Portsentry (скан nmap-ом проходит)

[K2el]

Делаю следующее:
1.Устанавливаю portsentry из портов
2. Правлю конфиг /usr/local/etc/portsentry.conf

Код: Выделить всё

TCP_PORTS="1,11,15,23,79,81,111,119,540,635,1080,1524,2000,5742,6667,8080,8085"
UDP_PORTS="1,7,9,69,513,635,640,641,700"

ADVANCED_PORTS_TCP="1024"
ADVANCED_PORTS_UDP="1024"

ADVANCED_EXCLUDE_TCP="113,139"
ADVANCED_EXCLUDE_UDP="520,138,137,67"

IGNORE_FILE="/usr/local/etc/portsentry.ignore"

HISTORY_FILE="/usr/local/etc/portsentry.history"

BLOCKED_FILE="/usr/local/etc/portsentry.blocked"

RESOLVE_HOST = "1"

BLOCK_UDP="1"
BLOCK_TCP="1"


KILL_ROUTE="/sbin/ipfw add 2 deny all from $TARGET$:255.255.255.255 to any"


KILL_RUN_CMD_FIRST = "0"

KILL_RUN_CMD="/usr/script/work/scan_port_mail.sh $TARGET$ $PORT$"


SCAN_TRIGGER="0"

3. Добавляю в правила файрвола:

Код: Выделить всё

${FwCMD} add allow tcp from any to ${IpOut} \
1,11,15,23,79,81,111,119,540,635 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} \
1080,1524,2000,5742,6667,8080,8085 via ${LanOut}
${FwCMD} add allow udp from any to ${IpOut} \
1,7,9,69,513,635,640,641,700 via ${LanOut}

4. Перезагружаю правила для файрвола и запускаю portsenty

Код: Выделить всё

sh rc.firewall &
/usr/local/etc/rc.d/portsentry.sh start

5. Смотрю открытые порты
sockstat | grep ports

Код: Выделить всё

root     portsentry 564   0  udp4   *:1                   *:*
root     portsentry 564   1  udp4   *:7                   *:*
root     portsentry 564   2  udp4   *:9                   *:*
root     portsentry 564   3  udp4   *:69                  *:*
root     portsentry 564   4  udp4   *:513                 *:*
root     portsentry 564   5  udp4   *:635                 *:*
root     portsentry 564   6  udp4   *:640                 *:*
root     portsentry 564   7  udp4   *:641                 *:*
root     portsentry 564   8  udp4   *:700                 *:*
root     portsentry 562   0  tcp4   *:1                   *:*
root     portsentry 562   1  tcp4   *:11                  *:*
root     portsentry 562   2  tcp4   *:15                  *:*
root     portsentry 562   3  tcp4   *:23                  *:*
root     portsentry 562   4  tcp4   *:79                  *:*
root     portsentry 562   5  tcp4   *:81                  *:*
root     portsentry 562   6  tcp4   *:111                 *:*
root     portsentry 562   7  tcp4   *:119                 *:*
root     portsentry 562   8  tcp4   *:540                 *:*
root     portsentry 562   9  tcp4   *:635                 *:*
root     portsentry 562   10 tcp4   *:1080                *:*
root     portsentry 562   11 tcp4   *:1524                *:*
root     portsentry 562   12 tcp4   *:2000                *:*
root     portsentry 562   13 tcp4   *:5742                *:*
root     portsentry 562   14 tcp4   *:6667                *:*
root     portsentry 562   15 tcp4   *:8080                *:*
root     portsentry 562   16 tcp4   *:8085                *:*

6. Запускаю nmap (с этой же машины, в игнорируемых хостах ее нет)
В итоге скан проходин и portsenry его не останавливает.
В чем проблема?

[WarlorD]

ну значит мож не умеет эта софтина полностью защитить от скана, да и зачем она собственно? проще уж с файрволом поиграться, взгляни, например nmap -sT 217.174.96.150. -sV проверять не рекомендую - очень долго будет. Ну и проверять такие вещи лучше не с той же самой машины-то.

