Portsentry

O intuito do Portsentry é abrir diversas portas falsas no host e bloquear tentativas de intrusão.

Instalando

apt install portsentry

Configurando

Em /etc/portsentry/portsentry.conf, habilite as regras de firewall de acordo com a sua utilização em KILL_ROUTE (por exemplo, podemos utilizar o iptables). Defina a opção BLOCK_TCP e BLOCK_UDP definidas como 1 para bloquear o host atacante. Nas flags TCP_PORTS e UDP_PORTS, utilize quantas portas quiser, desde que não seja portas que já esteja utilizando em outros serviços.

OBS.: Sempre que alterar esse arquivo de configuração, reinicie o serviço utilizando o comando: service portsentry restart

Quando realizamos um scan com o nmap contra a máquina que possui o portsentry e utilizamos a flag -sV, iremos receber um tcpwrapper no nome do serviço, indicando a conexão foi estabelecida mas depois o host encerrou/bloqueou a conexão.

Bloquando Stealth Scan

Por padrão o portsentry não bloqueia scan do Stealth Scan do nmap (parâmetro -sS), então utilize o comando abaixo para realizar esse bloqueio:

/usr/sbin/portsentry -stcp
PreviousSnortNextWeb Application

Last updated

Was this helpful?