Herramientas para detectar ataques en Linux
|
Se trata de tres herramientas para fortificar servidores Linux que forman un complemento muy interesante de seguridad.
La primera es PortSentry una herramienta de seguridad que además de detectar escaneo de puertos puede monitorizar rastreos tipo NULL, SYN, TCP, ARP… Su configuración se realiza en el archivo portsentry.conf en la ruta por defecto “/usr/local/psionic/portsentry/portsentry.conf”
Podemos configurar tres modos:
- Modo clásico: Usando este modo solo configuraremos en el portsentry.conf los parámetros UDP_PORTS y TCP_PORTS que se asignan a puertos que no usamos, para que en caso de detectar tráfico PortSentry nos avise. Para iniciar el sistema en este modo debemos cargar en el archivo “/etc/rc.local” las siguientes líneas “portsentry –udp” para registrar los puertos UDP y “portsentry –tcp” para registrar los puertos TCP.
- Modo stealth: es un modo para detectar rastreos de tipo NULL, SYN, TCP, ARP. Es experimental y no es muy recomendable. Para iniciar el sistema en este modo debemos cargar en el archivo “/etc/rc.local” las siguientes líneas “portsentry –sudp” para registrar los puertos UDP y “portsentry –stcp” para registrar los puertos TCP
- Modo avanzado: Este modo es para notificar los puertos en los que hay muchas peticiones que se incluyan en los parámetros ADVANCED_PORTS_TCP y ADVANCED_PORTS_UDP de portsentry.conf, para excluir puertos que sabemos que tienen peticiones y no queremos auditar usamos los parámetros ADVANCED_EXCLUDE_TCP y ADVANCED_EXCLUDE_UDP. Para iniciar el sistema en este modo debemos cargar en el archivo “/etc/rc.local” las siguientes líneas “portsentry –audp” para registrar los puertos UDP y “portsentry –atcp” para registrar los puertos TCP
La siguiente herramienta es HostSentry que nos permite detectar login sospechosos en nuestra maquina. Esta herramienta es capaz de aprender los patrones de comportamientos de conexión de los usuarios para después detectar comportamientos inusuales.
La otra herramienta es LogSentry para auditar log del sistema. Es muy eficaz y además instala el programa logtail en «/usr/local/bin» para tener un log de archivos analizados y los siguientes scipts:
Logcheck.sh, de configuración básica.
Logcheck.hacking, para identificar los niveles de actividad.
Logcheck.ignore, expresiones que no deben incluirse en el log.
Logcheck.violations, expresiones consideradas como violaciones de seguridad.
Logcheck.violations.ignore, un script para exclusiones.
Más información y descarga de estas tres herramientas:
http://sourceforge.net/projects/sentrytools/