[K2el]

По идее эта прога должна защищать от скана иначе зачем она... А то что я со своей машины сканю....дык я ее из игнора убрал, так что прога должна прерывать скан

[Olden Gremlin]

По идее эта прога должна защищать от скана иначе зачем она... А то что я со своей машины сканю....дык я ее из игнора убрал, так что прога должна прерывать скан

"по идее" эта прога ни от какого скана не защищает
она просто детектит вторжения и атаки, а затем ее можно сконфигурить на то как на ЭТО реагировать.
имхо трудно требовать от софта тех действий на которые он не расчитан

[K2el]

Ну дык я все настроил...но работать она не хотит...в чем проблема?

[Olden Gremlin]

Ну дык я все настроил...но работать она не хотит...в чем проблема?

Код: Выделить всё

grep portsentry /var/log/syslog

что рисует?

[K2el]

вот вывожу только
grep portsentry /var/log/messages:

Код: Выделить всё

Jan 15 16:29:42 localhost portsentry[651]: adminalert: PortSentry 1.2 is starting.
Jan 15 16:29:42 localhost portsentry[652]: adminalert: Going into listen mode on TCP port: 1
Jan 15 16:29:42 localhost portsentry[652]: adminalert: Going into listen mode on TCP port: 11
Jan 15 16:29:42 localhost portsentry[652]: adminalert: Going into listen mode on TCP port: 15
Jan 15 16:29:42 localhost portsentry[652]: adminalert: Going into listen mode on TCP port: 23
Jan 15 16:29:42 localhost portsentry[652]: adminalert: Going into listen mode on TCP port: 79
Jan 15 16:29:42 localhost portsentry[652]: adminalert: Going into listen mode on TCP port: 81
Jan 15 16:29:42 localhost portsentry[652]: adminalert: Going into listen mode on TCP port: 111
Jan 15 16:29:42 localhost portsentry[652]: adminalert: Going into listen mode on TCP port: 119
Jan 15 16:29:42 localhost portsentry[652]: adminalert: Going into listen mode on TCP port: 540
Jan 15 16:29:42 localhost portsentry[652]: adminalert: Going into listen mode on TCP port: 635
Jan 15 16:29:42 localhost portsentry[652]: adminalert: Going into listen mode on TCP port: 1080
Jan 15 16:29:42 localhost portsentry[652]: adminalert: Going into listen mode on TCP port: 1524
Jan 15 16:29:42 localhost portsentry[652]: adminalert: Going into listen mode on TCP port: 2000
Jan 15 16:29:42 localhost portsentry[652]: adminalert: Going into listen mode on TCP port: 5742
Jan 15 16:29:42 localhost portsentry[652]: adminalert: Going into listen mode on TCP port: 6667
Jan 15 16:29:42 localhost portsentry[652]: adminalert: Going into listen mode on TCP port: 8080
Jan 15 16:29:42 localhost portsentry[652]: adminalert: Going into listen mode on TCP port: 8085
Jan 15 16:29:42 localhost portsentry[652]: adminalert: PortSentry is now active and listening.
Jan 15 16:29:42 localhost portsentry[653]: adminalert: PortSentry 1.2 is starting.
Jan 15 16:29:42 localhost portsentry[654]: adminalert: Going into listen mode on UDP port: 1
Jan 15 16:29:42 localhost portsentry[654]: adminalert: Going into listen mode on UDP port: 7
Jan 15 16:29:42 localhost portsentry[654]: adminalert: Going into listen mode on UDP port: 9
Jan 15 16:29:42 localhost portsentry[654]: adminalert: Going into listen mode on UDP port: 69
Jan 15 16:29:42 localhost portsentry[654]: adminalert: Going into listen mode on UDP port: 513
Jan 15 16:29:42 localhost portsentry[654]: adminalert: Going into listen mode on UDP port: 635
Jan 15 16:29:42 localhost portsentry[654]: adminalert: Going into listen mode on UDP port: 640
Jan 15 16:29:42 localhost portsentry[654]: adminalert: Going into listen mode on UDP port: 641
Jan 15 16:29:42 localhost portsentry[654]: adminalert: Going into listen mode on UDP port: 700
Jan 15 16:29:42 localhost portsentry[654]: adminalert: PortSentry is now active and listening.

