Firewall - Teil 4
6.4.1 Portsentry
Portsentry7 ist Teil des Abacus-Projektes, einer Sammlung von Security-Tools. Alle Programme des Abacus-Projektes zeichnen sich durch einfache Konfiguration aus und sind wartungsfrei zu betreiben.8
Portsentry überwacht die TCP/UDP-Ports eines Systems. Es erkennt Portscans, die gegen das System gerichtet sind. Dabei spürt es mit verschiedenen Betriebsarten (Classic Mode, Enhanced Stealth Mode, Advanced Stealth Mode) unterschiedliche Arten von Stealth-Scans, wie z.B. SYN/half-open, FIN, NULL und X-MAS auf. Portsentry arbeitet sehr ressourcensparend. Es muß nur einmal gestartet werden und überwacht beliebig viele Ports. Alle Angriffsversuche werden in den Systemlogdateien mitprotokolliert.
Portsentry antwortet auf versuchte Portscans, indem es den angreifenden Computer blockt:
- Die lokale Route der Pakete kann zurück zum Angreifer gesetzt werden
- Der angreifende Computer wird in die Datei hosts.deny eingetragen
- Es wird eine Regel in das Firewallskript eingefügt
Die meisten Angriffe werden so im Keim erstickt.
Portsentry sollte in eine der Startdateien (z.B. /etc/rc.d/rc.local) eingetragen werden, um nach dem Booten automatisch seinen Dienst zu verrichten.
Portsentry-Konfiguration:
Portsentry wird über die Datei /usr/local/psionic/portsentry/portsentry.conf konfiguriert.
Einige wichtige Abschnitte der Konfigurationsdatei:
- Port Configurations
Hier werden die Ports angegeben, die überwacht werden sollen. Standardmäßig stehen drei Portbereiche zur Auswahl bereit.
- Advanced Stealth Scan Detection Options
Hier werden die Ports für den erweiterten Modus angegeben. Standardmäßig werden alle privilegierten Ports überwacht.
- Configuration Files
Lage der Dateien, die die geblockten Rechner enthalten.
- Response Options
In diesem Abschnitt wird bestimmt, was bei einem entdeckten Portscan geschehen soll. Eine der folgenden Optionen kann genutzt werden:
- Ignore Options
- Den Portscan nicht blocken (Do not block UDP/TCP scans)
- Den Portscan blocken (Block UDP/TCP scans)
- Ein externes Kommando starten (Run external command only)
- Dropping Routes
Hier lassen sich die Pakete des Angreifers durch eine Firewallregel blocken
KILL_ROUTE="/sbin/ipchains -I input -s $TARGET$ -j DENY -l"
- Scan trigger value
Hier läßt sich die Anzahl von Verbindungen bestimmen, bevor ein Alarm ausgelöst wird. Als Standard ist 0 angegeben, dies bewirkt einen Alarm beim ersten Verbindungsversuch. Eine größere Zahl sollte die Anzahl der falschen Alarme vermindern.