• IPlog, czyli taki mały IDS

    dodany przez Przemysław Sikora

    IPlog jest narzędziem logującym ruch sieciowy dla takich protokołów jak TCP,UDP i ICMP. Pozwala na wykrywanie między innymi: TCP port scan, TCP Null scan, FIN scan, TCP SYN scan, TCP Xmas, UDP scan. Domyślnie wszystkiego logi zapisywane są w “/var/log/messages”. My jednak skonfigurujemy nasze narzędzie, aby logowało do “/var/log/iplog” (powinniśmy utworzyć ten plik). Takie oddzielenie od logów systemowych, na pewno ułatwi nam przeglądanie i szukanie potencjalnych zagrożeń. Zakładamy katalog “/var/run/iplog” i zmieniamy mu właściciela na takiego użytkownika z którego będzie chodził iplog (ja utworzyłem usera iplog). Przed przystąpieniem do kompilacji, doinstalujmy pakiet “libpcap-devel”.

    yum install libpcap-devel

    Obecna wersja iploga może wymagać dogrania patcha. Dostępny do pobrania tutaj wraz z najnowszą wersją iploga. Po pobraniu wersji instalacyjnej oraz patcha i rozpakowaniu pliku “iplog-2.2.3.tar.gz”, proszę skopiować “iplog-2.2.3-gcc3.3.patch” do katalogu iplog-2.2.3/src, a następnie będąc we wspomnianym katalogu, wydać polecenie:

    patch iplog_options.c iplog-2.2.3-gcc3.3.patch

    Powinniśmy zobaczyć następujący komunikat:

    patching file iplog_options.c

    Następnie wychodzimy piętro wyżej i wydajemy następujące komendy:

    ./configure
    make
    make install

    Ten etap mamy za sobą 🙂
    Na koniec tworzymy plik konfiguracyjny “/etc/iplog.conf” o przykładowej treści:
    user iplog
    group iplog
    pid-file /var/run/iplog/iplog.pid
    logfile /var/log/iplog
    facility log_daemon
    priority log_alert
    interface eth0
    set log_ip true # czy zapisywać IP
    set log_dest true # czy zapisywać docelowe IP
    set ignore_dns true # ignorowanie ruchu od serwerów dns (/etc/resolv.conf)
    set frag true
    set smurf true
    set bogus true
    set fin_scan true
    set syn_scan true
    set udp_scan true
    set portscan true
    set xmas_scan true
    set null_scan true
    set traceroute true # wykrywanie prób wykonywanie traceroute na nasz serwer
    set fool_nmap true
    set syn_flood true
    set ping_flood true # wykrywanie ataków Ping Flood

    Uruchamianie opisanego narzędzia następuje po wydaniu polecenia “iplog” w konsoli. Efekty możemy oglądać w pliku “/var/log/iplog”. Udanego monitorowania 🙂

Dodaj komentarz

Warto odwiedzić
Valid XHTML 1.0 Transitional centos.com.pl- mapa strony