comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Como protegernos de escaneos en nuestros servers (portsentry)

  • 0 Respuestas
  • 2244 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado july

  • *
  • Underc0der
  • Mensajes: 32
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« en: Noviembre 20, 2012, 12:16:38 pm »


En esta oportunidad vamos hablar de una utilidad llamada “Portsentry” la cual nos permite tener un monitoreo de los puertos de nuestro servidor y mediante reglas aplicar una accion a ciertos paquetes generados hacia ellos.

1. Instalacion:

Código: Bash
  1. apt-get install portsentry

Luego seguimos el wizard:

Una vez que terminamos con el wizard, seguimos de la siguiente manera:

2. Configuracion:

Código: Bash
  1. vi /etc/portsentry/portsentry.conf

Ya dentro del archivo vamos a configurar los siguiente parametros:

TCP_PORTS: Aqui es donde seteamos los puertos bajo el protocolo TCP que van hacer monitoreados

UDP_PORTS: Idem. del punto anterior pero en este caso se basa en el protocolo UDP

En nuestro caso como es un ejemplo practico, vamos a dejar los puertos por defaults.

Ahora pasemos a los parametros advanzados, estos son nombrados asi porque en esta ocacion la aplicacion no abre ningun puerto para su monitoreo como lo hizo en los parametros anteriores, sino que ahora le pide al Kernel que le notifique todos los pedidos hacia los puertos menores seteados en los parametros:

ADVANCED_PORTS_TCP=”1024″
ADVANCED_PORTS_UDP=”1024″

Como paso siguiente vamos a definir los puertos que no queremos que sean notificados por el Kernel.

ADVANCED_EXCLUDE_TCP=”113,139″
ADVANCED_EXCLUDE_UDP=”520,138,137,67″

Archivos adicionales de configuracion:

En este archivo seteamos todos los HOST que tenemos de confianza , para que nuestro sistema no tome como un ataque su request.

IGNORE_FILE=”/etc/portsentry/portsentry.ignore”
El archivo que configuramos debajo, contiene las direcciones IP que los HOST que solicitaron conectividad hacia los puertos monitoreados.

HISTORY_FILE=”/var/lib/portsentry/portsentry.history”

Este archivo contiene las direcciones IPs que nos estan solictando un request en el momento a los puertos, serian las IPs que estan atacando en tiempo real.

BLOCKED_FILE=”/var/lib/portsentry/portsentry.blocked”
Parametros sobre las acciones que se van a empleadar a la hora de llegar un request sobre el/los puertos.

BLOCK_UDP=”0″
BLOCK_TCP=”0″

En este caso tenemos seteado los 2 parametros en “0″, con esto lo que estamos haciendo es registrar los intentos. Debajo dejamos los diferentes seteos:

0: Solo registramos los intentos

1: Bloquemos la direccion IP de origen la cual esta enviando peticiones hacia nuestro server

2: Corremos un comando externo, el cual vamos a setear en el parametro KILL_CMD_RUN

Parametro de resolucion de DNS:

Aqui es donde seteamos si queremos que la aplicacion haga una resolucion de DNS sobre los HOST.

RESOLVE_HOST = “0″

Seteos sobre esta variable:

0: No resolvemos sobre los Host.

1: Hay una resolucion de DNS sobre los Hosts.

En nuestro caso vamos a pasar la parte de configuracion de las variables de KILL_ROUTER

La siguiente variable/parametro lo usamos para escribir en el archivo /etc/host.deny el cual tiene como funcion dropear toda conectividad desde la direccion IP guardada en el hacia nuestro servidor.

KILL_HOSTS_DENY=”ALL: $TARGET$ : DENY”

El parametro que hablaremos en la proxima linea tiene como funcion ejecutar el script seteado , como bien explicamos en las variables:

BLOCK_UDP=”0″
BLOCK_TCP=”0″

KILL_RUN_CMD=”/some/path/here/script $TARGET$ $PORT$ $MODE$”

En la siguiente variable, tenemos que tener cierta precaucion porque podemos hacer que nuestro sistema anule conexiones las cuales no son ataques hacia nosotros.

SCAN_TRIGGER=”0″

Un valor recomendado como bien vemos dentro del archivo de configuracion es un “2″.

Como ultima variable tenemos el seteo del banner que vamos a mostrar.

PORT_BANNER=”ACCESO DENEGADO”

3. Iniciacion de la apliacion:

portsentry -tcp: El sistema hace una verificacion sobre los puertos TCP que fueron seteados

portsentry -udp: Idem. del punto anterior pero ahora verifica los puertos UDP.

portsentry -stcp o -sudp: El sistema inicia en modo stealth, verificando los paquetes ( TCP o UDP segun nuestra eleccion a la hora del inicio) entrantes, si alguno de ellos es un pedido sobre los puertos monitoreados , el sistema dropea esta conexion.

portsentry -atcp: Iniciamos el sistema en modo Advanzado con lo cual usaremos como referencia la variable ADVANCED_PORTS_TCP.

portsentry -audp: Idem. del punto anterior pero vamos a usar ADVANCED_PORTS_UDP como referencia.

Bueno amigos esto es todo de la configuración basica de nuestro server.

Info. obtenida wikipeando
« Última modificación: Junio 05, 2015, 02:26:52 am por EPSILON »

 

¿Te gustó el post? COMPARTILO!



Cosas que debes saber acerca de los links, urls, hipervínculos o como los llames

Iniciado por Andrey

Respuestas: 0
Vistas: 1015
Último mensaje Abril 17, 2018, 04:28:58 pm
por Andrey
¿Como debo empezar para auditar un servidor web? - Nivel Intermedio

Iniciado por BrowserNet

Respuestas: 12
Vistas: 8076
Último mensaje Octubre 09, 2016, 02:24:36 am
por ceroMee
Cómo instalar y configurar ModSecurity en Apache sobre servidores Debian

Iniciado por d0r127

Respuestas: 2
Vistas: 2820
Último mensaje Mayo 04, 2017, 12:43:34 pm
por fran_
[UNDERtip] Como empezar a identificar fallos de seguridad en aplicaciones web.

Iniciado por rollth

Respuestas: 0
Vistas: 2567
Último mensaje Octubre 24, 2016, 09:07:44 pm
por rollth
Como hacer ataques DDoS [linux]

Iniciado por unkdown

Respuestas: 3
Vistas: 2518
Último mensaje Julio 21, 2015, 07:51:12 pm
por Baxtar