Bienvenue sur www.virtuelnet.net :: Hébergement libre sur serveurs libres
Recherche
Sujets
 
  Devenez membre Rubriques Téléchargements Votre Compte Proposer un article Top 10  

Menu
 Accueil
 Hébergement
 Infrastructure
 Panel Hosting
 Charte
 Mise à jour
 Annuaire des sites
 Webcams
 Webcam
 News
 Tous les Articles
 Archives
 Proposer un Article
 Rubriques
 Dossiers
 Réseaux de A à Z
 FAQ
 Rechercher sur le site
 Outils PHP
 Outils Réseaux
 DNS et IP
 Test Bande passante
 TCP Port Scanner
 Network Query Tool
 Whois
 Multimédias
 Lecteur Audio
 Lecteur Video
 Web TV
 Galerie Photos
 Downloads et Liens
 Téléchargements
 Liens Web
 Discussions
 Forums
 WebChat
 Utilisateurs
 Votre Compte
 Téléchargements privés
 Messages Privés
 Liste des Membres
 Staff du site
 Analyse
 MS Analysis
 Statistiques
 Top10
 WebFTP

Détecter les attaques avec PortSentry




Par fx


Portsentry est un logiciel qui détecte les attaques de type scan de ports et peut se ‘défendre’.
C’est un logiciel actif, c’est à dire qu’il réagit selon les attaques.

Installation:

Télécharger le tarball à l’adresse suivante :
La dernière version (1.1) de cet outil génial est disponible sur http://www.psionic.com, et la version 1.0 fait maintenant partie de quelques distributions Linux principales (Debian, RedHat...).

Comme toujours l’installation se déroule comme ceci.
tar –zxvf portsentry-x.tar.gz
cd portsentry-x
make linux
make install

Configuration:

Plusieurs possibilités vous sont offertes dans portsentry lors d’une détection d’attaque :
- Tcp Wrapper qui reroute les paquets ‘attaquant’ vers /dev/null
- Ipchains qui va bloquer les paquets

Nous allons expliquer ici comment mettre en place la solution avec Ipchains.
Après l’installation de portsentry, il vous a crée un répertoire /usr/local/psionic/portsentry

Dans ce répertoire nous allons trouver 3 fichiers dont : portsentry.conf
Nous allons donc le configurer pour mettre en place notre outil.

Editer le fichier portsentry.conf et faite les modifications suivantes :
Placer en commentaire (#) la ligne : KILL_HOSTS_DENY=’ALL : $TARGET$’
Enlever le commentaire devant la ligne : KILL_ROUTE=’/sbin/ipchains –I input …

Je vous conseille aussi d’enlever le –l à la règle d’ipchains sinon vous risquer d’avoir un /var/log/message énorme.
Vérifier par la même occasion que le chemin d’ipchains est le bon.

Une autre partie de la configuration intéressante c’est l’external commande.
C’est en fait la commande qui sera envoyer des qu’il y a une attaque (mis à pars le blocage par ipchains). Par exemple vous pouvez faire en sorte qu’un mail vous soie envoyer à chaque attaque ou alors de couper votre connexion internet.

Le fichier portsentry.ignore est comme sont l’indique, les ip qui ne sont pas concerné par portsentry.

Maintenant il ne reste plus qu’as lancer portsentry, la encore, plusieurs modes s’offre à vous :
- Basic port-bound TCP mode (qui reviens au même que tcplogd) (tcp)
- Basic port-bound UDP mode (qui reviens au même que tcplogd mais pour les paquets UDP) (udp)

Mais voici les plus intéressant :

- Advanced UPD stealth (audp)
- Advanced TCP stealth (atcp)

Pour utiliser ses modes il suffit de les préciser au lancement de portsentry :

portsentry –audp
portsentry –atcp

Grâce à ses 2 lancements je me protége en tcp & en udp.

Si tous ce passe bien vous devez avoir une phrase dans le genre dans var/log/message:
portsentry[…] adminalert : PortSentry is now active and listening

Voila c’est fini, il ne reste plus qu’a le tester

Test de Portsentry:

La encore nmap est de rigueur.
Pour essayer un test en local (si vous n’avez qu’une machine), il faut modifier le fichier portsentry.ignore et mettre en commentaire la ligne 127.0.0.1.

Ensuite vous lancer un nmap :
nmap 127.0.0.1

Vous verrez que votre nmap ne retournera rien, normale portsentry veille.









fx

Copyright © par . www.virtuelnet.net :: Hébergement libre sur serveurs libres Tous droits réservés.

Publié le: 2004-10-24 (2825 lectures)

[ Retour ]
Content ©
 

Site déclaré à la C.N.I.L. (Commission Nationale Informatique et Liberté) sous le numéro 854874.

Copyright ® 2003 - 2020 par virtuelnet.net. Tous droits réservés à Laurent Bras. Toute reproduction, même partielle interdite.



Copyright © 2002 by . Tous droits réservés. PHP-Nuke est un logiciel libre sous licence GNU/GPL.
Page Générée en: 5.218 Secondes