secu:portsentry

Portsentry

(scan de ports)

Article reference: https://www.geeek.org/portsentry-linux-securite/

Cet utilitaire permet de bloquer en temps réel la plupart des scans de port connus (même très discrets et échappant aux règles de filtrage du firewall basiques).

Cependant, il ne faut pas paniquer si votre serveur est la cible d’un simple scan de port!

Installation

  $ apt-get install portsentry

- Ajoutez l'IP de votre serveur dans le fichier “portsentry.ignore.static” (pour ne pas bannir votre serveur)

  $ nano /etc/portsentry/portsentry.ignore.static 

- Editer le fichier de configuration principal de Portsentry :

  $ nano /etc/portsentry/portsentry.conf

- Laissez Portsentry ouvrir tous les ports disponibles avant le port 1024, port défini par défaut dans les paramètres ADVANCED_PORTS_TCP et ADVANCED_PORTS_UDP du fichier de configuration de Portsentry.

Vous pouvez aussi détecter les “stealth scan” en modifiant les paramètres aux valeurs suivantes, utile pour détecter les scans de ports furtifs :

   TCP_MODE="stcp"
   UDP_MODE="sudp"

Pour laisser Portsentry ouvrir tous les ports disponibles, vous devrez positionner les valeurs suivantes :

   TCP_MODE="atcp"
   UDP_MODE="audp"

Dans tous les cas, n'oubliez pas d'ouvrir votre Firewall sur les ports configurés pour que ces ports soient accessibles depuis Internet.

 $ sudo iptables -t filter -A INPUT -p tcp --match multiport --dports 1,2,3,4....  -j ACCEPT
 $ sudo iptables -t filter -A INPUT -p udp --match multiport --dports 1,2,3,4....  -j ACCEPT

Une fois ce paramétrage réalisé, vous pouvez modifier le comportement par défaut à réaliser en cas de détection de connexion par Portsentry :

# 0 = Ne rien faire, juste loguer ....
# 1 = Bloquer les ports au niveau du réseau
# 2 = Exécuter seulement une commande Linux externe (KILL_RUN_CMD)

BLOCK_UDP="0"
BLOCK_TCP="0"

La première option, l'option 0, vous permettra de loguer les tentatives d'accès, vous pourrez utiliser Fail2ban pour prendre en charge l'action de mise en prison de l'attaquant pendant une durée configurable avec une gestion de la récidive.

L'option 1 bloquera définitivement les flux réseau de l'attaquant dans votre firewall.

- Il ne vous reste plus qu'à démarrer le service :

  $ sudo service portsentry restart

Ensuite, vous pourrez vérifier les tentatives d'accès aux faux services que Portsentry expose sur Internet :

  $ sudo less /var/lib/portsentry.history

Vous devrez très vite voir apparaitre des IP dans ce fichier. D'autant plus si vous avez choisi d'ouvrir des ports sensibles comme les ports 139, 22, 3389 .. etc.

Enfin, pour permettre à Portsentry de démarrer à chaque redémarrage de votre serveur :

  $ sudo systemctl enable portsentry
  • secu/portsentry.txt
  • Dernière modification : 2022/11/08 16:43
  • de 127.0.0.1