-
IPlog, czyli taki mały IDS
IPlog jest narzędziem logującym ruch sieciowy dla takich protokołów jak TCP,UDP i ICMP. Pozwala na wykrywanie między innymi: TCP port scan, TCP Null scan, FIN scan, TCP SYN scan, TCP Xmas, UDP scan. Domyślnie wszystkiego logi zapisywane są w „/var/log/messages”. My jednak skonfigurujemy nasze narzędzie, aby logowało do „/var/log/iplog” (powinniśmy utworzyć ten plik). Takie oddzielenie od logów systemowych, na pewno ułatwi nam przeglądanie i szukanie potencjalnych zagrożeń. Zakładamy katalog „/var/run/iplog” i zmieniamy mu właściciela na takiego użytkownika z którego będzie chodził iplog (ja utworzyłem usera iplog). Przed przystąpieniem do kompilacji, doinstalujmy pakiet „libpcap-devel”.
yum install libpcap-devel
Obecna wersja iploga może wymagać dogrania patcha. Dostępny do pobrania tutaj wraz z najnowszą wersją iploga. Po pobraniu wersji instalacyjnej oraz patcha i rozpakowaniu pliku „iplog-2.2.3.tar.gz”, proszę skopiować „iplog-2.2.3-gcc3.3.patch” do katalogu iplog-2.2.3/src, a następnie będąc we wspomnianym katalogu, wydać polecenie:
patch iplog_options.c iplog-2.2.3-gcc3.3.patch
Powinniśmy zobaczyć następujący komunikat:
patching file iplog_options.c
Następnie wychodzimy piętro wyżej i wydajemy następujące komendy:
./configure
make
make install
Ten etap mamy za sobą 🙂
Na koniec tworzymy plik konfiguracyjny „/etc/iplog.conf” o przykładowej treści:
user iplog
group iplog
pid-file /var/run/iplog/iplog.pid
logfile /var/log/iplog
facility log_daemon
priority log_alert
interface eth0
set log_ip true # czy zapisywać IP
set log_dest true # czy zapisywać docelowe IP
set ignore_dns true # ignorowanie ruchu od serwerów dns (/etc/resolv.conf)
set frag true
set smurf true
set bogus true
set fin_scan true
set syn_scan true
set udp_scan true
set portscan true
set xmas_scan true
set null_scan true
set traceroute true # wykrywanie prób wykonywanie traceroute na nasz serwer
set fool_nmap true
set syn_flood true
set ping_flood true # wykrywanie ataków Ping Flood
Uruchamianie opisanego narzędzia następuje po wydaniu polecenia „iplog” w konsoli. Efekty możemy oglądać w pliku „/var/log/iplog”. Udanego monitorowania 🙂
Wszystkie zamieszczone w serwisie tutoriale stanowią własność CentOS.com.pl oraz ich autorów. Zabrania się kopiowania fragmentów lub całych artykułów bez naszej zgody. Istnieje od tego odstępstwo, o ile zostanie podany link zwrotny i prawowity autor.
