Mehr Sicherheit durch portsentry
Die meisten Angriffe auf Systeme beginnen mit einem portscan, das hier erklärte Tool portsentry erkennt diese und leitet Gegenmaßnahmen ein. Man kann dem Angreifer blocken oder aber ihm einfach sagen, um ihn zu verwirren, dass alle Ports offen sind. Das Tool kann auch Gegenangriffe ausführen, was aber nicht wirklich zu empfehlen ist, da es ja auch ungefährliche Portscans gibt.
Installation
unter Debian / Ubuntu einfach:
aptitude install portsentry
Standardmäßig loggt portsentry nur, erst nach editieren der Konfigurationsdatei /etc/portsentry/portsentry.conf führt es auch Aktionen aus.
Konfiguration
/etc/default/portsentry
# /etc/default/portsentry # # This file is read by /etc/init.d/portsentry. See the portsentry.8 # manpage for details. # # The options in this file refer to commandline arguments (all in lowercase) # of portsentry. Use only one tcp and udp mode at a time. # TCP_MODE="stcp" UDP_MODE="sudp"
Die Beiden Schalter stcp und sudp sorgen dafür das auch Stealth Scans erkannt werden.
Bei der Konfiguration ist zu beachten, das falls eine Firewall eingesetzt wird, ein Port aufgemacht werden muss auf dem dann der Portscanner läuft. Zum Beispiel kann man den SSH Port umlegen und den Port 22 per portsentry überwachen. Portsentry kann nicht auf einem bereits vorhandenen Port lauschen!
/etc/portsentry/portsentry.conf
TCP_PORTS="22" Block_TCP="1" Block_UDP="1" KILL_ROUTE="/sbin/route add -host $TARGET$ reject" SCAN_TRIGGER="1"