Linux下PortSentry的配置

Linux 下 PortSentry 的配置

 

     前年写过《IDS与IPS功能分析》一文，受到广大读者关注，现将近期有关IDS配置的文章和大家分享。

   Internet 上的服务器一般都会被安置在防火墙的DMZ(Demilitarized Zone)区，受到防火墙的保护。这在一定程度可以防止具有已知非法特征的危险连接和恶意攻击，但是却防止不了合法用户的非法访问。什么时候会出现合法用户的非法访问呢?举例说明，比如，合法用户的机器被他人控制，成为了黑客的攻击跳板，或者是合法用户想做一些别有用心的探测等。除此之外，有些攻击者还会用端口扫描程序扫描服务器的所有端口，以收集有用的信息(比如，哪些端口是打开的?哪些是关闭的? )。服务器端口被扫描往往是入侵的前奏。防火墙的脚本大都是基于规则的静态表示，对于网络上动态的探测就显得有点束手无策。因此，现在正在形成一个新的安全学科领域，称为“入侵检测”。

一、入侵检测工具简介

    入侵检测工具主要是用来检测已经发生的和正在进行的攻击，有些工具甚至可以和防火墙实现“联动”，采取一定的措施来阻止这些攻击。

    目前入侵检测技术采取的措施主要分为主动和被动两种。主动方式会通过网络监测器监听网络通信，一旦察觉到可疑的活动 ( 比如特定数据包的流入 ) ，就会采取相应的措施。当网络上有瞬间的攻击及大流量非法数据发生时，主动方式允许系统在攻击者发动攻击的第一时间内做出反应，把攻击者狙击在外。被动方式是通过事后分析日志记录，当注意到有可疑活动时，系统才会采取相应的措施。

     主流的入侵检测工具软件有 CHKWTMP 、 TCPLogd 、 Shadow 、 Snon 、 MoM 等。其中， MoM 比较复杂，功能也很强劲，支持分布式的入侵检测。本文重点介绍简单实用的 PortSentry 。 PortSentry 是入侵检测工具中配置最简单、效果最直接的工具之一。 PortSentry 是Abacus工程的一个组成部分。Abacus工程的目标是建立一个基于主机的网络入侵检测系统，可以从http://www.psonic.com的到关于Abacus工程更为详细的信息。 它可以实时检测几乎所有类型的网络扫描，并对扫描行为做出反应。一旦发现可疑的行为， PortSentry 可以采取如下一些特定措施来加强防范：

◆ 给出虚假的路由信息，把所有的信息流都重定向到一个不存在的主机 ;

◆ 自动将对服务器进行端口扫描的主机加到 TCP-Wrappers 的 /etc/hosts.deny 文件中去 ;

◆ 利用 Netfilter 机制，用包过滤程序，比如 iptables 和 ipchain 等，把所有非法数据包 ( 来自对服务器进行端口扫描的主机 ) 都过滤掉 ;

◆ 通过 syslog() 函数给出一个目志消息，甚至可以返回给扫描者一段警告信息。

二、 PortSentry 的安装配置

下面详细介绍 PortSentry 工具的安装和配置方法。

1 ．安装

从 http://sourceforge.net/projects/sentrytools/ 下载软件的最新版 portsentry-1.2.tar.gz ，用 root 用户执行如下命令进行安装：

#tar zxvf portsentry-1.2.tar.gz

#cd portsentry-1.2

#make

#make install

2 ．修改配置文件portsentry.conf

通过 PortSentry 进行入侵检测，首先需要为它定制一份需要监视的端口清单，以及相应的阻止对策。然后启动后台进程对这些端口进行检测，一旦发现有人扫描这些端口，就启动相应的对策进行阻拦。

(1) 设置端口清单

下面给出 portsentry.conf 中关于端口的默认配置情况：

#Un-comment these if you are really anal;

#TCP_PORTS="1,7,9,11,15,70,79,80,109,110,111,119,138,139,143,512,513,514,515,540,636,1080,1424,2000,2001,[..]

#UDP_PORTS="1,7,9,66,67,68,69,111,137,138,161,162,474,513,517,518,635,640,641,666,700,2049,31335,27444,34555,[..]

#Use these if you just want to be aware:

TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,12346,20034,27665,31337,32771,32772,[..]

UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,37444,34555,31335,32770,32771,32772,32773,32774,31337,54321"

#Use these for juse bare-bones

#TCP_PORTS="1,11,15,110,111,143,540,635,180,1524,2000,12345,12346,20034,32771,32772,32773,32774,49724,54320"

#UDP_PORTS="1,7,9,69,161,162,513,640,700,32770,32771,32772,32773,32774,31337,54321"

可以有选择地去掉前面的注释来启用默认配置，也可以根据自己的实际情 } 兄定制一份新的清单，格式和原来的一样即可。端口列表要根据具体情况而定，假如服务器为 Web 服务器．那么 Web 端口就不需要监视．反之，如果是 FTP 服务器，那么监视 Web 端口也是有必要的。

(2) 给定相关文件

在 portsentry.conf 中还要添加如下代码．用以指定相关文件的位置：

# 此文件记录允许合法扫描服务器的主机地址

IGNORE_FILE="/usr/local/psionic/portsentry/portsentry.ignore"

# 此文件中保留了以往所有入侵主机的 IP 历史记录

HISTROY_FILE="/usr/lcal/psionic/portsentry/portsentry.history"

# 此文件中是已经被阻止连接的主机 IP 记录

BLOCKED_FILE="/usr/local/psionic/portsentry/portsentry.blocked"

(3) 设置路由重定向

通过配置 portsentry.conf 文件，可以设置一条虚拟路由记录，把数据包重定向到一个未知的主机．使之无法获取信息。相应配置代码如下：

#Generic

#KILL_ROUTE="/sbin/route add $TARGET$ 333.444.555.666"

#Generic Linux

KILL_ROUTE="/sbin/route add -host $TARGET$ gw 333.444.555.666

针对不同的平台有不同的路由命令．在配置文件中选择适台自己平台的命令即可。

(4) 利用其它工具

直接利用 Linux 中的 ipchain,iptables,ipfw 和 Netfilter 等命令，可以切断攻击主机的连接：

KILL_ROUTE="/usr/local/sbin/iptables -I INPUT -s $TARGET$ -j DROP"

也可以直接把攻击者的 IP 记录到 /etc/hosts.deny 文件中，利用 TCP-Wrappers 保护机制来防止攻击：

KILL_HOSTS_DENY="ALL:$TARGET$ # Portsentry blocked"

(5) 定制警告信息

可以定制一条警告信息，嘲笑一下攻击者。不过，手册上建议不要使用该选项，因为这样做可能会暴露主机的 IDS 系统。

PORT_BANNER="** UNAUTHORIZED ACCESS PROHIBITED *** YOUR CONNECTION ATTEMPT HAS BEEN LOGGED. GO AWAY."

修改完毕后，改变文件的权限．以保证其安全性：

#chmod 600 /usr/local/psionic/portsentry/portsentry.conf

3 ．配置portsentry.ignore 文件

/usr/psionic/portsentry/portsentry.ignore 文件中设置

了希望 PortSentry 忽略的主机 IP ，即允 午合法扫描的主机地址下面是配置情况：

#Put hosts in here you never want blocked,This includes the IP addresses

#of all local interfaces on the protected host(i.e virtual host,mult-home)

#keep 127.0.0.1 and 0.0.0.0 to keep people from playing games.

127.0.0.1/32

0.0.0.0

#Exclude all local interfaces     所有的本地网络 IP

192.168.0.223

192.168.254.1

127.0.0.1

#Exclude the default gateway(s) 默认网关 IP

192.168.0.10

#Exclude the nameservers     ( 域名服务器 IP)

202.101.170.3

202.96.9.18

修改完成后同样需要改变文件默认的权限：

#chmod 600 /usr/local/psionic/portsentry/portsentry.ignore

三、启动检测模式

    最后介绍一下 PortSentry 的启动检测模式。对应 TCP 和 UDF 两种协议方式．分别有三种启动模式，如下所示：

◆ portsentry-tcp ， TCP 的基本端口绑定模式；

◆ portsentry-udp ， UDP 的基本端口绑定模式；

◆ portsentry-stcp ， TCP 的秘密扫描检测模式；

◆ portsentry-sudp ， UDP 的秘密扫描检测模式；

◆ portsentry-atcp ， TCP 的高级秘密扫描检测模式；

◆ portsentry-audp ， UDP 的高级秘密扫描检测模式。

     一般情况下，建议使用秘密扫描检测模式或高级秘密扫描检测模式。使用高级秘密扫描检测模式 (Advanced Stealth Scan Detection Mode) ， PortSentry 会自动检查服务器上正在运行的端口， 然后把这些端口从配置文件中移去， 只监控其它的端口。这样会加快对端口扫描的反应速度，并且只占用很少的 CPU 时间。

启动 PortSentry 的命令如下：

#/usr/psionic/portsentry/portsentry -atcp

#/usr/psionic/portsentr/portsentr -sudp

   可以把启动命令加到“ /etc/rc.d/rc.local ”脚本文件中，果想让它和其它后台进程一样可以随时启动、停止并查看进程状态， 可以去这样当重新启动计算机的时候 PortSentry 就会自动运行。如果想让它和其它后台进程一样可以随时启动、停止并查看进程状态，可以去 http://linux.cudeso.be/linuxdoc/portsentry.php 下载一个后台管理脚本，把该脚本放在 /etc/rc.d/ 下对应的运行级别目录中即可。

四、测试

    启动 PortSentry 后，可以用扫描器扫描服务器，进行测试 PortSentry 检测到扫描后，会采取措施进行阻击，并在 /Usr/local/psionic/portsentry 目录下生成对应的

portsentry.blocked.atcp 文件或 portsentry.blocked.audp 文

件，文件记录了发动攻击的主机的信息。

    同时， TCP-Wrappers 会把非法主机的 IP 添加到 /etc/host.deny 文件中。这样既切断了与非法主机之间的通信，又在服务器上还保留了其犯罪的证据和时间记录，让它无处遁形，不可能再有进一步的非法行为。

本文出自 “李晨光原创技术博客” 博客，谢绝转载！