[Olden Gremlin]

вот вывожу только
grep portsentry /var/log/messages:

Код: Выделить всё

Jan 15 16:29:42 localhost portsentry[651]: adminalert: PortSentry 1.2 is starting.
...
Jan 15 16:29:42 localhost portsentry[654]: adminalert: PortSentry is now active and listening.

ну! отлично! демон работает!
проблема, как я вижу, может быть в другом.

Код: Выделить всё

KILL_ROUTE="/sbin/ipfw add 2 deny all from $TARGET$:255.255.255.255 to any"

хоть я и не большой спец во фре, но в древних линуксах ipfw использовался, а основные механихмы файрвола не настолько уж и изменились так вот... имхо у тебя разрешающие правила отрабатывают раньше, чем добавленный portsentry запрет.
могу предложить переписать диерктиву KILL_ROUTE. например можно сказать так:

Код: Выделить всё

KILL_ROUTE="route add -net $TARGET$ -netmask 255.255.255.255 127.0.0.1 -blackhole"

[K2el]

Тоже самое....ничего не блакируется

[Olden Gremlin]

Тоже самое....ничего не блакируется

Так. Мы наверное разговариваем на разных языках.
Что должно блокироваться?
TARGET будет блокирован тогда и только тогда, когда portsentry посчитает, что с этого адреса производится атака!
Все!
Во всех остальных случаях он просто будет отслеживать и накапливать статистику о потенциальных нападениях(?)!
При этом portsentry слушает порты объявленные в TCP_PORTS и UDP_PORTS. Он их не блокирует! И не должен блокировать! Он служит, как бы, ловушкой для злоумышленников!
Или что вообще мы ожидаем от ЭТОЙ программы?
Кофе заваривать она точно не умеет!

[K2el]

как это она только слушает??

Код: Выделить всё

# Какие телодвижения предпринимать при обнаружении сканирования:
# 0 = ничё не делать - некатит, такая опция :)
# 1 = заблокировать хост и запустить внешнюю команду
# 2 = только запустить внешнюю команду BLOCK_UDP="1"
BLOCK_TCP="1"
# команда на блокирование хоста. я использую IPFW поэтому им и блокирую.
# а вообще рекомендую посмотреть пример конфига, котороый идёт с программой
# там есть и другие варианы, в частностью с помощью роутинга...
KILL_ROUTE="/sbin/ipfw add 2 deny all from $TARGET$:255.255.255.255 to any"
# Если поставить 1 то вначале запускается KILL_RUN_CMD а потом
# уже KILL_ROUTE, ну и наоборот если 0

вот ссылка на стать по которой я все делал http://www.lissyara.su/?id=1145

[Olden Gremlin]

как это она только слушает??

Код: Выделить всё

# Какие телодвижения предпринимать при обнаружении сканирования:
# 0 = ничё не делать - некатит, такая опция :)
# 1 = заблокировать хост и запустить внешнюю команду
# 2 = только запустить внешнюю команду BLOCK_UDP="1"
BLOCK_TCP="1"
# команда на блокирование хоста. я использую IPFW поэтому им и блокирую.
# а вообще рекомендую посмотреть пример конфига, котороый идёт с программой
# там есть и другие варианы, в частностью с помощью роутинга...
KILL_ROUTE="/sbin/ipfw add 2 deny all from $TARGET$:255.255.255.255 to any"
# Если поставить 1 то вначале запускается KILL_RUN_CMD а потом
# уже KILL_ROUTE, ну и наоборот если 0

вот ссылка на стать по которой я все делал http://www.lissyara.su/?id=1145

да. действительно. анонсировано, что не только слушает!
однако из тех функций, которые анонсированы - все отрабатывало, как часики...
читаем оригинал. без перевода. может это даст нам больше информации:

Код: Выделить всё

##################
# Ignore Options #
##################
# These options allow you to enable automatic response
# options for UDP/TCP. This is useful if you just want
# warnings for connections, but don't want to react for
# a particular protocol (i.e. you want to block TCP, but
# not UDP). To prevent a possible Denial of service attack
# against UDP and stealth scan detection for TCP, you may
# want to disable blocking, but leave the warning enabled.
# I personally would wait for this to become a problem before
# doing though as most attackers really aren't doing this.
# The third option allows you to run just the external command
# in case of a scan to have a pager script or such execute
# but not drop the route. This may be useful for some admins
# who want to block TCP, but only want pager/e-mail warnings
# on UDP, etc.
#
#
# 0 = Do not block UDP/TCP scans.
# 1 = Block UDP/TCP scans.
# 2 = Run external command only (KILL_RUN_CMD)

