*Drive*- Здесь рулят padonki https://drivesource.ru/ |
|
Portsentry https://drivesource.ru/viewtopic.php?f=15&t=843 |
Страница 1 из 1 |
Автор: | Padonak [ 27 янв 2009, 18:36 ] |
Заголовок сообщения: | Portsentry |
Сканирование портов является одним из самых распространенных и простых способов узнать, какая операционная система установлена на компьютере, какие службы запущены в данный момент и получить другую информацию о компьютере, подключенном к Internet , которая может быть использована для взлома и проникновения. Существует много программ для обнаружения сканирования портов. Но обнаружения не достаточно. "Должна последовать адекватная реакция"(с)В.В.Путин. "Адекватная реакция" может заключаться в отправке в сторону сканирующего тебя человека неправильного фрагментированного пакета, ответного сканирования портов, установки на него firewall'а и т.д. Также желательно, чтоб он получил недостоверную информацию об открытых портах на твоем компьютере. Все это и многое другое позволяет делать прекрасная программа Psionic Software Portsentry. Основные возможности Portsentry: * обнаруживает практически все известные виды сканирования Unix-машин: TCP connect(), SYN/half-open, Null, XMAS и т.д. * в реальном времени блокирует хост сканировщика посредством установленного на атакуемом компьютере firewall'а (для Linux 2.2.x - ipchains), команду запуска которого можно задать в файле конфигурации. * записывает в логи посредством syslogd информацию об атаке. * вызывает любую указанную тобой в файле конфигурации программу, в ответ на сканирование или подключение к защищенному portsentry порту, параметрами программы могут являтся IP-адрес атакующего хоста и атакуемый порт. http://www.opennet.ru/docs/RUS/portsent ... ntry1.html |
Автор: | Padonak [ 27 фев 2009, 23:10 ] |
Заголовок сообщения: | Настройка |
-------------------------------------------------------------------------------- Параметр="значение" -------------------------------------------------------------------------------- Параметры поддерживаются такие: TCP_PORTS Здесь через запятую перечисляются TCP-порты, которые проверяются Portsentry. При подключении к ним, Portsentry записывает в информацию об этом в логи, затем выполняет команду, заданную пользователем, после этого блокирует хост посредством ipchains. Опция используется при работе в режиме Classic и Enhanced Stealth Scan Detection Mode. Желательно всегда оставлять порт 1 открытым, т.к. большинство сканировщиков портов начинают проверять с 1 и далее. Это способствует более быстрому обнаружению сканирования. TCP-порты, открытые другими программами (25 при загруженном sendmail, 80 при загруженном httpd и т.д.) в этот список включатся не должны. -------------------------------------------------------------------------------- TCP_PORTS="1,11,15,79,111,119,143,540,635" -------------------------------------------------------------------------------- UDP_PORTS То же что и TCP_PORTS, но для UDP-портов. -------------------------------------------------------------------------------- UDP_PORTS="1,7,9,69,161,162,513,635,640,641" -------------------------------------------------------------------------------- ADVANCED_PORTS_TCP Значение этого параметра определяет верхнюю границу множества TCP-портов, которые проверяются Portsentry при работе в режиме Advanced Stealth Scan Detection Mode. Нижней границей является 1, т.е. при значении ADVANCED_PORTS_TCP равное 1024 проверяется подключение к любому порту в промежутке от 1 до 1024. -------------------------------------------------------------------------------- ADVANCED_PORTS_TCP="1023" -------------------------------------------------------------------------------- ADVANCED_PORTS_UDP То же, что и ADVANCED_PORTS_TCP, но для UDP-портов. -------------------------------------------------------------------------------- ADVANCED_PORTS_UDP="1023" -------------------------------------------------------------------------------- ADVANCED_EXCLUDE_TCP TCP-порты, которые исключаются из промежутка 1..ADVANCED_PORTS_TCP, т.