Volontaire pour faire un scan sur mon IP

Pause Café
#41

Re,

Je n’ai rien trouvé de précis dans la doc ou le man qui viennent avec le deb.
Pas plus que sur ipv6 d’ailleurs…

Il faut chercher ailleurs.

#42

“May the source be with you”

#43

Ben portsentry ouvre bien des sockets AF_INET sur des ports.
Il doit y avoir une subtilité quelque part pour que netstat ne le voit pas, je vais me l’installer et faire des essais avec différentes options de netstat.

#44

netstat -taupe et netstat -lapute, bizarrement les deux que je retiennent facilement :mrgreen:

#45

C’est beau la mnémotechnie… :mrgreen: :005

#46

[quote=“antalgeek”]Ben portsentry ouvre bien des sockets AF_INET sur des ports.
Il doit y avoir une subtilité quelque part pour que netstat ne le voit pas, je vais me l’installer et faire des essais avec différentes options de netstat.[/quote]

Si tu as besoin d’un volontaire pour torturer tes ports…
Il serait d’ailleurs intéressant, pour éviter les scans au dessus du port 1024, de faire quelques trappes… Ça doit pouvoir se configurer.

#47

[quote=“lol”]Si tu as besoin d’un volontaire pour torturer tes ports…
Il serait d’ailleurs intéressant, pour éviter les scans au dessus du port 1024, de faire quelques trappes… Ça doit pouvoir se configurer.[/quote]
Je comptais sur toi :mrgreen:

#48

[quote=“antalgeek”][quote=“lol”]Si tu as besoin d’un volontaire pour torturer tes ports…
Il serait d’ailleurs intéressant, pour éviter les scans au dessus du port 1024, de faire quelques trappes… Ça doit pouvoir se configurer.[/quote]
Je comptais sur toi :mrgreen:[/quote]

Pour le scan ou pour portsentry ?

Pour port sentry, j’ai (enfin) pigé.
Il suffit de ne pas se mettre en atcp ou audp dans /etc/defaults/portsentry mains en tcp et udp, de définir les ports sur lesquels se “lier” dans /etc/portsentry.portsentry.conf, puis d’ouvrir ceux-ci dans iptables…

#49

Saluts,

huuummm … :mrgreen:

[quote="Georges Tarbouriech "]Comment fonctionne portsentry ?

Très bien, merci !
Plus sérieusement, portsentry dépend de fichiers de configuration. Le plus important est le fichier portsentry.conf. C’est là que vous allez dire à portsentry comment réagir face à l’adversité.
Avant de vous pencher sur ce fichier, vous devez connaître les différents modes d’opération et ce qu’ils provoquent.
Portsentry peut utiliser six modes différents, selon l’option choisie au démarrage.
[i][b]- La première option “-tcp” est le mode de base. Avec cette option, portsentry lie les ports TCP trouvés dans le fichier de config dans la partie “port configuration”. Il peut lier jusqu’à 64 ports.

  • La seconde “-udp” fait la même chose que la précédente pour les ports UDP.
  • La troisième est “-stcp”, le “s” signifiant stealth (furtif). Cette option et les suivantes ne sont disponibles que sous Linux. Avec l’option “-stcp”, portsentry utilise un “socket” pour surveiller les paquets en entrée, autrement dit, les ports ne sont liés à rien.
    -La quatrième “-sudp” fait la même chose que la précédente pour les ports UDP.[/b][/i]

- Les cinquième et sixième sont “-atcp” et “-audp”. Ce sont les options les plus efficaces (le “a” signifie avancé). Avec ces options, portsentry établit une liste des ports à l’écoute, TCP et UDP si vous sélectionnez les deux, et bloque l’hôte qui se connecte à ces ports, à moins qu’il ne figure dans le fichier portsentry.ignore.
Tout ceci est bien mieux expliqué dans les fichiers README distribués avec portsentry. En conséquence, nous n’allons pas réinventer la roue en essayant de réécrire la documentation. La lecture de ces fichiers README est obligatoire (comme d’habitude, soyons un peu fascistes !).
Comment réagit portsentry ?

