Re: Portsentry

To: frederic massot <frederic@juliana-multimedia.com>
Cc: la liste des potateux <debian-french@lists.debian.org>
Subject: Re: Portsentry
From: Amaury Amblard-Ladurantie <amaury@mandrakesoft.com>
Date: Mon, 26 Mar 2001 13:09:35 +0100
Message-id: <[🔎] 0103261409350X.13843@darcache.mandrakesoft.com>
In-reply-to: <[🔎] 3ABB90F3.14F1B60C@juliana-multimedia.com>
References: <[🔎] 3ABB90F3.14F1B60C@juliana-multimedia.com>

Bonjour,

> J'essaye de configurer Portsentry sur un firewall (ipchains) pour qu'il
> protege un reseau local.
> Lors d'un nmap externe vers l'une des interfaces du firewall, Portsentry
> reagit bien en bloquant l'adresse IP de l'attaquant.
> Mais il ne fait rien pour les scans vers le reseau local.

cf portsentry.conf et portsentry.ignore

######################
# Configuration Files#
######################
#
# Hosts to ignore
IGNORE_FILE="/usr/local/psionic/portsentry/portsentry.ignore"

[...]

# Generic Linux 
KILL_ROUTE="/sbin/route add -host $TARGET$ gw 333.444.555.666"
[...]
KILL_ROUTE="/sbin/ipchains -I input -s $TARGET$ -j DENY -l"

[...]

KILL_HOSTS_DENY="ALL: $TARGET$"

[amaury@dibiane ]$ cat portsentry.ignore 
# Put hosts in here you never want blocked. This includes the IP addresses
# of all local interfaces on the protected host (i.e virtual host, mult-home)
# Keep 127.0.0.1 and 0.0.0.0 to keep people from playing games.

> Je n'ai trouve aucunes options pour indiquer l'ensemble des adresses a
> proteger !?

Portsentry reagit aux scans adressés à la machine sur laquelle il tourne. Ce 
soft est destiné à protéger une machine et non un réseau. D'autres softs 
(snort me vient à l'esprit, mais ce n'est pas le seul), correspondent sans 
doutes plus à tes besoins si tu veux sécuriser un réseau.

Donc il est normal que portsentry ne réagisse pas aux scans "réseaux", a 
moins q'une des machines scannees ne fassent tourner portsentry.

> D'autre part, il y a t'il une temporisation au bout de laquelle une
> adresse blacklistee est de nouveau autorisee ?

Portsentry peut "out of the box" ajouter une regle IPchains et/ou une entree 
dans /etc/hosts.deny

A priori, les regles IPchains seront réinitialisées au prochain boot. Seul 
l'entrée dans /etc/hosts.deny restera effective après un reboot. Je ne pense 
pas qu'il soit prévu de temporisation au niveau des règles IPchains.

<rant>
Par ailleurs, Portsentry est un excellent logiciel, mais il peut tres 
facilement être utilisé pour des attaques de type DoS, s'il est placée sur 
une machine fournissant des services. Il reste donc à utiliser avec 
précautions AMHA, et ne doit pas remplacer un bon paramétrage préalable de la 
machine qui l'héberge (sans parler du réseau).
</rant>

A+
Amaury

Reply to:

References:
- Portsentry
  - From: frederic massot <frederic@juliana-multimedia.com>

Prev by Date: Re: telnetd[xxxx]: ttloop: read: Broken pipe
Next by Date: PDFlib & PHP
Previous by thread: Portsentry
Next by thread: Comment installer Debian sans être connecter à internet ?
Index(es):
- Date
- Thread