Détecter les attaques avec PortSentry
Date: 27 April 2003 à 17:34:15 CEST
Sujet: Linux

Portsentry est un logiciel qui détecte les attaques de type scan de ports et peut se ?défendre?.
C?est un logiciel actif, c?est à dire qu?il réagit selon les attaques.

Installation:

Télécharger le tarball à l?adresse suivante :
La dernière version (1.1) de cet outil génial est disponible sur http://www.psionic.com, et la version 1.0 fait maintenant partie de quelques distributions Linux principales (Debian, RedHat...).

Comme toujours l?installation se déroule comme ceci.
tar ?zxvf portsentry-x.tar.gz
cd portsentry-x
make linux
make install

Configuration:

Plusieurs possibilités vous sont offertes dans portsentry lors d?une détection d?attaque :
- Tcp Wrapper qui reroute les paquets ?attaquant? vers /dev/null
- Ipchains qui va bloquer les paquets

Nous allons expliquer ici comment mettre en place la solution avec Ipchains.
Après l?installation de portsentry, il vous a crée un répertoire /usr/local/psionic/portsentry

Dans ce répertoire nous allons trouver 3 fichiers dont : portsentry.conf
Nous allons donc le configurer pour mettre en place notre outil.

Editer le fichier portsentry.conf et faite les modifications suivantes :
Placer en commentaire (#) la ligne : KILL_HOSTS_DENY=?ALL : $TARGET$?
Enlever le commentaire devant la ligne : KILL_ROUTE=?/sbin/ipchains ?I input ?

Je vous conseille aussi d?enlever le ?l à la règle d?ipchains sinon vous risquer d?avoir un /var/log/message énorme.
Vérifier par la même occasion que le chemin d?ipchains est le bon.

Une autre partie de la configuration intéressante c?est l?external commande.
C?est en fait la commande qui sera envoyer des qu?il y a une attaque (mis à pars le blocage par ipchains). Par exemple vous pouvez faire en sorte qu?un mail vous soie envoyer à chaque attaque ou alors de couper votre connexion internet.

Le fichier portsentry.ignore est comme sont l?indique, les ip qui ne sont pas concerné par portsentry.

Maintenant il ne reste plus qu?as lancer portsentry, la encore, plusieurs modes s?offre à vous :
- Basic port-bound TCP mode (qui reviens au même que tcplogd) (tcp)
- Basic port-bound UDP mode (qui reviens au même que tcplogd mais pour les paquets UDP) (udp)

Mais voici les plus intéressant :

- Advanced UPD stealth (audp)
- Advanced TCP stealth (atcp)

Pour utiliser ses modes il suffit de les préciser au lancement de portsentry :

portsentry ?audp
portsentry ?atcp

Grâce à ses 2 lancements je me protége en tcp & en udp.

Si tous ce passe bien vous devez avoir une phrase dans le genre dans var/log/message:
portsentry[?] adminalert : PortSentry is now active and listening

Voila c?est fini, il ne reste plus qu?a le tester

Test de Portsentry:

La encore nmap est de rigueur.
Pour essayer un test en local (si vous n?avez qu?une machine), il faut modifier le fichier portsentry.ignore et mettre en commentaire la ligne 127.0.0.1.

Ensuite vous lancer un nmap :
nmap 127.0.0.1

Vous verrez que votre nmap ne retournera rien, normale portsentry veille.


Cet article provient de www.virtuelnet.net :: Hébergement libre sur serveurs libres
http://www.virtuelnet.net

L'URL de cet article est:
http://www.virtuelnet.net/modules.php?name=News&file=article&sid=4