¡Esta es una revisión vieja del documento!
¿Qué es PortSentry?
PortSentry es parte del conjunto de herramientas de seguridad del Proyecto Abacus. Es un programa diseñado para detectar y responder escaneos de puertos contra un host objetivo en tiempo real.
PortSentry detectará escaneos ocultos de SYN / half-open, FIN, NULL, X-MAS…
PortSentry informará todas las violaciones a los demonios syslog locales o remotos que indiquen el nombre del sistema, la hora de ataque, la IP del host atacante y el puerto TCP o UDP en el que se realizó un intento de conexión. Una vez que se detecta un escaneo, su sistema se convertirá en un agujero negro y desaparecerá del atacante.
Requisito previo
Instalación de Ubuntu Desktop 12.04 LTS Instalación de BackTrack 5 R1
Notas de la practica
Verificamos que tenemos conexión
root@ubuntu12:/# ifconfig -a
si no tenemos conexion
root@ubuntu12:/# dhclient -v root@ubuntu12:/# /etc/init.d/networking restart
root@ubuntu12:/# apt-get update
buscamos denyhosts
root@ubuntu12:/# apt-cache search portsentry
Instalamos los paquetes necesarios
root@ubuntu12:/# apt-get install portsentry
verificamos que se está ejecutando
root@ubuntu12:/# ps -eaf | grep -v grep | grep portsentry \\
ps -eaf, muestra todos los procesos.
grep -v grep, filtra el proceso grep.
grep denyhosts, muestra solo el proceso portsentry.
ver los ficheros de configuracion
root@ubuntu12:/etc# ls -l /etc/portsentry/
observamos 3 ficheros
portsentry.conf que es el fichero de configuración
portsentry.ignore es el fichero donde añadimos las ips que PortSentry ignora si es escaneado
portsentry-ogmpre-statcc es el script para empezar el demonio
Observamos si el script de squid se encuenta en init.d
root@ubuntu12:/etc# ls -l /etc/init.d/denyhosts root@ubuntu12:/etc# find /etc/rc*.d/* -print | xargs ls -l | grep denyhosts
nivel de ejecución
Identifica las secuencias de comandos de inicio y finalización para denyhosts
Identifica el nivel de ejecución actual.
0 System Halt
1 usuario individual
2 Modo multiusuario completo (predeterminado)
3-5 Igual que 2
6 Reinicio del sistema
root@ubuntu12:/etc# cd /etc/init.d root@ubuntu12:/etc/init.d# ./denyhosts stop root@ubuntu12:/etc/init.d# ps -eaf | grep -v grep | grep denyhosts
No devuelve nada, el servicio está parado
root@ubuntu12:/etc/init.d# ./denyhosts start root@ubuntu12:/etc/init.d# ps -eaf | grep -v grep | grep denyhost
Ahora nos devuelve 1 linea porque el servicio está ejecutandose
root@ubuntu12:/etc/init.d# service denyhosts status
Nos muestra el numero de proceso o PID, en mis caso es 3386.
root@ubuntu12:/etc/init.d# ps -eaf | grep -v grep | grep 3386
Tienes que reemplazar el PID por el tuyo
root@ubuntu12:/etc/init.d# service denyhosts stop
este comando parara el demonio
root@ubuntu12:/etc/init.d# ps -eaf | grep -v grep | grep denyhosts
No muestra nada porque el proceso está detenido
root@ubuntu12:/etc/init.d# service denyhosts start
Iniciamos el servicio
root@ubuntu12:/etc/init.d# ps -eaf | grep -v grep | grep denyhosts