази команда съдържа таблица, която показва колко TCP, UDP и ICMP пакети е обработил psad от началото. Трябва да се отбележи, че не всички пакети, отчетени в системните регистрационни файлове, са сканирани събития, така че общият брой входящи пакети е показан в таблицата по-долу в раздела "Общи броячи на пакети". Примерен изход от psad -S е показан в Листинг 2 (някои части от изхода, съдържащи чувствителна информация за системата, са премахнати от съображения за сигурност).

Листинг 2. Примерен изход на командата psad -S (стенография)

Забележка: колоната dl показва нивото на опасност, зададено от psad, когато се показва таблицата на състоянието.

След промяна на горните параметри:

в конфигурационния файл /etc/psad/psad.conf и файлът е запазен, трябва да рестартирате услугата psad, за да влязат в сила промените:

Рестартирането може да се извърши и с помощта на командата psad -R или psad -Restart, която също ви позволява да инициализирате всички процеси на psad. Добрата новина тук е, че този превключвател „помни“ и използва всички параметри на командния ред, с които е стартиран оригиналният psad процес.

(или с помощта на бутона "long": psad --Flash). Това премахва всички автоматично генерирани правила за блокиране на iptables.

5. Получете обобщение на конфигурационните настройки

Текущият списък с конфигурационни параметри на psad може да бъде получен с помощта на командата

Пълно описание на всички ключове на командата psad може да бъде намерено в съответната ръководство, достъпно веднага след инсталирането на пакета за разпространение.

Заключение

Дадените в тази статия практически примери за използване на детектор за сканиране на psad порт показват, че е лесно и удобно да работите с този инструмент за защита и можете да получите значителна полза. Разбира се, psad сам по себе си няма да осигури пълна сигурност, но в комбинация с други инструменти значително ще увеличи надеждността на мрежовата защита.