Portsentry
O intuito do Portsentry é abrir diversas portas falsas no host e bloquear tentativas de intrusão.
Instalando
Configurando
Em /etc/portsentry/portsentry.conf, habilite as regras de firewall de acordo com a sua utilização em KILL_ROUTE (por exemplo, podemos utilizar o iptables). Defina a opção BLOCK_TCP e BLOCK_UDP definidas como 1 para bloquear o host atacante. Nas flags TCP_PORTS e UDP_PORTS, utilize quantas portas quiser, desde que não seja portas que já esteja utilizando em outros serviços.
OBS.: Sempre que alterar esse arquivo de configuração, reinicie o serviço utilizando o comando: service portsentry restart
Quando realizamos um scan com o nmap contra a máquina que possui o portsentry e utilizamos a flag -sV, iremos receber um tcpwrapper no nome do serviço, indicando a conexão foi estabelecida mas depois o host encerrou/bloqueou a conexão.
Bloquando Stealth Scan
Por padrão o portsentry não bloqueia scan do Stealth Scan do nmap (parâmetro -sS), então utilize o comando abaixo para realizar esse bloqueio:
Last updated