Ports Entry
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Ports Entry as PDF for free.
More details
- Words: 649
- Pages: 3
--> portsentry - um ids ativo o portsentry � um projeto j� bem antigo de ids/firewall. trata-se de um software muito interessante, flex�vel e bem f�cil de se lidar. portsentry � uma aplica��o muito simples de ser utilizada, escrita para sistemas gnu/linux com o objetivo de ajudar usu�rios a manter crackers longe do sistema, barrando portscanners e outras tentativas de burlar sua seguran�a. o portsentry foi desenvolvido pelo pessoal da psionic.com, que hoje faz parte da cisco: http://newsroom.cisco.com/dlls/corp_102202.html http://sourceforge.net/forum/forum.php?forum_id=275043 --> projeto sentry tools o portsentry foi concebido como parte do projeto sentry tools, que tem al�m dele, o logcheck, uma ferramenta de checagem de logs de maneira eficiente e bem simples tamb�m. o projeto sentry tools veio para ajudar usu�rios e admins que n�o tem muita experi�ncia em seguran�a a conseguirem um padr�o um pouco mais elevado de seguran�a em seus sistemas de maneira simples e bem intuitiva. - http://sourceforge.net/projects/sentrytools
--> instalando 1 - depois de fazer o donwload no site acima 2 - tar -xzvf portsentry-1.2.tar.gz ou ftp://194.199.20.114/linux/freshrpms/redhat/9/portsentry/portsentry-1.1fr8.src.rpm rpm -ivh portsentry.rpm ; cd /usr/src/rpm/specs/ ; rpm -ba portsentry.spec ) 3 - cd ~/portsentry_beta 4 - !! vi portsentry_config.h !! 5 - vi portsentry.c (linha 1585) 6 - make linux ; make install --> configurando 1 - vi /usr/local/psionic/portsentry/portsentry.conf aqui est�o as portas tcp/udp que o portsentry vai "guardar". analise as portas que tem em cada lista, as portas verdadeiras de seu sistema n�o devem constar nesta lista, ok? caso contr�rio, o ps vai bloquear as tentativas de conex�o nelas. 2 -
###################### # configuration files# ###################### # # hosts to ignore = hosts que o portsentry deve ignorar, hosts que estiverem nesta lista n�o ser�o analisados por ele ignore_file="/usr/local/psionic/portsentry/portsentry.ignore" # hosts that have been denied (running history) = tudo que o ps j� fez, desde analisar conex�es at� bloquear history_file="/usr/local/psionic/portsentry/portsentry.history" # hosts that have been denied this session only (temporary until next restart) = lista negra do portsentry, os atacantes bloqueados por ele e os hosts que ele considera como perigosos. blocked_file="/usr/local/psionic/portsentry/portsentry.blocked" 3 - kill_route="/usr/local/sbin/iptables -i input -s $target$ -j drop" kill_route="/usr/sbin/iptables -a input -s $target$ --dport $ports$ -j drop" obs: $target$ = ip do atacante que ele detectou. como voc� pode ver, � uma regra simples, voc� pode melhorar a regra do jeito que achar melhor 4 - kill_run_cmd="echo ataque detectado vindo de: $target$ >> /var/log/portsentry.log" kill_run_cmd_first = "1" 5 - vi /usr/local/psionic/portsentry/portsentry.ignore --> fucionamento o portsentry pode utilizar seis modos diferentes - a primeira � a "-tcp" e � o modo b�sico. com esta op��o o portsentry restringir� os portas tcp encontrados no arquivo de configura��o. pode restringir at� um limite de 64 portas. - a segunda � a "-udp" e faz o mesmo que anterior mas para os portas udp. - a terceira � a "-stcp", o "s" significa stealth (dif�cil de detectar). com a op��o "-stcp", o portsentry utiliza sockets para monitorizar os pacotes de entrada, ou seja os portas n�o est�o reservados para nada. - a quarta � a "-sudp" e faz o mesmo que a anterior mas para os portas udp. - a quinta e sexta s�o "-atcp" e "-audp". s�o as op��es mais eficazes ("a" significa avan�ado). utilizando estas op��es o portsentry faz uma lista dos portas que est�o � escuta, tcp e udp, se seleccionar ambos ele bloqueia a m�quina que se ligar a estes portas, exceto se a m�quina est� presente no arquivo portsentry.ignore.
-->>>> ver os readmes <<----> executando 1 - /usr/local/psionic/portsentry/portsentry -tcp 2 - tail -f /var/log/syslog --> testando telnet ip 143 -
verificar /var/log/syslog verficar /usr/local/psionic/portsentry/...blocked....history verificar /var/log/portsentry.log verficar iptables
nmap -st -o ip (testar com niveis de scan trigger 0-2, restartar portsentry) verficar logs -- verificar metodos nmap com modos do portsentry
--> init script http://linux.cudeso.be/linuxdoc/portsentry.php http://www.falkotimme.com/howtos/chkrootkit_portsentry/index.php --> snort x portsentry http://www.linux.ie/articles/portsentryandsnortcompared.php http://www.linuxexposed.com/articles/security/portsentry-vs-snort.html fontes: http://www.linuxit.com.br/section-viewarticle-536.html http://www.tldp.org/linuxfocus/portugues/september2001/article214.shtml http://www.linuxsecurity.com.br/renato/antiscan.html http://www.securityfocus.com/infocus/1580
vamos ver agora como instalar e configurar o portsentry e assim tornar nosso linux ainda mais seguro.
