From UnderLinux Wiki

Instalação e configuração do Portsentry

O Portsentry é um projeto já bem antigo de IDS/Firewall. Trata-se de um software muito interessante, flexível e bem fácil de se lidar. Serve para barrar PortScanning e tentativas de ataques, matando a conexão com o atacante e ao mesmo tempo criar uma espécie de pote de mel para ficar livre de possíveis atacantes. Tudo de forma simples. O Portsentry é uma aplicação muito simples de ser utilizada, escrita para sistemas GNU/Linux com o objetivo de ajudar usuários a manter crackers longe de seu precioso sistema, barrando portscanners e outras tentativas de burlar sua segurança.

Instalação e configuração

1o passo: Baixar a versão mais recente do PortSentry. Obs1.: É aconselhável baixar o fonte e não o rpm.

Obs2.: Para quem utiliza o debian ou outra distribuição que já possua o Portsentry, basta fazer:

1. apt-get install portsentry

E partir logo para o arquivo de configuração do Portsentry. Bem mais simples, heheheheh

2o passo: Crie um novo diretório.

# mkdir /security

3o passo: Mova o arquivo baixado para o diretório criado.

# mv arquivoportysentry.tar.gz /security

4o passo: Vá para o diretório /security.

# cd /security

5o passo: Descompacte o arquivo do Porsentry.

# tar –xzvf arquivoportysentry.tar.gz

6o passo: Acesse o arquivo descompactado

# cd arquivoportysentry

7o passo: Digite os seguites comandos.

# ./configure
# make
# make install

Pronto o Portysentry já está instalado em seu sistema. Vamos agora para configuração.

8o passo: Acesse a pasta /usr/local/psionic/portsentry

# cd /usr/local/psionic/portsentry

9o passo: Edite o arquivo de configuração do Portsentry.

# vi portsentry.conf

Neste ponto você irá escolher que portas o Portysentry irá monitorar, no caso do osiris foram escolhidas as seguintes portas.

# Un-comment these if you are really anal:
TCP_PORTS="1,7,9,11,15,70,79,80,109,110,111,119,137,138,139,143,512,513,514,515,540,635,1214,1080,1524,2000,2001,4000,4001,5742,

6000,6001,6667,12345,12346,20034,27665,30303,32771,32772,32773,32774,31337,40421,40425,49724,54320" UDP_PORTS="1,7,9,66,67,68,69,111,137,138,139,161,162,474,513,517,518,635,640,641,666,700,2049,31335,27444,34555,32770,32771, 32772,32773,32774,31337,54321"

Agora iremos analisar os seguintes arquivos:

IGNORE_FILE="/usr/local/psionic/portsentry/portsentry.ignore"
HISTORY_FILE="/usr/local/psionic/portsentry/portsentry.history"
BLOCKED_FILE="/usr/local/psionic/portsentry/portsentry.blocked"

O primeiro arquivo são os hosts que o PortSentry deve ignorar, ou seja, os hosts que estiverem nesta lista não serão analisados por ele. O segundo é o history, ou seja, tudo que o Portsentry já fez, desde analisar conexões até bloquear, tudo estará listado neste arquivo. O terceiro é a lista negra do PortSentry, os atacantes bloqueados por ele e os hosts que ele considera como perigosos. Nessa lista você deve ficar esperto, porque, às vezes, alguém pode cair aí por engano de um falso positivo, então fique sempre analisando esta lista para não ficar sem determinados serviços de comunicação. Essa é a porta onde o programa vai atuar é recomendável que você não mude nada nessa opção abaixo.

ADVANCED_PORTS_TCP="1024"
ADVANCED_PORTS_UDP="1024"

Nesta opção você deve colocar as portas onde você quer que não ocorra o bloqueio.

ADVANCED_EXCLUDE_TCP="113,139"
ADVANCED_EXCLUDE_UDP="520,138,137,67"

Veja agora uma opção muito interessante do Portsentry que é a KILL_ROUTE. Esta função como já diz o nome, mata a rota do atacante, passando a ignorar todo e qualquer pacote e requisição feita por ele pelo tempo que você determinar.

KILL_ROUTE="/usr/local/sbin/iptables -I INPUT -s $TARGET$ -j DROP"

Obs.: $TARGET$ = ip do atacante que ele detectou.

BLOCK_UDP="1"
BLOCK_TCP="1"

Os itens BLOCK_UDP e BLOCK_TCP são responsáveis pelas respostas aos portscans, setando-os em 0 os ataques TCP e UDP não serão bloqueados, setados em 1 os ataques serão bloqueados através da execução do item KILL_ROUTE e setendo-os em 2 a cada ataque será executado um comando externo, definido pelo item KILL_RUN_CMD. O item abaixo mostra os hosts que foram negados. Você os encontrará no arquivo /etc/hosts.deny do linux.

KILL_HOSTS_DENY="ALL: $TARGET$"

Se você deseja excluir uma determinada máquina que caiu por engano na malha fina do Portsentry, basta tirá-la do arquivo /etc/hosts.deny e também adicioná-la no arquivo portsentry.ignore, para que ela tenha acesso livre ao sistema novamente. Esta opção abaixo corresponde ao número de vezes que o PortSentry deve ignorar até fazer alguma ação.

SCAN_TRIGGER="0"

O item PORT_BANNER define uma mensagem que é mostrada ao autor do portscan sempre que ele testa uma porta que é "escutada" pelo Portsentry, ideal para aqueles casos em que você deseja deixar bem claro que está sabendo dos portscans, caso você queira identificar o autor do ataque, é desaconselhado o uso do mesmo.

PORT_BANNER="** ACESSO PROIBIDO *** SUA TENTATIVA DE CONEXAO FOI REGISTRADA **"

O arquivo de configuração do Portsentry ficará assim:

# Un-comment these if you are really anal:
TCP_PORTS="1,7,9,11,15,70,79,80,109,110,111,119,137,138,139,143,512,513,514,515,540,635,1214,1080,1524,2000,2001,4000,4001,5742,
6000,6001,6667,12345,12346,20034,27665,30303,32771,32772,32773,32774,31337,40421,40425,49724,54320"
UDP_PORTS="1,7,9,66,67,68,69,111,137,138,139,161,162,474,513,517,518,635,640,641,666,700,2049,31335,27444,34555,32770,32771,
32772,32773,32774,31337,54321"

ADVANCED_PORTS_TCP="1024"
ADVANCED_PORTS_UDP="1024"

ADVANCED_EXCLUDE_TCP="113,139"
ADVANCED_EXCLUDE_UDP="520,138,137,67"

IGNORE_FILE="/usr/local/psionic/portsentry/portsentry.ignore"
HISTORY_FILE="/usr/local/psionic/portsentry/portsentry.history"
BLOCKED_FILE="/usr/local/psionic/portsentry/portsentry.blocked"

RESOLVE_HOST = "1"
BLOCK_UDP="1"
BLOCK_TCP="1"

KILL_ROUTE="/usr/local/bin/iptables -I INPUT -s $TARGET$ -j DROP"

KILL_HOSTS_DENY="ALL: $TARGET$"

SCAN_TRIGGER="0"

PORT_BANNER="** ACESSO PROIBIDO *** SUA TENTATIVA DE CONEXAO FOI REGISTRADA **"

Deixando claro que as configurações vão de acordo com as suas necessidades, o que você deseja da sua máquina !!!!!

Depois de configurado basta rodar o Portsentry, para isso acesse o diretório /usr/local/psionic/portsentry e rode os comandos:

# ./portsentry -udp
# ./portsentry -tcp