Psad merupakan suatu software yang
pada dasarnya merupaka suatu tools untuk melakukan log analysis dengan
menggunakan pesan-pesan log iptables untuk mendeteksi, memberikan alert kepada
admin dan (secara opsional) dapat mem-blok suatu port scans dan traffic
mencurigakan lainnya (IDS/Intrusion Detection System) . Untuk TCP Scans, psad
menganalisis TCP Flags untuk menentukan tipe scan (syn, fin, xmas, dan
lain-lain) dan opsi command line yang bersangkutan agar nmap melakukan scan
tersebut. Psad memasukkan banyak signature dari Snort IDS untuk mendeteksi
probes dari berbagai macam backdoor programs (contoh EvilFTP, SubSeven), DDoS
tools (mstream, shaft) dan advanced port scans (FIN, NULL, XMAS) yang dimana
mudah dilakukan terhadap sistem dengan menggunakan nmap. Cara kerja psad secara
umum adalah psad membaca semua iptables log data secara default yang disimpan
pada file /var/log/messages.
Dengan men-parsing (menerjemahkan)
firewall log messages, psad menyediakan dengan data yang merepresentasikan
paket-paket yang telah di-log (dan mungkin di drop) oleh policy dan rules
iptables yang berjalan. Dengan kata lain, psad diberi masukan dengan sebuah
data stream murni yang secara eksklusif mengandung paket-paket yang oleh
firewall ditentukan tidak cocok untuk masuk ke dalam jaringan. Psad terdiri
dari tiga daemons (modul/program yang berjalan di system), yaitu psad,kmsgsd,
dan psadwatchd. Berikut merupakan penjelasan lebih detilnya:
1. Psad
Psad
bertanggung jawab untuk memproses semua paket yang telah di-log oleh firewall
dan mengaplikasikan signature logic dengan tujuan agar dapat menentukan tipe
scan/serangan apa yang digunakan kepada sistem atau jaringan.
2. Kmsgsd
Kmsgsd
bertanggung jawab untuk membaca semua pesan yang telah ditulis pada
/var/lib/psad/psadfifo yang bernama pipe dan menulis pesan apapun yang cocok
terhadap suatu regular expression (atau string) ke /var/log/psad/fwdata. Kmsgsd
hanya digunakan jika variabel ENABLE_SYSLOG_FILE disabled pada psad.conf .
3. Psadwatchd
Psadwatchd
merupakan sebuah software watchdog (pengawas) yang akan menrestart kedua daemon
yang lain ketika daemon tersebut mengalami kegagalan/mati karena suatu alasan.
Psad pertama kali dikembangkan pada akhir tahun 1999 yang dimana pada saat itu
masih bagian dari software project Bastille Linux, yang dimana dimulai ketika
tim pengembangan memutuskan bahwa Bastille seharusnya menawarkan sebuah
komponen NIDS yang ringan. Pada waktu yang sama, Peter Watkins juga sedangkan
mengembangkan script firewall yang bagus yang masih dibundel dengan Bastille
sampai sekarang, sehingga merupakan hal yang alami untuk melakukan langkah
selanjutnya untuk mngembangkan sebuah tools IDS berdasarkan informasi yang
disediakan dalam log iptables. Pada tahun 2001, Michael Rash memisahkan proyek
Bastille-NIDS menjadi proyeknya sendiri yang dimana dapat berjalan dengan
sendirinya tanpa dibutuhkan Bastille harus diinstal pada sistem, dan proyek
tersebut bernama Port Attack Scanner Detector (Psad).
Mantap artikelnya
BalasHapushttp://penyuluhanpi.blogspot.com