Portsentry : адекватная реакция. Запуск.

Сканирование портов является одним из самых распространенных и простых способов узнать, какая операционная система установлена на компьютере, какие службы запущены в данный момент и получить другую информацию о компьютере, подключенном к Internet , которая может быть использована для взлома и проникновения.

[Адлан Ерижоков]

Запуск

Portsentry можно запускать в трех режимах для каждого протокола. Режимы работу задаются в командной строке при вызове Portsentry. Одновременно можно задать только один режим работы для одного протокола.

Classic

При работе в этом режиме Portsentry открывает порты, указанные в TCP_PORTS или UDP_PORTS и ждет соединениния.
При попытке подключится к такому порту происходит блокировка удаленного хоста.
В данном режиме работы Portsentry не реагирует на Stealth-сканирование.
Данный режим работы задается опциями командной строки: -tcp - для TCP-портов и -udp - для UDP-портов.

Enhanced Stealth Scan Detection

Этот режим используется для проверки перечисленных в TCP_PORTS или UDP_PORTS портов на предмет подключения или сканирования.
Удобен тем, что выявляет практически все виды Stealth-сканирования, а не только сканирование подключением. Порты, в отличие от режима Classic не держит открытыми, поэтому сканировщик получает достоверную информацию об открытых портах. Задается опциями командной строки: -stcp - для TCP-портов и -sudp - для UDP-портов.

Advanced Stealth Scan Detection

Этот режим используется для проверки всех портов в промежутке от 1 до ADVANCED_PORT_TCP (для TCP) или ADVANCED_PORT_UDP (для UDP). Порты, открытые другими программами и перечисленные в ADVANCED_EXLUDE_TCP(для TCP) или ADVANCED_EXCLUDE_UDP(для UDP) исключаются из проверки.
Любой хост, попытавшийся подключится к порту в этом промежутке, тут же блокируется.
Самый удобный для использования метод, т.к. реакция на сканирование или подключение у этого метода самая быстрая, а также Portsentry в этом режиме использует меньше процессорного времени, чем в других.
Задается опциями командной строки: -atcp - для TCP-портов и -audp - для UDP-портов.

Таким образом Portsentry может запускатся в следующих режимах:

/usr/local/psionic/portsentry/portsentry -tcp
Classic Mode для TCP-портов
/usr/local/psionic/portsentry/portsentry -udp
Classic Mode для UDP-портов
/usr/local/psionic/portsentry/portsentry -stcp
Enhanced Stealth Scan Detection для TCP-портов
/usr/local/psionic/portsentry/portsentry -sudp
Enhanced Stealth Scan Detection для UDP-портов
/usr/local/psionic/portsentry/portsentry -atcp
Advanced Stealth Scan Detection для TCP-портов
/usr/local/psionic/portsentry/portsentry -audp
Advanced Stealth Scan Detection для UDP-портов

Вы можете добавить вызов Portsentry в /etc/rc.d/rc.local или создать для него отдельный скрипт запуска в /etc/rc.d/init.d/.
Можно запускать его только при подключении к Internet, добавив вызов в /etc/ppp/ip-up, а при отключении - выгружать, добавив что-нибудь типа killall -9 portsentry в /etc/ppp/ip-down.

Предыдущая  дальше

[ опубликовано 29/09/2000 ]

Адлан Ерижоков - Portsentry : адекватная реакция. Запуск.   Версия для печати