Portsentry (scan de ports)

Cet utilitaire permet de bloquer en temps réel la plupart des scans de port connus (même très discrets et échappant aux règles de filtrage du firewall basiques). Je rappelle au passage que scanner les ports signifie tester tous les ports d’une machine afin de déterminer ceux qui sont ouverts (les portes d’entrées en gros). Cependant, il ne faut pas paniquer si votre serveur est la cible d’un simple scan de port, cela sera monnaie courante, et si vous êtes bien protégé, le pirate passera sa route.

Portsentry est donc sympa si vous voulez compliquer la tâche de l’attaquant :

apt-get install portsentry

Pour le configurer :

nano /usr/local/psionic/portsentry/portsentry.conf

Commentez les lignes

KILL_HOSTS_DENY.

Décommentez la ligne

KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP".

Ainsi, Portsentry ajoutera une règle dans le firewall (iptables) pour rejeter les paquets en cas de scans.

On démarre le logiciel (il faut le lancer deux fois, pour TCP et UDP) :

  portsentry –audp
  portsentry –atcp