BLOCK_UDP="0"
BLOCK_TCP="0"

вышеприведенный перевод не терпит никакой критики
если "не блокировать UDP/TCP сканирование" означает "ничё не делать - некатит, такая опция " и если "блокировать UDP/TCP сканирование" переводится как "заблокировать хост и запустить внешнюю команду" - я рад за переводчика и иду учить албанский
я правда не знаю по каким критериям portsentry блокирует сканирование, но имхо защититься от сканирования на все 100% просто невозможно. ведь существует не один способ просканировать порты! поэтому достаточно удовлетвориться вариантом "0". portsentry достаточно нормально отслеживает сканирование портов. после обнаружения детекта срабатывает KILL_ROUTE, а при желании можно еще и внешний скрипт запустить KILL_RUN_CMD_FIRST.
проверено!
а вообще защиту от сканирования портов "лапками" делать можно.
опять таки... никто не говорит о том, что это 100% защита. но ради скана 10 открытых портов потратить, скажем три-четыре часа... для этого нужны серъезные мотивы.

[K2el]

И какой мне из всего этого вывод делать?
Мне нужна программа для предотвращения сканирования. Из всего выше сказанного ничего дельного я пока не нашел...
В той статье, которую я дал выше все якобы работает(там сканят опять таки nmap-ом) У меня же не только не прерывает скан, он его не фиксирует! В логах пусто....че делать то?

[Kaz_n]

И какой мне из всего этого вывод делать?
Мне нужна программа для предотвращения сканирования. Из всего выше сказанного ничего дельного я пока не нашел...
В той статье, которую я дал выше все якобы работает(там сканят опять таки nmap-ом) У меня же не только не прерывает скан, он его не фиксирует! В логах пусто....че делать то?

Лично у меня при сканах portsentry добавляет все ip потенциальных хакеров в /etc/hosts.deny ну и плюс сами логи portsentry.
Вот фишка с iptables не хочет работать, но думаю смысл использовать эту IDS все таки есть, хоть и маленький

[Olden Gremlin]

Делаю следующее:
1.Устанавливаю portsentry из портов
..
6. Запускаю nmap (с этой же машины, в игнорируемых хостах ее нет)
В итоге скан проходин и portsenry его не останавливает.
В чем проблема?

Нескромный вопрос...
Сразу как-то не обратил внимания.
с этой же машины - ты хочешь сам себя заблокировать?
А "со стороны" попробовать просканировать? Тот-же результат?

[K2el]

Пробовал с машины из сети, тоже самое ... логов нет

[K2el]

неужто никто не может разобраться с этим багом? Подругому просто незнаю как сие назвать, пробовал переустанавливать из портов. Результат один - логов о попытке скана нет, блокирование сканящего тоже нет, есть предложения?

[7biohazard7]

А сканите nmap -sS ?

[K2el]

А сканите nmap -sS ?

Сканировал всячески..... в том числе и так.....
Вот привожу еще конфиг своего файрвола...мало ли он виновник:

Код: Выделить всё

#!/bin/sh

# для начала вводим переменные - для нашего же удобства, чтобы не
# вводить по сотне раз одно и то же, а потом искать почему не работает,
# и в итоге выяснять, что ошибся IP адресом в одном из правил