е. из списка портов, предназначенных для проверки. Здесь обязательно нужно перечислить TCP-порты, открытые работающими программами. -------------------------------------------------------------------------------- ADVANCED_EXCLUDE_TCP="23,25,80,110,113,139" -------------------------------------------------------------------------------- ADVANCED_EXCLUDE_UDP То же, что и ADVANCED_EXCLUDE_TCP, но для UDP-портов. -------------------------------------------------------------------------------- ADVANCED_EXCLUDE_UDP="520,138,137,67" -------------------------------------------------------------------------------- IGNORE_FILE Имя и путь к файлу с IP-адресами хостов, которые не блокируются при подключении к порту, проверяемому Portsentry. -------------------------------------------------------------------------------- IGNORE_FILE="/usr/local/psionic/portsentry/portsentry.ignore" -------------------------------------------------------------------------------- HISTORY_FILE Имя и путь к файлу с историей работы Portsentry. В файл записывается время блокирования, имя и IP хоста, атакованный порт, протокол (TCP или UDP). Файл не создается заново при каждом запуске. -------------------------------------------------------------------------------- HISTORY_FILE="/usr/local/psionic/portsentry/portsentry.history" -------------------------------------------------------------------------------- BLOCKED_FILE Строка, из которой формируется имя и путь к файлам, куда записывается информация о блокированных хостах. Имя файла формируется так BLOCKED_FILE.РЕЖИМ_РАБОТЫ, где режим работы может быть tcp, udp, stcp, sudp, atcp, audp, т.е. если BLOCKED_FILE равен /usr/local/psionic/portsentry/portsentry.blocked, а режим работы audp, то имя файла будет /usr/local/psionic/portsentry/portsentry.blocked.audp. -------------------------------------------------------------------------------- BLOCKED_FILE="/usr/local/psionic/portsentry/portsentry.blocked" -------------------------------------------------------------------------------- BLOCK_TCP Этот параметр в зависимости от значения, задает ответную реакцию Portsentry на сканирование портов: 0 - не блокировать хост, не запускать заданную пользователем команду, 1 - блокировать хост и запустить команду, 2 - только запустить заданную команду. Команда задается при помощи параметра KILL_RUN_CMD. -------------------------------------------------------------------------------- BLOCK_TCP="1" -------------------------------------------------------------------------------- BLOCK_UDP То же, что и BLOCK_TCP, но для UDP. -------------------------------------------------------------------------------- BLOCK_UDP="1" -------------------------------------------------------------------------------- KILL_ROUTE Этот параметр задает команду, которую надо выполнить для блокирования атакующего хоста, установив на него firewall или удалив его сетку из таблицы роутинга. Для указания IP-адреса используется переменная $TARGET$. Переменная $PORT$ используется для указания порта, к которому было подключение. -------------------------------------------------------------------------------- KILL_ROUTE="/sbin/ipchains -I input -s $TARGET$ -j DENY -l" -------------------------------------------------------------------------------- KILL_HOSTS_DENY Этот параметр задает строку, которая вписывается в /etc/hosts.deny, для блокирования доступа к сервисам, запускаемым через inetd. -------------------------------------------------------------------------------- KILL_HOSTS_DENY="ALL: $TARGET$" -------------------------------------------------------------------------------- KILL_RUN_CMD С помощью этого параметра можно определить команду, запускаемую до блокирования хоста. Можно поставить туда отправку e-mail'а администратору или запуск нюка в сторону сканировщика. -------------------------------------------------------------------------------- KILL_RUN_CMD="teardrop 192.168.0.1 $TARGET$ -s $PORT$ -t 139 -n 5000" -------------------------------------------------------------------------------- SCAN_TRIGGER Данный параметр задает количество разрешенных подключений к проверяемым Portsentry портам одного и того же хоста, прежде, чем Portsentry начнет действовать. 