Evidemment, portsentry peut générer des logs. Si vous faites partie de ces administrateurs qui ne lisent pas les logs (quelle honte !), vous pouvez utiliser logcheck en complément de portsentry. De cette manière, portsentry envoie un courrier pour vous informer d’une tentative d’intrusion.
Il peut ajouter l’hôte cible dans le fichier /etc/hosts.deny, pour bénéficier des TCPWrappers.
L’hôte local est capable de router le trafic du réseau vers un hôte mort.
Enfin, l’hôte local peut “jeter” les paquets via l’outil de filtrage de paquet.
Maintenant que vous en savez un peu plus sur la philosophie de portsentry, vous pouvez commencer à écrire votre fichier portsentry.conf.

  • La première partie du fichier concerne les ports. Ici, vous pouvez définir les ports à lier. Rappelez-vous, ceci est ignoré si vous utilisez les modes avancés sous Linux. Soyez prudents avec les ports que vous souhaitez lier (par exemple, ne liez pas le port 6000 si vous utilisez X).
  • La partie suivante concerne les options de détection avancées. Par défaut, tous les ports au-dessous de 1024 sont surveillés, qu’il s’agisse de TCP ou d’UDP. Ici, vous pouvez exclure les ports que vous voulez ignorer. C’est très important pour éviter les fausses alarmes et les “logging” énormes, particulièrement si vous avez des machines Windos dans votre réseau. Par exemple, attention au port 111 si portmap est utilisé et que les hôtes ne figurent pas dans le fichier portsentry.ignore. Bien sûr, ce serait un peu fou, puisque portmap signifie serveurs RPC tels que NFS, mais vous voici avertis. En clair, NFS n’est pas particulièrement sûr sous Unix alors ne parlons pas des machines Windos.
    Voici l’habituelle partie hors-sujet : lorsque j’écris “Windos”, ce n’est pas une faute de frappe; c’est juste pour insister sur le fait que Windows est un environnement au-dessus du DOS (D pour désolant ?)… et ça fait un caractère de moins à taper (quel fainéant !). Pardon pour la digression.
  • La partie “configuration files” concerne les fichiers utilisés par portsentry dans un but d’historique ou pour définir les hôtes à ignorer. Si vous effectuez une installation par défaut, ne changez rien ici.
  • La partie “miscellaneous config” permet d’activer ou de désactiver les “lookups” de DNS.
  • La partie “response options” est le coeur de la configuration. C’est là que vous définissez la manière dont portsentry va réagir.
    D’abord, vous trouvez les “ignore options”. Vous pouvez choisir de bloquer les scans, de ne pas les bloquer ou de lancer une commande externe.
    Ensuite, dans la partie “dropping routes”, vous indiquez à portsentry comment rediriger la route ou comment bénéficier de l’outil de filtrage de paquet présent sur votre machine. Vous disposez de nombreux exemples pour de nombreuses plate-formes. Choisissez celui (seulement un) qui correspond à vos besoins.
  • La partie TCPWrappers indique si vous voulez écrire dans le fichier /etc/hosts.deny.
  • La partie “external commands” permet de définir une commande à lancer lorsqu’un hôte se connecte.
  • La partie “scan trigger value” permet de choisir le temps de réaction. La valeur par défaut, “0” est la plus immédiate puisqu’elle envoie une alarme à la première tentative de connexion.
  • La dernière partie permet d’afficher un message en cas de tentative d’intrusion. Ca ne fonctionne pas avec les modes “stealth”.
    Lorsque vous en avez terminé avec ça, c’est presque bon. Encore une fois, pour éviter les fausses alarmes et les “logging” gigantesques, vérifiez le fichier portsentry.ignore. Vous pouvez y ajouter l’adresse de votre réseau local avec les bits du netmask, ou l’adresse IP de quelques machines.
    Ca y est ! Vous pouvez maintenant taper “make votresystème” et “make install”. Le script d’installation fait tout le travail puisqu’il restreint les droits sur le répertoire et les fichiers. Maintenant vous n’avez plus qu’à lancer portsentry avec les options de votre choix. Vérifiez les logs pour voir ce qui s’est passé. Si tout s’est bien déroulé, portsentry a démarré et amélioré la sécurité de l’hôte.
    [/quote]

Source.:wink: