Différences

Ci-dessous, les différences entre deux révisions de la page.

--- secu:portsentry [2020/04/14 10:12] – erreur32
+++ secu:portsentry [2022/11/08 16:43] (Version actuelle) – modification externe 127.0.0.1
@@ Ligne 1: / Ligne 1: @@
 ======   Portsentry ======
 (scan de ports)
+Article reference: https://www.geeek.org/portsentry-linux-securite/
  Cet utilitaire permet de bloquer en temps réel la plupart des scans de port connus (même très discrets et échappant aux règles de filtrage du firewall basiques).
-Cependant, il ne faut pas paniquer si votre serveur est la cible d’un simple scan de port, cela sera monnaie courante, et si vous êtes bien protégé, le pirate passera sa route.  Portsentry est donc sympa si vous voulez compliquer la tâche de l’attaquant :
+<note important>Cependant, il ne faut pas paniquer si votre serveur est la cible d’un simple scan de port!</note>
-   apt-get install portsentry
+====== Installation  ======
+    $ apt-get install portsentry
 =====  Pour le configurer :   =====
-      nano /usr/local/psionic/portsentry/portsentry.conf
- Commentez les lignes   **  KILL_HOSTS_DENY**.
- Décommentez la ligne  **  KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP"**.
+- Ajoutez l'IP de votre serveur dans le fichier "portsentry.ignore.static" (pour ne pas bannir votre serveur)
+    $ nano /etc/portsentry/portsentry.ignore.static
+- Editer le fichier de configuration principal de Portsentry :
+    $ nano /etc/portsentry/portsentry.conf
+- Laissez Portsentry ouvrir tous les ports disponibles **avant le port 1024**, port défini par défaut dans les paramètres ADVANCED_PORTS_TCP et ADVANCED_PORTS_UDP du fichier de configuration de Portsentry.
+Vous pouvez aussi détecter les "**stealth scan**" en modifiant les paramètres aux valeurs suivantes, utile pour détecter les scans de ports furtifs :
+     TCP_MODE="stcp"
+     UDP_MODE="sudp"
+Pour laisser Portsentry ouvrir tous les ports disponibles, vous devrez positionner les valeurs suivantes :
+     TCP_MODE="atcp"
+     UDP_MODE="audp"
+Dans tous les cas, n'oubliez pas d'ouvrir votre Firewall sur les ports configurés pour que ces ports soient accessibles depuis Internet.
+   $ sudo iptables -t filter -A INPUT -p tcp --match multiport --dports 1,2,3,4....  -j ACCEPT
+   $ sudo iptables -t filter -A INPUT -p udp --match multiport --dports 1,2,3,4....  -j ACCEPT
+Une fois ce paramétrage réalisé, vous pouvez modifier le comportement par défaut à réaliser en cas de détection de connexion par Portsentry :
+<code>
+# 0 = Ne rien faire, juste loguer ....
+# 1 = Bloquer les ports au niveau du réseau
+# 2 = Exécuter seulement une commande Linux externe (KILL_RUN_CMD)
+BLOCK_UDP="0"
+BLOCK_TCP="0"
+</code>
+ La première option, l'option 0, vous permettra de loguer les tentatives d'accès, vous pourrez utiliser Fail2ban pour prendre en charge l'action de mise en prison de l'attaquant pendant une durée configurable avec une gestion de la récidive.
+//L'option 1 bloquera définitivement les flux réseau de l'attaquant dans votre firewall.//
+- Il ne vous reste plus qu'à démarrer le service :
+    $ sudo service portsentry restart
+Ensuite, vous pourrez vérifier les tentatives d'accès aux faux services que Portsentry expose sur Internet :
+    $ sudo less /var/lib/portsentry.history
+Vous devrez très vite voir apparaitre des IP dans ce fichier. D'autant plus si vous avez choisi d'ouvrir des ports sensibles comme les ports 139, 22, 3389 .. etc.
+Enfin, pour permettre à Portsentry de démarrer à chaque redémarrage de votre serveur :
- Ainsi, Portsentry ajoutera une règle dans le firewall (iptables) pour rejeter les paquets en cas de scans.  On démarre le logiciel (il faut le lancer deux fois, pour TCP et UDP) :
+    $ sudo systemctl enable portsentry
-    portsentry –audp
+ {{tag>portsentry secu debian linux}}
-    portsentry –atcp