[TuT] PortSentry - czyli monitoring portów

[Maliusek1]

PortSentry

 

1.Co to jest?

PortSentry monitoruje przychodzący ruch sieciowy pod kątem skanowania portów, czyli ataków wstępnych, gdzie haker chce odnaleźć niezabezpieczone usługi w systemie.

Ten program nasłuchuje te porty, które zostały podane w pliku konfiguracyjnym przez użytkownika.

Kiedy wykryje działanie skanowania portów, to automatycznie blokuje wskazany ruch.

Aplikacja monitoruje TCP i UDP, dynamicznie i automatycznie budując tablicę blokad.

Może współpracować on nawet z IPFW, do którego automatycznie będzie przepisywał reguły.

 

2.Instalacja

Otwieramy ssh.

Na sam początek pobieramy i rozpakowujemy porty (jak już mieliśmy to wykonane to pomijamy ten punkt):

portsnap fetch extract

Następnie instalujemy aplikację z portów:

cd /usr/ports/security/portsenty

potem:

make

i następnie:

make install

 

Kolejnym krokiem będzie edycja pliku konfiguracyjnego i odpowiednia jego konfiguracja:

Wpisujemy polecenie:

ee /usr/local/etc/portsentry.conf

Na sam początek należy ustawić które ma porty nasłuchiwać i jakich używać zbiorów.

Zbiory zaczynają się w parach z TCP_PORTS i UDP_PORTS.

Skorzystamy ze zbioru standardowe, tak więc odznaczamy zbiór:

TCP_PORTS='1,7,9,11,15,70,79,80,109,110,111,119,138,139,143,512,513,514,515,540,635...
UDP_PORTS='1,7,9,66,67,68,69,111,137,138,161,162,474,513,517,518,635,640,641,666...

Jeżeli posiadamy IPFW odznaczamy linijkę:

KILL_ROUTE='/sbin/ipfw add 1 deny all from $TARGET$:255.255.255.255 to any'

Dopisać około 40 linijek dalej:

KILL_RUN_CMD='/usr/bin/mail -s 'Portscan from $TARGET$ on port $PORT$' [email protected]< /dev/null"

Po wykonanych zmianach, zapisujemy plik.

 

Uruchomienie nasłuchiwania (TCP & UDP) portsentry:

portsentry -tcp && portsentry -udp && sockstat -4 | grep portsentry

 

Polecenie na zatrzymanie portsentry:

killall portsentry

 

Podgląd monitorowanych portów:

sockstat

 

Aby aktualne działające blokady należy wpisać polecenie:

tail -f /var/log/messages

 

PortSentry jak wykryje próbę ataku, zapisuje dane informacje o zablokowanych hoście w pliku:

/usr/local/etc/portsentry.blocked.tcp (Ataki na TCP)

/usr/local/etc/portsentry.blocked.udp (Ataki na UDP)

 

Jeżeli posiadamy dodatkowo IPFW, reguły blokowania możemy podglądnąć za pomocą polecenia:

ipfw -a list

 

Jeżeli chcemy maksymalnie nasłuchiwać porty, to wybieramy w pliku konfiguracyjnym pierwszy zbiór, a resztę zbiorów ustawiamy jako komentarz poprzedzając linijkę znakiem "#".

 

Poradnik, jak inne oczywiście w całości mojego autorstwa.

Pozdrawiam.

[FighterWks]

oooo super czegoś takiego szukałem +

[躉 EST]

Bardzo dobre. Dostajesz Like.

Jeden malutki błąd :

 

Dwa razy blocked.tcp

[LubianyIKochany]

Podgląd monitorowanych portów:

sokcstat

nie powinno byc sockstat?

[KoSuU]

Czyli takie coś może ochronić nas przed ddos ?

[AdminFreeBSD]

Hehe przed ddos to może cię ochronić tylko zewnętrzny firewall wysokiej klasy :-).

[Nigahiga]

Hehe przed ddos to może cię ochronić tylko zewnętrzny firewall wysokiej klasy :-).

 

I też Cię nie uchroni..