Pentru a proteja împotriva scanarea de porturi cu portsentry

pl:Do ochrony przed skanowanie portów z portsentry ja:Portsentry とポートのスキャンから保護するには zh:为了防止与 portsentry 的端口扫描 de:Zum Schutz vor der Untersuchung der Ports mit portsentry nl:Te beschermen tegen het scannen van poorten met portsentry it:Per proteggere contro la scansione delle porte con portsentry pt:Para proteger contra a varredura de portas com portsentry en:To protect against the scan of ports with portsentry he:כדי להגן מפני הסריקה של יציאות עם portsentry ru:Для защиты от сканирования портов с portsentry ar:للحماية من مسح للمنافذ مع بورتسينتري es:Para proteger contra la exploración de puertos con portsentry fr:Se protéger contre le scan de ports avec portsentry

Acest articol este rezultatul unei traduceri automate efectuate de către software-ul. Puteți vizualiza sursa articol aici.

Dumneavoastră Server pot fi supuse diferite port a scanda pentru a identifica, de exemplu, serviciile care sunt puse în aplicare pe dumneavoastră Server sau chiar sistemul de operare instalat (de exemplu, care permite Nmap, ). Această informaţie apoi ar putea fi exploatat de către o persoană rău pentru atingerea integrităţii dumneavoastră Server.

Pentru a proteja împotriva acestor practici, aveţi posibilitatea să implementaţi portsentry care va bloca adresele IP de conexiuni la originea de aceste scanează.

Portsentry poate fi o completare a eşua 2Ban dacă doriţi pentru a spori securitatea dumneavoastră Server. Într-adevăr, nu reuşesc 2interdicţie blochează adrese IP de conexiuni care efectuează autentificare nereuşite în timp ce portsentry, el efectuează o blocarea de adrese IP care sunt cu scopul de a identifica porturile deschise pe dumneavoastră Server. Ambele pachete pot fi complementare şi, astfel, pentru a spori securitatea dumneavoastră Server.

Incepem prin continua cu instalarea pachetului care ne privesc cu următoarea comandă :

root@flex:~# apt-get update && apt-get install portsentry

Un mesaj de avertizare va spune că portsentry se va aplica nici o blocare excepţia cazului în care vă spune să facă :

După ce instalarea este completă, vom trece prin urmare a portsentry de configurare.

Ca un prim pas, ne vom opri serviciul :

root@flex:~# /etc/init.d/portsentry stop
Stopping anti portscan daemon: portsentry.

Apoi vom implementa excepţiile de la nu pentru a bloca adresele IP diferite (la minim IP-ul dumneavoastra adresa, precum şi adresele IP Servere de monitorizare, etc.).

Pentru plajele din IP adresat la pentru a permite şi utilizate de către noastre  Server monitorizare, vă rugăm să consultaţi următorul articol  : https://fr.ikoula.wiki/fr/Quelles_sont_les_IP_%C3%A0_autoriser_dans_mon_firewall_pour_qu%27Ikoula_ait_acc%C3%A8s_%C3%A0_mon_Server

Pentru a implementa aceste excepţii, vom edita fişierul /etc/portsentry/portsentry.ignore.static

La începutul de servicii, conţinutul fişierului va fi adăugat la dosar /etc/portsentry/portsentry.ignore.

Pentru a adăuga o excepţie de la portsentry, trebuie doar să adăugaţi o adresă de IP pe linie. Puteţi, de asemenea, şi doar adăuga unul sau un CIDR.

Acum, că aţi adăugat ta /adresele de IP în lista Alb, ne va configura portsentry a vorbit în mod corespunzător prin editarea fişierului de configurare, care este accesibil prin intermediul /etc/portsentry/portsentry.conf.

Folosim portsentry în modul avansat pentru protocoalele TCP şi UDP. Pentru aceasta, trebuie să modificaţi fişierul /etc/default/portsentry pentru a avea :

TCP_MODE="atcp"
UDP_MODE="audp"

Dorim, de asemenea, că portsentry este un blocaj. Prin urmare, avem nevoie pentru a activa prin care trece BLOCK_UDP şi BLOCK_TCP să 1 as sub :

##################
# Ignore Options #
##################
# 0 = Do not block UDP/TCP scans.
# 1 = Block UDP/TCP scans.
# 2 = Run external command only (KILL_RUN_CMD)

BLOCK_UDP="1"
BLOCK_TCP="1"

Am opta pentru un butuc de persoane rău intenţionat prin iptables. Am, prin urmare, voi comenta pe toate liniile din fișierul de configurare, care începe cu KILL_ROUTE, cu excepţia următoare :

KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP"

Aveţi posibilitatea să verificaţi că este cazul, o dată fişierul salvat folosind pisică şi grep :

cat portsentry.conf | grep KILL_ROUTE | grep -v "#"

Noi acum poate relansa serviciul portsentry şi că va începe acum să blocheze portul scanează :

root@flex:~# /etc/init.d/portsentry start
Starting anti portscan daemon: portsentry in atcp & audp mode.

Portsentry jurnalele în fişierul /var/log/syslog şi după cum puteţi vedea mai jos, urmează un port făcute pentru îngrijirea acest tutorial cu Nmap, scanare adresa blocat prin iptables :

Mar 17 16:59:02 sd-24527 portsentry[6557]: adminalert: PortSentry is now active and listening.
Mar 17 17:00:29 sd-24527 portsentry[6553]: attackalert: Connect from host: 178.170.xxx.xxx/178.170.xxx.xxx to TCP port: 1
Mar 17 17:00:29 sd-24527 portsentry[6553]: attackalert: Host 178.170.xxx.xxx has been blocked via wrappers with string: "ALL: 178.170.xxx.xxx : DENY"
Mar 17 17:00:29 sd-24527 portsentry[6553]: attackalert: Host 178.170.xxx.xxx has been blocked via dropped route using command: "/sbin/iptables -I INPUT -s 178.170.xxx.xxx -j DROP"
Mar 17 17:00:29 sd-24527 portsentry[6553]: attackalert: Connect from host: 178.170.xxx.xxx/178.170.xxx.xxx to TCP port: 79
Mar 17 17:00:29 sd-24527 portsentry[6553]: attackalert: Host: 178.170.xxx.xxx is already blocked. Ignoring
[...]

Dacă doriţi să arunca un bloc, puteţi verifica IP adrese interzis prin intermediul iptables. Acolo este IP-ul care a fost blocat în urma testului nostru anterioare :

root@flex:~# iptables -L -n -v
Chain INPUT (policy ACCEPT 52381 packets, 6428K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 794 42696 DROP       all  --  *      *       178.170.xxx.xxx      0.0.0.0/0      

Aşa că haideţi să ştergeţi intrarea :

iptables -D INPUT -s 178.170.xxx.xxx -j DROP

PS : nu uitaţi să permită adresele IP ale noastre Servere de monitorizare în excepţiile de la portsentry pentru a evita pozitive false şi provoca alerte inutile.