PortSentry - Levando a segurança a sério.

Os administradores que levam segurança a sério sempre têm uma abordagem proativa para o rastreamento de portas, como o bloqueio do endereço IP que fez essa atividade, por um longo período de tempo. A ferramenta que lhe permite fazer isso é chamada de PortSentry.

O PortSentry está incluída na maioria das distribuições. O daemon identifica e cria arquivos de log de rastreamento de portas e executa comandos após esse primeiro passo.
O modo de detecção é acionado em /etc/default/portsentry

TCP_MODE="tcp"
UDP_MODE="udp"


Se você não quer que o PortSentry monitore portas UDP, pode simplesmente deletar a segunda linha. Se você substituir tcp e udp por stcp e sudp , a ferramenta fica mais sensível a rastreamentos ocultos ( stealth scans ). Se você escrever atcp e audp , ele vincula todas as portas não utilizadas abaixo de 1024 e indica para o invasor que estão abertas; fazer isso signifi ca que o invasor saberá tanto sobre seu sistema depois do rastreamento quanto já sabia antes. O arquivo /etc/portsentry/portsentry.conf lhe dá mais opções para configurar o sistema. Aqui você pode definir as portas que disparam a detecção do rastreamento. A seleção padrão já é muito útil. Eu a modifi caria apenas se estivesse executando um daemon em uma dessas portas.
É mais importante configurar a sensibilidade com a variável SCAN_TRIGGER . O padrão, 0 , signifi ca que o Port-Sentry reage imediatamente se uma das portas que disparam a atividade for endereçada no ataque. Os valores de 1 a 2 reduzem a sensibilidade e evitam falsos positivos. A configuração ADVANCED_EXCLUDE_TCP= faz a mesma coisa: as portas que são frequentemente acionadas por hosts externos, como a Ident (port 133) e NetBIOS (port 139) são excluídas no modo atcp . Da mesma forma, o parâmetro ADVANCED_EXCLUDE_UDP- exclui as portas UDP 67, 137, 138 e 520 (DHCP, NetBIOS, RIP). Por padrão, o PortSentry não responde aos rastreamentos, mas simplesmente registra sua existência. Você pode modificar esse comportamento com os seguintes comandos:

BLOCK_UDP="0"
BLOCK_TCP="0"

Se confi gurado com um 1 , evita-se que os endereços IP que tenham tentado rastrear portas no passado abram novas conexões. Ao dar a seguinte ordem ao PortSentry /sbin/route add -host $TARGET$ reject

o que derruba a conexão e retorna uma mensagem de recusa para quem tenta realizar essa atividade. O endereço IP que tenta rastrear uma porta é registrado em /var/lib/portsentry/portsentry.blocked e lá permanece até que o daemon seja reiniciado.


Ferramentas seguras
Para evitar que seus próprios sistemas falhem diante das armadilhas do PortSentry, você tem o arquivo /etc/portsentry/portsentry.ignore.static , que é onde você define hosts individuais ou redes inteiras que não serão contraatacadas. A propósito, se você configurar o BLOCK_TCP e UDP para 2 , o PortSentry executará o comando que você definir em KILL_RUN_CMD (pode ser a emissão de um simples alerta
de texto ou uma arma para contra-ataques pesados, como o Metasploit). Uma precaução: apontar uma arma de grosso calibre para alguém que bate na sua porta de casa normalmente é considerado uma atitude não muito simpática.


Mais informações
PortSentry: http://sourceforge.net/projects/sentrytools


Fonte : Revista LINUX MAGAZINE edição 88 Março de 2012