--> instalando 1 - depois de fazer o donwload no site acima 2 - tar -xzvf portsentry-1.2.tar.gz ou ftp://194.199.20.114/linux/freshrpms/redhat/9/portsentry/portsentry-1.1fr8.src.rpm rpm -ivh portsentry.rpm ; cd /usr/src/rpm/specs/ ; rpm -ba portsentry.spec ) 3 - cd ~/portsentry_beta 4 - !! vi portsentry_config.h !! 5 - vi portsentry.c (linha 1585) 6 - make linux ; make install --> configurando 1 - vi /usr/local/psionic/portsentry/portsentry.conf aqui est�o as portas tcp/udp que o portsentry vai "guardar". analise as portas que tem em cada lista, as portas verdadeiras de seu sistema n�o devem constar nesta lista, ok? caso contr�rio, o ps vai bloquear as tentativas de conex�o nelas. 2 -
###################### # configuration files# ###################### # # hosts to ignore = hosts que o portsentry deve ignorar, hosts que estiverem nesta lista n�o ser�o analisados por ele ignore_file="/usr/local/psionic/portsentry/portsentry.ignore" # hosts that have been denied (running history) = tudo que o ps j� fez, desde analisar conex�es at� bloquear history_file="/usr/local/psionic/portsentry/portsentry.history" # hosts that have been denied this session only (temporary until next restart) = lista negra do portsentry, os atacantes bloqueados por ele e os hosts que ele considera como perigosos. blocked_file="/usr/local/psionic/portsentry/portsentry.blocked" 3 - kill_route="/usr/local/sbin/iptables -i input -s $target$ -j drop" kill_route="/usr/sbin/iptables -a input -s $target$ --dport $ports$ -j drop" obs: $target$ = ip do atacante que ele detectou. como voc� pode ver, � uma regra simples, voc� pode melhorar a regra do jeito que achar melhor 4 - kill_run_cmd="echo ataque detectado vindo de: $target$ >> /var/log/portsentry.log" kill_run_cmd_first = "1" 5 - vi /usr/local/psionic/portsentry/portsentry.ignore --> fucionamento o portsentry pode utilizar seis modos diferentes - a primeira � a "-tcp" e � o modo b�sico. com esta op��o o portsentry restringir� os portas tcp encontrados no arquivo de configura��o. pode restringir at� um limite de 64 portas. - a segunda � a "-udp" e faz o mesmo que anterior mas para os portas udp. - a terceira � a "-stcp", o "s" significa stealth (dif�cil de detectar). com a op��o "-stcp", o portsentry utiliza sockets para monitorizar os pacotes de entrada, ou seja os portas n�o est�o reservados para nada. - a quarta � a "-sudp" e faz o mesmo que a anterior mas para os portas udp. - a quinta e sexta s�o "-atcp" e "-audp". s�o as op��es mais eficazes ("a" significa avan�ado). utilizando estas op��es o portsentry faz uma lista dos portas que est�o � escuta, tcp e udp, se seleccionar ambos ele bloqueia a m�quina que se ligar a estes portas, exceto se a m�quina est� presente no arquivo portsentry.ignore.
-->>>> ver os readmes <<----> executando 1 - /usr/local/psionic/portsentry/portsentry -tcp 2 - tail -f /var/log/syslog --> testando telnet ip 143 -
verificar /var/log/syslog verficar /usr/local/psionic/portsentry/...blocked....history verificar /var/log/portsentry.log verficar iptables
nmap -st -o ip (testar com niveis de scan trigger 0-2, restartar portsentry) verficar logs -- verificar metodos nmap com modos do portsentry
--> init script http://linux.cudeso.be/linuxdoc/portsentry.php http://www.falkotimme.com/howtos/chkrootkit_portsentry/index.php --> snort x portsentry http://www.linux.ie/articles/portsentryandsnortcompared.php http://www.linuxexposed.com/articles/security/portsentry-vs-snort.html fontes: http://www.linuxit.com.br/section-viewarticle-536.html http://www.tldp.org/linuxfocus/portugues/september2001/article214.shtml http://www.linuxsecurity.com.br/renato/antiscan.html http://www.securityfocus.com/infocus/1580
vamos ver agora como instalar e configurar o portsentry e assim tornar nosso linux ainda mais seguro.
Related Documents
Ports Entry
November 2019 38
Ports
June 2020 42
Entry
July 2020 32
Entry
November 2019 59
Entry
December 2019 49