PortSentry - узнай своих врагов в лицо - Net - Сеть - Каталог статей - Документация по ОС FreeBSD

	Документация по ОС FreeBSD	Четверг, 30.01.2025, 17:08
		Главная Регистрация Вход

Приветствую Вас Гость | RSS

Меню сайта

Категории каталога

Apache [58]

DNS [25]

FTP [27]

Mail [74]

Samba [24]

Squid [46]

SSH [23]

VPN [35]

РРР [20]

Net [173]

Главная » Статьи » Сеть » Net

PortSentry - узнай своих врагов в лицо

Основная задача этой программы - отслеживание попыток сканирования системы. Ведь сканирование системы является прелюдией к более серьезным действиям со стороны сканирующего. Она определяет факт сканирования и (по выбору) реагируюетна него следующими действиями: Регистрирует событие при помощи syslog() Автоматически прописывает адрес сканирующего в файл/etc/hosts.deny Перенастраивает систему так, что весь трафик с вражеского адреса перекидывается на т.н. "мертвый" хост, что создает эффект "исчезновения" твоего компьютера из сети. Все IP пакеты, поступающие с "опасного" хоста, начинаются прогонятся через локальный фильтр IP пакетов. От других утилит, выполняющих подобные действия, portsentry отличается более гибкой системой реакции на "ощупывание" системы и улучшенным мезанизмом распознавания stealth-сканирования. Программа распологает несколькими методами stealth-распознавания, но основными являются следующие два. Первый метод заключается в том, что portsentry "пасет" определенные порты и начинает действовать при попытке "воткнуться" в них. Второй метод называется "инверсивным". В этом случае программа прослушивает все порты определенного диапазона. Последний метод, конечно, более эффективен в плане защиты, но также чреват большим количеством ложных тревог. Теперь приступим к скачиванию, установке и запуску portsentry. Итак, первым делом идем на http://www.psionic.com. Это официальнай страница проекта, который занимался разработкой нужной нам утилиты. Там мы хватаем файл под название portsentry-*.tar.gz, скачиваем его, помещаем в папку, которую мы отвели для архивов, и разжимаем с помощью команды tar zxvf portsentry-.tar.gz. Затем переходим в новообразовавшуюся папку и начинаем колдовать:) . Прежде всего открываем файл Makefile и меняем строку CC=cc на CC=egcs и строку INSTALLDIR=/usr/local/psionic INSTALLDIR=/usr/psionic. После этого открываем файл portsentry_config.h и там производим замену #defile CONFIG_FILE "/usr/local/psionic/portsentry/ portsentry.conf" на #defile CONFIG_FILE "/usr/ psionic/portsentry/ portsentry.conf". Основная подготовка исходников к компиляции готова. Тепрь компилируем и устанавливаем. Программа установленна, но теперь ее надо отконфигурировать и запустить. Конфигурирование portsentry производится с помощью файла /usr/psionic/portsentry/portsentry.conf. Ниже я приведу пример готового конфигурационного файла. ################### # Port Configurations # ################### TCP_PORTS="1, 11, 15, 79, 111, 119, 143, 540, 635, 1080, 1524, 2000, 5742, 6667, 123456, 20034, 31337, 32771, 32772, 32773, 32774, 40421, 49724, 54320" UDP_PORTS="1, 7, 9, 69, 161, 162, 513, 635, 640, 641, 700, 32770, 32771, 32772, 32773, 32774, 31337, 54321" ##################################### # Advanced Dtealth Scan Detection Options # ##################################### ADVANCED_PORTS_TCP="1023" ADVANCED_PORTS_UDP="1023" ADVANCED_EXCLUDE_TCP="113, 139" ADVANCED_EXCLUDE_UDP="520, 138, 137, 67" ################### # Configuration Files # ################### IGNORE_FILE="/usr/psionic/portsentry/portsentry.ignore" HISTORY_FILES="/usr/psionic/portsentry/portsentry.history" BLOCED_FILE="/usr/psionic/portsentry/portsentry.bloced" ############### # Ignore Options # ############### BLOCK_UDP="1" BLOCK_TCP="1" ############### # TCP Wrappers # ############### KILL_HOSTS_DENY="ALL: $TARGET$" ################## # Scan trigger value # ################## SCAN_TRIGGER="0" ##################### # Port Banner Selection # ##################### PORT_BANNER="* UNAUTHORIZED ACCESS PROHIBITED *** YOUR CONNECTION ATTEMPT HAS BEEN LOGGED. GO AWAY." Хочется отметить, что приведенный файл является ПРИМЕРОМ, и для того, чтобы portsentry заработал по-настоящем, нужно написать конфиг самостоятельно и под себя. Теперь нам нужно отредактировать usr/psionic/portsentry.ignore файл. Это просто. Надо всего лишь добавить тyда 127.0.0.1 и 0.0.0.0. Львиная доля работы закончена! Но это еще не все. Теперь нам надо этот самый portsentry запустить. Все дело в том, что программа может быть запущенна в ШЕСТИ режимах. Режимы работы задаются аргументами коммандной строки при запуске программы, и для каждого из них необходимо запустить отдельный процесс. "-tcp", "-udp", "-stcp", "-sudp", "-atcp", "-audp". Автор: Daemon News Russia Добавлено: freebyte Небольшая поправка по поводу предотвращения Stealth сканирования: В версиях 1.x для пользователей FreeBSD эта возможность недоступна,о чем заботливо написано в документации.То есть возможен запуск только с опциями -tcp -udp В версии 2.01b эта возможность вроде появилась,но поставить ее я себе так и не смог. Если у кого нибудь получилось-буду рад услышать об этом.
Категория: Net \| Добавил: oleg (11.11.2007)
Просмотров: 1040 \| Рейтинг: 3.0/2 \|

Всего комментариев: 0

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]

Форма входа

Beastie

Друзья сайта

BSDPORTAL.RU Портал по FReeBSD

Powered by djbdns

Статистика

Онлайн всего: 1

Гостей: 1

Пользователей: 0

links

Copyright MyCorp © 2025