% psionic은 오래전에(?) cisco에 합병된것으로 보입니다.
라이센스가 Common Public License로 변경되고 현재 sf.net으로 프로젝트 홈페이지가 변경되었습니다.
http://sourceforge.net/projects/sentrytools/
http://kltp.kldp.org 에도 메뉴얼은 있지만 제맘데로 한번써볼까합니다.
일단 자료실에서 프로그램을 받아서 설치하세요
설정파일은 /etc/portsentry/portsentry.conf 파일입니다.
가장먼저해야할일은 자신의 아이피와 같은네트워크의 컴퓨터를 등록해야합니다.
/etc/portsentry/portsentry.ignore이파일에 자신과 같은네트워크 컴퓨터의 아이피를 적어주세요.
그래야 혹시라도 block당하는일이 없겠죠?^^
다음은 메인설정입니다. 코멘트가 재미있군요
#######################
# Port Configurations #
#######################
# Un-comment these if you are really anal:
#TCP_PORTS="1,7,9,11,15,70,79,80,109,110,111,119,138,139,143,512,513,..."
#UDP_PORTS="1,7,9,66,67,68,69,111,137,138,161,162,474,513,517,518,..."
위와 같은부분은 막을부분으로 스캔탐지를(그포트에대해) 하겠다는것입니다.
주석이 자세히 있으니 꼭필요한 설정만 적죠.
리눅스에 ipchains가 설치되어 있다면 아래부분의 주석을 풀어주시고 나머지는 주석처리하시기 바랍니다.
###################
# Dropping Routes:#
###################
# New ipchain support for Linux kernel version 2.2.x
KILL_ROUTE="/sbin/ipchains -I input -s $TARGET$ -j DENY -l"
iptables가 설치된 커널 2.4.x대라면 아래처럼 설정합니다.
KILL_ROUTE="/sbin/iptables -A INPUT -s $TARGET$ -j DROP"
그리고 아래부분에 tcp wrappers부분에 route명령으로 접근을 차단하는 설정도 주석을 제거하시기 바랍니다.
KILL_HOSTS_DENY="ALL: $TARGET$ : DENY"
##################
# Ignore Options #
##################
# 0 = Do not block UDP/TCP scans. #주석데로 포트를 막지않겠다는거죠
# 1 = Block UDP/TCP scans. #기본값인 접근차단입니다.
# 2 = Run external command only (KILL_RUN_CMD) #외부명령만 실행
BLOCK_UDP="1"
BLOCK_TCP="1"
external command부분은 공격을 받았을때 외부의 명령을 실행할수 있도록하는것인데
#KILL_RUN_CMD="/some/path/here/script $TARGET$ $PORT$"
실제로 스캔이 아닌 오진(?)도 있을수 있고 단지 스캔정도만 한것가지고 거칠게(?)
대응할필요는 없다고 생각됩니다.
#####################
# Scan trigger value#
#####################
SCAN_TRIGGER="0"
위의 옵션은 감지의 정도를 설정하는것(?)으로 생각되는데 기본값을 쓰시기 바랍니다.
이제 모드만 설정하시면 되겠습니다.
/etc/portsentry/portsentry.modes
여기는 기본적인 포트스캔과 스텔스 스캔감지를 설정합니다.
스텔스 스캔감지도 설정하시기를 권합니다.
tcp
udp
stcp
sudp
atcp
audp
위처럼 적어주시고 ntsysv에서 portsentry를 체크하시고 바로사용하시려면
/etc/rc.d/init.d/portsentry start하시면 바로 실행됩니다.
좀더 자세한 정보는 관련링크를 방문해보세요
관련 링크: http://kltp.kldp.org/stories.php?story=01/09/07/6332663
'Security' 카테고리의 다른 글
ipchains 설정예제(마스커레이딩) (0) | 2001.08.08 |
---|---|
리눅스서버에서 열린포트 찾기 (0) | 2001.08.08 |
특정 아이피에게만 텔넷허용 (0) | 2001.08.08 |
로그파일 관리 (0) | 2001.08.08 |
last, lastlog, lastcomm (0) | 2001.08.08 |