0 определяет немедленную реакцию. -------------------------------------------------------------------------------- SCAN_TRIGGER="0" -------------------------------------------------------------------------------- PORT_BANNER Задает сообщение, которое будет выводится при подключении к проверяемому Portsentry порту. Автор Portsentry Craig H. Rowland в инструкции по установке пишет, что не рекомендует вставлять туда какое либо сообщение, т.к. это может разозлить или раззадорить сканировщика и подтолкнуть его к дальнейшим действиям. Решать вам... -------------------------------------------------------------------------------- PORT_BANNER="** UNAUTHORIZED ACCESS PROHIBITED *** YOUR CONNECTION ATTEMPT HAS BEEN LOGGED. GO AWAY." -------------------------------------------------------------------------------- Пример portsentry.conf: -------------------------------------------------------------------------------- TCP_PORTS="1,11,15,79,111,119,143,540,635,1080, 1524,2000,5742,6667,12345,12346" UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700, 32770,32771,32772,32773,32774" ADVANCED_PORTS_TCP="1023" ADVANCED_PORTS_UDP="1023" ADVANCED_EXCLUDE_TCP="23,25,80,110,113,139" ADVANCED_EXCLUDE_UDP="520,138,137,67" IGNORE_FILE="/usr/local/psionic/portsentry/portsentry.ignore" HISTORY_FILE="/usr/local/psionic/portsentry/portsentry.history" BLOCKED_FILE="/usr/local/psionic/portsentry/portsentry.blocked" BLOCK_UDP="1" BLOCK_TCP="1" KILL_ROUTE="/sbin/ipchains -I input -s $TARGET$ -j DENY -l" KILL_HOSTS_DENY="ALL: $TARGET$" KILL_RUN_CMD="echo Ports Scaning from $TARGET$ on $PORT$ | mail root" SCAN_TRIGGER="0" -------------------------------------------------------------------------------- В файле portsentry.ignore вы должны перечислить IP-адреса компьютеров, которые не должны быть блокированы программой при подключении к проверяемому порту. По умолчанию, там содержится два IP-адреса: 127.0.0.1 и 0.0.0.0. |
Автор: | Padonak [ 27 фев 2009, 23:13 ] |
Заголовок сообщения: | данастраивался... еле удалил блок на адрес ! |
Настроил программульку - защиту от сканирования . Так вот она при обнаружении сканирования - прописывает сканируемуму адресу отдельный маршрут. Проверил с работы - всё нормально отработало . НО проблемка - не могу удалить маршрут ! Ну никак ! Есть вот такая хрень : Код: root@QWERTY1:~# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface npomis.ru - 255.255.255.255 !H 0 - 0 - 192.168.0.0 * 255.255.255.0 U 0 0 0 eth1 79.165.208.0 * 255.255.240.0 U 0 0 0 eth0 default host-79-165-208 0.0.0.0 UG 100 0 0 eth0 root@QWERTY1:~# Попытки удалить : Код: root@QWERTY1:~# route del npomis.ru SIOCDELRT: No such process root@QWERTY1:~# Код: root@QWERTY1:~# route del -host npomis.ru SIOCDELRT: No such process root@QWERTY1:~# Код: root@QWERTY1:~# route del -host npomis.ru netmask 255.255.255.255 route: netmask 00000000 doesn't make sense with host route Решаецца вот так : Код: root@QWERTY1:~# ip ro l unreachable 217.147.21.82 scope host 192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.1 79.165.208.0/20 dev eth0 proto kernel scope link src 79.165.222.174 default via 79.165.208.1 dev eth0 metric 100 root@QWERTY1:~# Код: root@QWERTY1:~# ip ro del unreachable 217.147.21.82 Код: root@QWERTY1:~# route
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.0.0 * 255.255.255.0 U 0 0 0 eth1 79.165.208.0 * 255.255.240.0 U 0 0 0 eth0 default host-79-165-208 0.0.0.0 UG 100 0 0 eth0 |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа [ Летнее время ] |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |