Download - Configuracion de Portsentry Freddy Beltran
Instalacion y configuracion de Port sentry Ingeniero Freddy Alfonso Beltran PortSentry es una herramienta de seguridad que permite monitorizar Puertos, con el objetivo de detectar intentos de scaneo del sistema. Posee un mecanismo que permite bloquear no solo el paquete , sino tambien el host, del cual proviene el paquete dado. En otras palabras Es un IDS (Sistema de deteccin de intrusin) dedicado a la deteccin de barridos de puertos y a la defensa activa. Ejemplo: suponga que se tiene sospecha en el que alguien esta intentando acceder a nuestra maquina y escanear nuestros servidores. Nosotros como buenos administradores debemos bloquear los paquetes sopechosos que entran de la direccion ip y su Ip respectivamente. Bueno manos a la obra para descargar vamos a la pagina http://sourceforge.net/projects/sentrytools/
bajamos la aplicacin portsentry-1.2.tar.gz
guardamos la aplicacin dando la opcion ok para este caso voy a guardarlo en el escritorio
damos la opcion guardar y despues comenzamos el proceso de descompresion tar -xzvf portsentry-1.2.tar.gz
despues me ubico en el directorio portsentry_beta/ freddy@beppo:~/Escritorio$ cd portsentry_beta/ despues aplico el comando
despues make install
pero para este caso voy a hacerlo para Ubuntu 9.10 descargando a traves del poder del apt de la siguiente manera
despues me sale esta pantalla que me indica , la configuracion basica de portsentry
despues de estoy voy a la carpeta /etc/portsentry y modifico el archivo portsentry.conf
Bueno en este archivo vamos a encontrar las lineas TCP_PORTS y UDP_PORTS el cual se definen los puertos que vamos a monitorear, ejemplo 21,22,23,25,110,143 esto significa que port sentry filtrara los paquetes en los puertos de los protocolos FTP,SSH,TELNET;SMTP,POP e IMAP para este caso agrego el puerto de ssh y de webmin el 10000
ahora busco la linea de #iptables support for linux donde se descomentarea para que portsentry trabaje con iptables y donde de estar la ruta por defecto de iptables
sino esta instalado en una terminal debo instalarlo asi
para este caso ya se encuentra instalado en nuestra maquina y la ruta es /sbin/iptables
por ultimo se elimina el simbolo de # de la linea KILL_HOST_DENY=ALL: $TARGET$ :DENY para que port sentry aada los hosts al archivo hosts.deny
Bueno aqu existe una setencia que me permite bloquear todo el que me quiera scanear el valor de 1 para que me bloque el valor de 0 para que me permitan el scaneo
ahora guardamos y despues arrancamos la monitorizacion de la siguiente manera: los puertos TCP
ahora verifico mi direccion IP para efectuar el scaneo con nmap
ahora lanzo el scaneo del nmap para ver que puertos estan activos en la maquina, para despues lanzar la consulta al puerto 22 que es de ssh
dentro de las variables de configuracion del archivo portsentry.conf tenemos donde se almacenan los logs de las operaciones de scaneo
vamos a mirar el history file que me permite ver la operacin de scaneo qye anteriormente se hizo
antes de esto me conecte al server por ssh desde un equipo remoto que tiene la direccion 172.16.10.135 Ahora el archivo portsentry.history
ahora viendo el archivo portsentry.blocked se observa la direccion bloqueada la 172.16.10.135 del tipo TCP
ahora veo el UDP que esta vacio por qye ssh solo trabaja sobre TCP
aqu ya el equipo esta bloqueado y ya no puede hacer nada !! hasta el proximo reinicio del portsentryque
ahora si No quiero bloquear una direccion es decir de un equipo conocido , lo defino aqu, me ubico en el directorio /etc/portsentry y abro el archivo para editarlo
bueno observamos que existe la 127.0.0.1 que es la local y la 0.0.0.0 que es toda la red estos equipos no se bloquean. Aqu se definen un solo equipo 172.16.10.125/32 o toda la red 172.16.4.0/22 por defecto tenriamos que quitar la 0.0.0.0 por que no iria a bloquear nada jejejej y no queremos esto. Y quedaria asi:
por ultimo reinciamos el servicio de portsentry
evidencias: Investigar y montar sobre maquina linux tcpwrappers y explicar su funcionamiento por medio de un ejemplo Bendiciones para todos