Instalacion y configuracion de Port sentry Ingeniero Freddy Alfonso Beltran PortSentry es una herramienta de seguridad que permite monitorizar Puertos, con el objetivo de detectar intentos de scaneo del sistema. Posee un mecanismo que permite bloquear no solo el paquete , sino tambien el host, del cual proviene el paquete dado. En otras palabras Es un IDS (Sistema de deteccin de intrusin) dedicado a la deteccin de barridos de puertos y a la defensa activa. Ejemplo: suponga que se tiene sospecha en el que alguien esta intentando acceder a nuestra maquina y escanear nuestros servidores. Nosotros como buenos administradores debemos bloquear los paquetes sopechosos que entran de la direccion ip y su Ip respectivamente. Bueno manos a la obra para descargar vamos a la pagina http://sourceforge.net/projects/sentrytools/

bajamos la aplicacin portsentry-1.2.tar.gz

guardamos la aplicacin dando la opcion ok para este caso voy a guardarlo en el escritorio

damos la opcion guardar y despues comenzamos el proceso de descompresion tar -xzvf portsentry-1.2.tar.gz

despues me ubico en el directorio portsentry_beta/ freddy@beppo:~/Escritorio$ cd portsentry_beta/ despues aplico el comando

despues make install

pero para este caso voy a hacerlo para Ubuntu 9.10 descargando a traves del poder del apt de la siguiente manera

despues me sale esta pantalla que me indica , la configuracion basica de portsentry

despues de estoy voy a la carpeta /etc/portsentry y modifico el archivo portsentry.conf

Bueno en este archivo vamos a encontrar las lineas TCP_PORTS y UDP_PORTS el cual se definen los puertos que vamos a monitorear, ejemplo 21,22,23,25,110,143 esto significa que port sentry filtrara los paquetes en los puertos de los protocolos FTP,SSH,TELNET;SMTP,POP e IMAP para este caso agrego el puerto de ssh y de webmin el 10000

ahora busco la linea de #iptables support for linux donde se descomentarea para que portsentry trabaje con iptables y donde de estar la ruta por defecto de iptables

sino esta instalado en una terminal debo instalarlo asi

para este caso ya se encuentra instalado en nuestra maquina y la ruta es /sbin/iptables

por ultimo se elimina el simbolo de # de la linea KILL_HOST_DENY=ALL: $TARGET$ :DENY para que port sentry aada los hosts al archivo hosts.deny

Bueno aqu existe una setencia que me permite bloquear todo el que me quiera scanear el valor de 1 para que me bloque el valor de 0 para que me permitan el scaneo

ahora guardamos y despues arrancamos la monitorizacion de la siguiente manera: los puertos TCP

ahora verifico mi direccion IP para efectuar el scaneo con nmap

ahora lanzo el scaneo del nmap para ver que puertos estan activos en la maquina, para despues lanzar la consulta al puerto 22 que es de ssh

dentro de las variables de configuracion del archivo portsentry.conf tenemos donde se almacenan los logs de las operaciones de scaneo

vamos a mirar el history file que me permite ver la operacin de scaneo qye anteriormente se hizo

antes de esto me conecte al server por ssh desde un equipo remoto que tiene la direccion 172.16.10.135 Ahora el archivo portsentry.history

ahora viendo el archivo portsentry.blocked se observa la direccion bloqueada la 172.16.10.135 del tipo TCP

ahora veo el UDP que esta vacio por qye ssh solo trabaja sobre TCP

aqu ya el equipo esta bloqueado y ya no puede hacer nada !! hasta el proximo reinicio del portsentryque

ahora si No quiero bloquear una direccion es decir de un equipo conocido , lo defino aqu, me ubico en el directorio /etc/portsentry y abro el archivo para editarlo

bueno observamos que existe la 127.0.0.1 que es la local y la 0.0.0.0 que es toda la red estos equipos no se bloquean. Aqu se definen un solo equipo 172.16.10.125/32 o toda la red 172.16.4.0/22 por defecto tenriamos que quitar la 0.0.0.0 por que no iria a bloquear nada jejejej y no queremos esto. Y quedaria asi:

por ultimo reinciamos el servicio de portsentry

evidencias: Investigar y montar sobre maquina linux tcpwrappers y explicar su funcionamiento por medio de un ejemplo Bendiciones para todos