FwCMD="/sbin/ipfw"      # собственно где лежит бинарник ipfw
LanOut="sis0"           # внешний интерфейс
IpOut="192.168.1.15"    # внешний IP адрес машины
NetMask="255.255.255.0" # маска сети (если она разная для внешней
                        # и внутренней сети - придётся вводить ещё
                        # одну переменную, но самое забавное, что
                        # можно и забить - оставить 24 - всё будет
                        # работать, по крайней мере я пробовал -
                        # работаало на 4-х машинах, в разных сетях,
                        # с разными масками - настоящими разными! но -
                        # это неправильно.)
            # Сбрасываем все правила:
${FwCMD} -f flush
            # Проверяем - соответствует ли пакет динамическим правилам:
${FwCMD} add check-state
            # Разрешаем весь траффик по внутреннему интерфейсу (петле)
            # Вообще я во многих местах читал что без него может ничё не заработать вообще
            # и прочие страшилки. Работает - почта, апач, .... А вот squid - не работает :)
            # так что без него и правда - никуда.
${FwCMD} add allow ip from any to any via lo0
            # рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0 (вот честно - ни
            # одного пакета по этим правилам не зарубилось за всё время... Может в этом
            # моё счастье? :))
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
            # Вводим запреты:
            # режем частные сети на внешнем интерфейсе - по легенде он у нас
            # смотрит в интернет, а значит пакетам этим браться неоткуда на нём.
            # рубим частные сeти
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
            #${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
            # рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
            # рубаем мультикастовые рассылки
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
            # рубим фрагментированные icmp
${FwCMD} add deny icmp from any to any frag
            # рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}


            # а тут собственно файрволл и начался:
            # рубим траффик к частным сетям через внешний интерфейс
            # заметтьте - эти правила отличаются от тех что были выше!
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
            #${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
            # рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
            # рубаем мультикастовые рассылки
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
            # рубаем мультикастовые рассылки
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
            # разрешаем все установленные соединения (если они установились -
            # значит по каким-то правилам они проходили.)
${FwCMD} add allow tcp from any to any established
            # разрешаем весь исходящий траффик
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
            # разрешаем DNS снаружи
${FwCMD} add allow udp from any 53 to any via ${LanOut}
            # разрешаем UDP (для синхронизации времени - 123 порт)
${FwCMD} add allow udp from any to any 123 via ${LanOut}
            # разрешаем ftp снаружи (оба правила - для пасивного режима)
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}

${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}
                                           # открываем снаружи 80 порт
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
            # открываем снаружи 25 порт (SMTP) если на машине крутится почта
            #${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
            # открываем снаружи 22 порт - если надо будет ходить на машину по ssh
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
            # открываем снаружи 110 порт(если надо смотреть почту снаружи по POP)
            #${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}

# для сканируемых портов правила. Для TCP разбиты на
# две группы по причине, что ipfw не позволяет перечислять
# больше 10 портов за раз.
${FwCMD} add allow tcp from any to ${IpOut} \
1,11,15,23,79,81,111,119,540,635 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} \
1080,1524,2000,5742,6667,8080,8085 via ${LanOut}
${FwCMD} add allow udp from any to ${IpOut} \
1,7,9,69,513,635,640,641,700 via ${LanOut}


${FwCMD} add deny ip from any to any

ЗЫ: сканировал nmap-ом версии 4.11 из под windows, с машины, находящейся в той же локалке 192.168.1.X, так же пробовал с локал хоста (перед этим делом очищал файл portsentry.ignore и перезапускал сервис)

[K2el]

кто нибудь помогите разобраться с этой проблемой....я в полном ауте:(

[K2el]

Пробовал подключиться telnet на любой порт, который portsentry слушает....вот только тогда заблокировал!
И еще..при вводе команды portsentry выдает следующее:

PortSentry - Port Scan Detector.
Copyright 1997-2003 Craig H. Rowland <craigrowland at users dot sourceforget dot net>
Licensing restrictions apply. Please see documentation
Version: 1.2

Stealth scan detection not supported on this platform
usage: portsentry [-tcp -udp]

*** PLEASE READ THE DOCS BEFORE USING ***

У меня FreeBSD 6.1 .... тоесть получается я с ее помощью не смогу защититься от nmap????

[7biohazard7]

да нет.... сможете. Только от стелс сканирований не сможете.
А например, если nmap -sT сканировать то тогда отрубит.....

[K2el]

ну ктож так сканировать будет? Тут еще почитал, нашел что версия 2.0b спасает от стелса...Но в портах ее нет и написано что из исходников ставить гемор, может кто ставил? Поделитесь опытом

[7biohazard7]

кто, кто. Многие на самом деле. например при сканировании -A будет использоваться обычное подключение. да и вообще что страшного в сканировании? особенно с таким кол-ом открытых портов. откройте все порты и пускай парятся вычисляют какие работают, а какие ловушки.

[K2el]

Просто если ставить защиту - то по полной:)