Memblokir Port Scanning di Ubuntu Menggunakan PSAD

Selasa, 06 Agustus 2019

Memblokir Port Scanning di Ubuntu menggunakan PSAD. PSAD atau Port Attack Scan Detector merupakan tool yang berjalan pada sistem linux dengan cara menganalisa log dan memblokir upaya port scanning maupun trafik tidak wajar lainnya. Tool ini bukan sekedar untuk mendeteksi, tapi juga untuk mencegah upaya penyerangan. PSAD didesain untuk bekerja dengan iptables ataupun firewalld untuk mendeteksi port scanning, backdoor, maupun botnet command.

Fitur
Berikut fitur dan kelebihan dari Psad.
  • Support both IPv4 and IPv6 logs generated by iptables.
  • Detect TCP SYN, FIN, NULL, XMAS scans and many signature rules from the Snort.
  • Email notifications with TCP/UDP/ICMP scan characteristics, reverse dns and whois information.
  • Icmp type and code header field validation.
  • Auto block suspicious IP addresses via iptables and tcpwrappers based on scan level.
  • Free and distributed under the GNU General Public License.


Instalasi
Di Ubuntu, Psad sudah tersedia di repository sehingga kita bisa install dengan perintah
sudo apt-get update && sudo apt-get install psad
Konfigurasi
File konfig psad ada di /etc/psad. File config utama nya bisa kita edit dengan perintah
sudo nano /etc/psad/psad.conf
Dan dibawah ini adalah beberapa yang harus diubah.

Alamat emailnya bisa kalian sesuaikan sendiri. Disini saya menggunakan email local.
EMAIL_ADDRESSES linuxsec@localhost;
Sesuaikan dengan hostname server kalian
HOSTNAME linuxsec;
Selanjutnya, atur home maupun external network yang ingin di whitelist.
HOME_NET 192.168.1.0/24;;
EXTERNAL_NET any;
Defaultnya, psad memeriksa log yang berlokasi di /var/log/messages, ubah ke /var/log/syslog.
IPT_SYSLOG_FILE /var/log/syslog;
Enable auto IDS
ENABLE_AUTO_IDS Y;
Oke selesai. Kemudian simpan dan update signature dengan perintah
sudo psad --sig-update
Contoh output

Konfigurasi Iptables
Selanjutnya kita atur agar iptables log mendeteksi seluruh aktifitas mencurigakan di server. Masukkan rules berikut
sudo iptables -A INPUT -j LOG
sudo iptables -A FORWARD -j LOG
sudo ip6tables -A INPUT -j LOG
sudo ip6tables -A FORWARD -j LOG
Sekarang cek iptables dengan perintah
sudo iptables -L
Contoh output
Oke, selanjutnya restart psad dan tool akan segera bekerja saat itu juga.
systemctl restart psad
Uji Coba
Dari host lain, kita coba scan menggunakan Nmap.
nmap -PN -sS 192.168.23.129
Contoh output


Cek lagi di server dengan perintah
sudo psad -S 
Output
Oke selesai.

Kalian telah mempelajari bagaimana memblokir port scanning di server Ubuntu menggunakan psad. Sekian tutorial kali ini, semoga bermanfaat. Jika ada yang ingin ditanyakan silahkan tinggalkan komentar. Dan jangan lupa share juga ke teman-temanmu agar mereka tau. 

Artikel Terkait Hardening