PortSentry ist ein IDS Programm welches ausschließlich zum erkennen von Portscanns geschrieben wurde. Die Stärke des Programms liegt in der Erkennung von halboffenen Verbindungsversuchen wie die von NMAP verwendet werden. Außerdem ist PortSentry in der Lage auf Portscanns zu reagieren zum Beispiel sperren eine IP durch die iptables. Das Programm läuft unter Linux und kann kostenlos aus dem Internet bezogen werde. Sie finden es unter folgenden URL.
http://sourceforge.net/projects/sentrytools/
Nachdem die Datei herunter geladen wurde muss diese entpackt und kompiliert werden.
tar -xzf portsentry-1.2.tar.gz
make linux
make install
Als nächstes müssen wir die Configdatei öffnen und anpassen. Sie finden die Datei unter
/usr/local/psionic/portsentry/portsentry.conf
Sollten Sie als Reaktion auf ein Portscann die IP Adresse des Scanners sperren, müssen Sie in der folgende Zeile Kommentarzeichen (#) löschen..
KILL_ROUTE="iptables -I INPUT -s $TARGET$ -j DROP"
Und schon sind wir fertig. Nach dem start von PortSentry ist die Erkennung von Portscanns betriebsbereit.
Sie sollten vorsichtig mit den automatischen hinzufügen von iptables Regeln sein. Es ist für den Angreifer keine große Arbeit ein Portscann von tausenden gespooften IP Adressen zustarten. So kann es passieren das PortSentry binnen Sekunden tausende Regeln generiert und die iptables Tabelle überflutet.
|
