Análise de log e detecção de intrusão com Iptables e Psad

Abstract. The following article have the objective of the exploration and implementation of intrusion detection concept through iptables log analysis using psad. A brief introduction about the tools is given, so as their operation and respective installation/configuration basics. It is also established a case study where two types of port scan are studied, so as the implemented ambient reaction in the occurrence of those attacks.
Resumo. O artigo seguinte tem como objetivo a exploração e implementação do conceito de detecção de intrusão através da análise de logs do iptables usando o psad. Uma breve introdução sobre as ferramentas é fornecida, assim como seu funcionamento e suas respectivas instalações/configurações básicas. Também é estabelecido um estudo de caso onde dois tipos de port scan são estudados, assim como a reação do ambiente implementado na ocorrência destes ataques. 1. Introdução
Firewalls tem sido um dos mecanismos de segurança de rede mais utilizados no mundo corporativo. A filtragem de pacotes efetuada pelo firewall tem se demonstrado parcialmente efetiva e é implementada das mais diferentes formas. Porém, algumas soluções e appliances deste tipo podem ter um custo monetário elevado por questões de licença, tornando inviável a implantação destas tecnologias em organizações de menor porte.
Tendo em vista este cenário, fica evidente o surgimento de tecnologias Open Source que pudessem prover esta solução de forma gratuita e extensível, para que pudessem se adaptar as diferentes necessidades de cada negócio, por um custo acessível. Sistemas do tipo Intrusion Detection System surgiram no mercado para detectar ataques que transpassassem o firewall, porém muitos atuam de forma independente, analisando somente os pacotes que passam por este, sem integração com o que outros dispositivos tem a dizer sobre o tráfego corrente.
O seguinte artigo faz uma abordagem à análise de logs do firewall