RSS

PORTSENTRY – obrona przed skanowaniem portów

21 Sier

Podstawową czynnością przeprowadzaną przez atakujących jest skanowanie portów i wykrywanie jaki system jest zainstalowany na komputerze. Istnieje parę sposobów żeby zminimalizować wynik takiego skanowania lub całkowicie go zablokować. Jednym ze sposób jest wykorzystanie w tym celu narzędzia portsentry. Pozwala on blokować skanowanie, fałszować wynik a nawet blokować napastnika który postanowił przeskanować porty naszego komputera.

Dzięki odpowiedniemu użyciu narzędzia jakim jest nmap jesteśmy w stanie określić pod kontrolą jakiego systemu pracuje dany komputer oraz jakie usługi są na nim aktywne.
Wynik przed skonfigurowaniem portsentry
Starting Nmap 4.76 ( http://nmap.org ) at 2009-08-21 19:47 CEST
Interesting ports on 192.168.0.103:
Not shown: 991 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
139/tcp open netbios-ssn
445/tcp open microsoft-ds
2121/tcp open ccproxy-ftp
3050/tcp open unknown
3128/tcp open squid-http
8080/tcp open http-proxy
MAC Address: 08:00:27:82:47:7B (Cadmus Computer Systems)
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.25
Network Distance: 1 hop

Widać, że na maszynie uruchomiony jest serwer ftp, ssh, http, samba i serwer proxy oraz wszystko działa pod kontrolą Linuksa 2.6.*. Po uruchomieniu portsentry takie skanowanie zakończy się zablokowaniem dostępu maszynie które je wykonała i zanotowaniu tego w logach systemowych.
Dla porównania wynik po odpaleniu portsentry :

Starting Nmap 4.76 ( http://nmap.org ) at 2009-08-21 19:49 CEST
Interesting ports on 192.168.0.103:
Not shown: 962 closed ports
PORT STATE SERVICE
1/tcp open tcpmux
7/tcp open echo
9/tcp open discard
21/tcp open ftp
22/tcp open ssh
70/tcp open gopher
79/tcp open finger
80/tcp open http
109/tcp open pop2
110/tcp open pop3
111/tcp open rpcbind
119/tcp open nntp
....
4000/tcp open remoteanything
4001/tcp open unknown
6000/tcp open X11
6001/tcp open X11:1
6667/tcp open irc
8080/tcp open http-proxy
12345/tcp open netbus
31337/tcp open Elite
32771/tcp open sometimes-rpc5
32772/tcp open sometimes-rpc7
32773/tcp open sometimes-rpc9
32774/tcp open sometimes-rpc11
MAC Address: 08:00:27:82:47:7B (Cadmus Computer Systems)
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.25
Network Distance: 1 hop

(wynik celowo uciąłem bo był za długi)

Instalacja portsentry :
#apt-get install portsentry

Konfiguracja :
Oryginalny plik portsentry.conf warto gdzieś sobie zachować a potem przechodzimy do edycji pliku /etc/portsentry/portsentry.conf i wpisujemy w nim :

#Tutaj wpisujemy porty które mają być monitorowane lub wykluczone z monitorowania (EXCLUDE)
TCP_PORTS="1,7,9,11,15,70,79,80,109,110,111,119,138,139,143,512,513,514,515,540,635,1080,1524,2000,2001,4000,4001,574
2,6000,6001,6667,12345,12346,20034,27665,30303,32771,32772,32773,32774,31337,40421,40425,49724,54320"
UDP_PORTS="1,7,9,66,67,68,69,111,137,138,161,162,474,513,517,518,635,640,641,666,700,2049,31335,27444,34555,32770,327
71,32772,32773,32774,31337,54321"
ADVANCED_PORTS_TCP="1024"
ADVANCED_PORTS_UDP="1024"
ADVANCED_EXCLUDE_TCP="113,139"
ADVANCED_EXCLUDE_UDP="520,138,137,67"

#W ignore będą zapisane hosty które mogą skanować i nie zostaną zablokowane
#W history będą trzymane informacje odnośnie maszyn które skanowały nasz komputer i zostały zablokowane

IGNORE_FILE="/etc/portsentry/portsentry.ignore"
HISTORY_FILE="/var/lib/portsentry/portsentry.history"
BLOCKED_FILE="/var/lib/portsentry/portsentry.blocked"

#Te ustawienia spowodują że każda próba skanowania zakończy się wywołaniem polecenia z KILL_ROUTE które zablokuje dostęp maszynie oraz dodaniem wpisu do /etc/hosts.deny
#Możliwe jest dodanie dodatkowych komend poprzez dodanie && np:
#KILL_ROUTE=”/sbin/route add -host $TARGET$ reject && echo $TARGET$ > /tmp/zablokowane ”
RESOLVE_HOST = "0"
BLOCK_UDP="1"
BLOCK_TCP="1"
KILL_ROUTE="/sbin/route add -host $TARGET$ reject"
KILL_HOSTS_DENY="ALL: $TARGET$"
SCAN_TRIGGER="0"

#Podczas skanowania przy użyciu nmap z opcja -sV pojawi się ten komunikat

PORT_BANNER=”YOUR CONNECTION ATTEMPT HAS BEEN LOGGED. GO AWAY.”

Reklamy
 
Dodaj komentarz

Opublikował/a w dniu Sierpień 21, 2009 w linuks, Linux, ubuntu

 

Tagi:

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s

 
%d blogerów lubi to: