--> portsentry - um ids ativo

o portsentry � um projeto j� bem antigo de ids/firewall. trata-se de um software

muito interessante, flex�vel e bem f�cil de se lidar. portsentry � uma aplica��o
muito simples de ser utilizada, escrita para sistemas gnu/linux com o objetivo de
ajudar usu�rios a manter crackers longe do sistema, barrando portscanners e outras
tentativas de burlar sua seguran�a.

o portsentry foi desenvolvido pelo pessoal da psionic.com, que hoje faz parte da
cisco:
http://newsroom.cisco.com/dlls/corp_102202.html
http://sourceforge.net/forum/forum.php?forum_id=275043

--> projeto sentry tools

o portsentry foi concebido como parte do projeto sentry tools, que tem al�m dele,
o logcheck, uma ferramenta de checagem de logs de maneira eficiente e bem simples
tamb�m.

o projeto sentry tools veio para ajudar usu�rios e admins que n�o tem muita
experi�ncia em seguran�a a conseguirem um padr�o um pouco mais elevado de
seguran�a em seus sistemas de maneira simples e bem intuitiva.

- http://sourceforge.net/projects/sentrytools

--> instalando

1 - depois de fazer o donwload no site acima

2 - tar -xzvf portsentry-1.2.tar.gz

ou ftp://194.199.20.114/linux/freshrpms/redhat/9/portsentry/portsentry-1.1-
fr8.src.rpm

rpm -ivh portsentry.rpm ; cd /usr/src/rpm/specs/ ; rpm -ba portsentry.spec )

3 - cd ~/portsentry_beta

4 - !! vi portsentry_config.h !!

5 - vi portsentry.c (linha 1585)

6 - make linux ; make install

--> configurando

1 - vi /usr/local/psionic/portsentry/portsentry.conf

aqui est�o as portas tcp/udp que o portsentry vai "guardar". analise as portas que
tem em cada lista, as portas verdadeiras de seu sistema n�o devem constar nesta
lista, ok? caso contr�rio, o ps vai bloquear as tentativas de conex�o nelas.

2 -
######################
# configuration files#
######################
#

# hosts to ignore = hosts que o portsentry deve ignorar, hosts que estiverem nesta
lista n�o ser�o analisados por ele
ignore_file="/usr/local/psionic/portsentry/portsentry.ignore"

# hosts that have been denied (running history) = tudo que o ps j� fez, desde
analisar conex�es at� bloquear
history_file="/usr/local/psionic/portsentry/portsentry.history"

# hosts that have been denied this session only (temporary until next restart) =
lista negra do portsentry, os atacantes bloqueados por ele e os hosts que ele
considera como perigosos.
blocked_file="/usr/local/psionic/portsentry/portsentry.blocked"

3 - kill_route="/usr/local/sbin/iptables -i input -s $target$ -j drop"

kill_route="/usr/sbin/iptables -a input -s $target$ --dport $ports$ -j drop"

obs: $target$ = ip do atacante que ele detectou.

como voc� pode ver, � uma regra simples, voc� pode melhorar a regra do jeito que
achar melhor

4 - kill_run_cmd="echo ataque detectado vindo de: $target$ >>

/var/log/portsentry.log"

kill_run_cmd_first = "1"

5 - vi /usr/local/psionic/portsentry/portsentry.ignore

--> fucionamento

o portsentry pode utilizar seis modos diferentes

- a primeira � a "-tcp" e � o modo b�sico.

com esta op��o o portsentry restringir� os portas tcp encontrados no arquivo de
configura��o. pode restringir at� um limite de 64 portas.

- a segunda � a "-udp" e faz o mesmo que anterior mas para os portas udp.

- a terceira � a "-stcp", o "s" significa stealth (dif�cil de detectar). com a

op��o "-stcp", o portsentry utiliza sockets para monitorizar os pacotes de
entrada, ou seja os portas n�o est�o reservados para nada.

- a quarta � a "-sudp" e faz o mesmo que a anterior mas para os portas udp.

- a quinta e sexta s�o "-atcp" e "-audp". s�o as op��es mais eficazes ("a"
significa avan�ado). utilizando estas op��es o portsentry faz uma lista dos portas
que est�o � escuta, tcp e udp, se seleccionar ambos ele bloqueia a m�quina que se
ligar a estes portas, exceto se a m�quina est� presente no arquivo
portsentry.ignore.
-->>>> ver os readmes <<---

--> executando

1 - /usr/local/psionic/portsentry/portsentry -tcp

2 - tail -f /var/log/syslog

--> testando

telnet ip 143

- verificar /var/log/syslog
- verficar /usr/local/psionic/portsentry/...blocked....history
- verificar /var/log/portsentry.log
- verficar iptables

nmap -st -o ip (testar com niveis de scan trigger 0-2, restartar portsentry)

verficar logs

-- verificar metodos nmap com modos do portsentry

--> init script

http://linux.cudeso.be/linuxdoc/portsentry.php
http://www.falkotimme.com/howtos/chkrootkit_portsentry/index.php

--> snort x portsentry

http://www.linux.ie/articles/portsentryandsnortcompared.php
http://www.linuxexposed.com/articles/security/portsentry-vs-snort.html

fontes:
http://www.linuxit.com.br/section-viewarticle-536.html
http://www.tldp.org/linuxfocus/portugues/september2001/article214.shtml
http://www.linuxsecurity.com.br/renato/antiscan.html
http://www.securityfocus.com/infocus/1580

vamos ver agora como instalar e configurar o portsentry e assim tornar nosso linux
ainda mais seguro.