Te beschermen tegen het scannen van poorten met portsentry

Uit Nl Ikoula wiki
Versie door Ikbot (overleg | bijdragen) op 8 apr 2016 om 19:32
Jump to navigation Jump to search

it:Per proteggere contro la scansione delle porte con portsentry pt:Para proteger contra a varredura de portas com portsentry es:Para proteger contra la exploración de puertos con portsentry en:To protect against the scan of ports with portsentry fr:Se protéger contre le scan de ports avec portsentry

Dit artikel is vertaald door middel van automatische vertalingssoftware. U kunt het artikel bron hier te bekijken.

Uw Server kan worden onderworpen aan andere poort scans te identificeren, bijvoorbeeld diensten die in de plaats op uw Server of zelfs het besturingssysteem geïnstalleerd (waarmee bijvoorbeeld, Nmap, ). Deze informatie kan vervolgens worden misbruikt door een kwaadwillende persoon om de integriteit van uw Server.

Om te beschermen tegen deze praktijken, kunt u het implementeren van portsentry die zal het blokkeren van de IP-adressen van de aansluitingen op de oorsprong van deze scans.

Portsentry kan een aanvulling te mislukken 2verbieden indien gewenst ter verbetering van de beveiliging van uw Server. Inderdaad, mislukken 2verbod op het blokkeren van de IP-adressen van verbindingen die uitvoeren van mislukte verificatie terwijl portsentry, hij voert een blokkeren van IP-adressen die zijn gericht op het identificeren van de open poorten op uw Server. Beide pakketten kunnen complementaire en dus ter verbetering van de beveiliging van uw Server.

We beginnen door u verdergaat met de installatie van het pakket dat ons met het volgende commando bezighoudt : 

root@flex:~# apt-get update && apt-get install portsentry

Een waarschuwingsbericht zal u vertellen dat portsentry geldt geen blokkeren, tenzij u het te doen vertellen : Portsentry.png

Zodra de installatie voltooid is, gaan we dus tot portsentry configuratie.

Als een eerste stap, wij service zal stoppen : 

root@flex:~# /etc/init.d/portsentry stop
Stopping anti portscan daemon: portsentry.

Wij zullen vervolgens implementeert u de uitzonderingen op om niet te blokkeren van verschillende IP-adressen (minimaal uw IP adres en de IP-adressen van Servers van het toezicht, enz.). 

Voor de stranden van IP-adressen toe en gebruikt door onze  Server Monitoring, gelieve te verwijzen naar het volgende artikel  : https://fr.ikoula.wiki/fr/Quelles_sont_les_IP_%C3%A0_autoriser_dans_mon_firewall_pour_qu%27Ikoula_ait_acc%C3%A8s_%C3%A0_mon_Server

Ter uitvoering van deze uitzonderingen, zullen we het bestand bewerken /etc/portsentry/portsentry.ignore.static

Aan het begin van de dienst, de inhoud van het bestand zal worden toegevoegd aan het bestand /etc/portsentry/portsentry.ignore.

Te voegen een uitzondering aan portsentry, voeg gewoon een IP-adres per regel. U kunt ook en gewoon toevoegen of een CIDR.

Nu dat u hebt toegevoegd uw /uw IP-adressen in de lijst Wit, we zullen configureren portsentry te goed gesproken door het configuratie bestand dat toegankelijk is via /etc/portsentry/portsentry.conf.

We gebruiken portsentry in de advanced mode voor de protocollen TCP en UDP. Om dit te doen, moet u het bestand wijzigen /etc/default/portsentry om : 

TCP_MODE="atcp"
UDP_MODE="audp"

Wij wensen ook dat portsentry is een blokkade. Daarom moeten wij het door BLOCK_UDP en BLOCK_TCP te activeren 1 zoals hieronder : 

##################
# Ignore Options #
##################
# 0 = Do not block UDP/TCP scans.
# 1 = Block UDP/TCP scans.
# 2 = Run external command only (KILL_RUN_CMD)

BLOCK_UDP="1"
BLOCK_TCP="1"

We kiezen voor een blokkering van kwaadwillende personen via iptables. We zullen daarom commentaar geven op alle lijnen van het configuratiebestand die met KILL_ROUTE, met uitzondering van de volgende beginnen : 

KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP"

U kunt controleren of dit het geval is, zodra het opgeslagen bestand met behulp van kat en grep : 

cat portsentry.conf | grep KILL_ROUTE | grep -v "#"

We kunnen nu dienst portsentry blazen en het zal nu beginnen te blokkeren de poort-scans : 

root@flex:~# /etc/init.d/portsentry start
Starting anti portscan daemon: portsentry in atcp & audp mode.

Portsentry logs in het bestand /var/log/syslog en zoals je zien kunt hieronder, na een poort gemaakt voor de verzorging van deze tutorial met Nmap, scan het adres is geblokkeerd door de iptables : 

Mar 17 16:59:02 sd-24527 portsentry[6557]: adminalert: PortSentry is now active and listening.
Mar 17 17:00:29 sd-24527 portsentry[6553]: attackalert: Connect from host: 178.170.xxx.xxx/178.170.xxx.xxx to TCP port: 1
Mar 17 17:00:29 sd-24527 portsentry[6553]: attackalert: Host 178.170.xxx.xxx has been blocked via wrappers with string: "ALL: 178.170.xxx.xxx : DENY"
Mar 17 17:00:29 sd-24527 portsentry[6553]: attackalert: Host 178.170.xxx.xxx has been blocked via dropped route using command: "/sbin/iptables -I INPUT -s 178.170.xxx.xxx -j DROP"
Mar 17 17:00:29 sd-24527 portsentry[6553]: attackalert: Connect from host: 178.170.xxx.xxx/178.170.xxx.xxx to TCP port: 79
Mar 17 17:00:29 sd-24527 portsentry[6553]: attackalert: Host: 178.170.xxx.xxx is already blocked. Ignoring
[...]


Als je gooien een blok wilt, kunt u het controleren van de IP adressen verboden via iptables. Er is de IP-dat is geblokkeerd na onze vorige test : 

root@flex:~# iptables -L -n -v
Chain INPUT (policy ACCEPT 52381 packets, 6428K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 794 42696 DROP       all  --  *      *       178.170.xxx.xxx      0.0.0.0/0


Dus laten we Verwijder de vermelding : 

iptables -D INPUT -s 178.170.xxx.xxx -j DROP

PS : Vergeet niet dat de IP-adressen van onze Servers van het toezicht op de uitzonderingen voor portsentry te voorkomen van valse positieven en veroorzaken geen onnodige meldingen.



U mag niet reageren.

Overgenomen van "https://nl-wiki.ikoula.com/index.php?title=Te_beschermen_tegen_het_scannen_van_poorten_met_portsentry&oldid=6274"