Portsentry

Portsentry est un outil de détection de scan de ports. Il surveille les ports du système et effectue une action, en général un bannissement, s'il détecte une tentative de connexion à un ou des ports non autorisés de façon successive ou simultanée.

Pour installer Portsentry, on exécute la commande suivante : 

sudo apt-get install portsentry

Pour notre configuration on active le mode avancé de portsentry pour surveiller les ports inférieurs à 1024 afin d'éviter les faux-positifs et utiliser iptables à la place de route.

Configuration

On va éditer le fichier de configuration de Portsentry : 

sudo vi /etc/portsentry/portsentry.conf

On va d'abord activer le blocage automatique en modifiant les lignes suivantes : 

BLOCK_UDP="1"
BLOCK_TCP="1"

Puis pour utiliser iptables on va commenter l'attribut KILL_ROUTE par défaut et le remplacer par : 

#KILL_ROUTE="/sbin/route add -host $TARGET$ reject"
KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP"

Enregistrer et éditer le fichier suivant : 

sudo vi /etc/default/portsentry

Et modifier les valeurs de TCPMODE et UDPMODE par : 

TCP_MODE="atcp"
UDP_MODE="audp"

Pour finir on relance le service pour prendre en compte les nouveaux paramètres : 

sudo /etc/init.d/portsentry restart
  • Dernière modification: 13/03/2021 07:56