Nah kali ini saya membahas cara mengamankan server yang kita buat dari ganggu orang yang tidak dikenal, salah satunya dengan portsentry, naah ini cara setting dan install nya
pertama :
install dulu portsentry nya, cara nya masuk terminal ya!!! ketik:
$ sudo apt-get install portsentry
Kemudian melakukan sedikit konfigurasi pada portsentry agar dapat melindungi dari scanning yang dilakukan oleh IP Scanner :
$ sudo pico /etc/portsentry/portsentry.conf
Cari bari ini :
# 0 = Do not block UDP/TCP scans.
# 1 = Block UDP/TCP scans.
# 2 = Run external command only (KILL_RUN_CMD)
BLOCK_UDP="0"
BLOCK_TCP="0"
Ubah menjadi :
BLOCK_UDP="1"
BLOCK_TCP="1"
Dan juga pastikan baris ini aktif :
KILL_ROUTE="/sbin/route add -host $TARGET$ reject"
Setelah itu IP Target mengaktifkan service portsentry yang sudah di install tadi :
$ sudo /etc/init.d/portsentry start
Nah sekarang, si IP Scanner mencoba kembali melakukan scanning terhadap IP Target yang sudah dipasang PortSentry :
# nmap -sS -vv -P0 -sV 10.10.10.1
# nmap -sS -vv -P0 -sV 10.10.10.1
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2011-10-18 16:45 WIT
Initiating ARP Ping Scan against 10.10.10.1 [1 port] at 16:45
The ARP Ping Scan took 0.01s to scan 1 total hosts.
DNS resolution of 1 IPs took 0.01s.
Initiating SYN Stealth Scan against 10.10.10.1 [1680 ports] at 16:45
Discovered open port 32774/tcp on 10.10.10.1
Discovered open port 32773/tcp on 10.10.10.1
Discovered open port 143/tcp on 10.10.10.1
Discovered open port 79/tcp on 10.10.10.1
Discovered open port 32771/tcp on 10.10.10.1
Discovered open port 1/tcp on 10.10.10.1
Discovered open port 139/tcp on 10.10.10.1
Discovered open port 111/tcp on 10.10.10.1
Discovered open port 54320/tcp on 10.10.10.1
Discovered open port 15/tcp on 10.10.10.1
Discovered open port 445/tcp on 10.10.10.1
Discovered open port 27665/tcp on 10.10.10.1
Discovered open port 119/tcp on 10.10.10.1
Discovered open port 12345/tcp on 10.10.10.1
Discovered open port 31337/tcp on 10.10.10.1
Discovered open port 1524/tcp on 10.10.10.1
Discovered open port 1080/tcp on 10.10.10.1
Discovered open port 2000/tcp on 10.10.10.1
Discovered open port 6667/tcp on 10.10.10.1
Discovered open port 12346/tcp on 10.10.10.1
Discovered open port 322/tcp on 10.10.10.1
Discovered open port 32772/tcp on 10.10.10.1
Discovered open port 540/tcp on 10.10.10.1
Discovered open port 11/tcp on 10.10.10.1
Discovered open port 635/tcp on 10.10.10.1
The SYN Stealth Scan took 0.14s to scan 1680 total ports.
Initiating service scan against 25 services on 10.10.10.1 at 16:45
--- Berhenti sampai disini karena IP Scanner sudah terblokir secara otomatis oleh portsentry yang ada pada IP Target ---
Kalau dilihat sekarang, PortSentry ini banyak membuat daemon/service palsu pada server IP Target, sehingga tentunya akan menyulitkan bagi si IP Scanner untuk mencari lebih dalam dari port yang ada pada IP Target, dan juga saat ini IP Scanner telah masuk kedalam blokir atau blacklist dari portsentry yang ada di IP Target.
PortSentry ini melakukan deteksi terhadap IP yang melakukan scanning dan kemudian melakukan blocking terhadap IP tersebut. hal ini bisa dilihat pada log yang ada di IP Target dimana portsentry berada :
# tail -f /var/log/syslog
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Connect from host: 10.10.10.2/10.10.10.2 to TCP port: 79
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Host: 10.10.10.2 is already blocked. Ignoring
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Connect from host: 10.10.10.2/10.10.10.2 to TCP port: 111
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Host: 10.10.10.2 is already blocked. Ignoring
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Connect from host: 10.10.10.2/10.10.10.2 to TCP port: 119
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Host: 10.10.10.2 is already blocked. Ignoring
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Connect from host: 10.10.10.2/10.10.10.2 to TCP port: 143
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Host: 10.10.10.2 is already blocked. Ignoring
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Connect from host: 10.10.10.2/10.10.10.2 to TCP port: 540
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Host: 10.10.10.2 is already blocked. Ignoring
PortSentry ini melakukan bloking terhadap IP Scanner dan memasukannya kedalam file /etc/hosts.deny dan juga membuat routing ke IP Scanner menjadi null routing atau Network is unreachable.
Jika dilihat routingnya dari IP Target seperti ini jadinya :
$ route -n
10.10.0.0 0.0.0.0 255.255.0.0 U 1 0 0 eth0
10.10.10.2 - 255.255.255.255 !H 0 - 0 -
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 eth0
Pertanyaannya sekarang adalah bagaimana cara nya untuk merelease atau membuka blokir yang dilakukan oleh portsentry??
Caranya pertama-tama adalah membuang IP Scanner (IP yang terblokir) dari /etc/hosts.deny dan setelah itu hapus juga routing null nya di IP Target (dimana portsentry di install) :
$ sudo route del 10.10.10.2
Lakukan juga restart service portsentry nya :
# /etc/init.d/portsentry stop
Stopping anti portscan daemon: portsentry.
# /etc/init.d/portsentry start
Starting anti portscan daemon: portsentry in tcp & udp mode.
Jika kita ingin menambahkan whitelist di portsentry ini dapat di masukan block IP nya kedalam file yang ada pada :
/etc/portsentry/portsentry.ignore
IP yang ditambahkan pada file tersebut diatas maka akan di abaikan oleh portsentry.
Kemudian melakukan sedikit konfigurasi pada portsentry agar dapat melindungi dari scanning yang dilakukan oleh IP Scanner :
$ sudo pico /etc/portsentry/portsentry.conf
Cari bari ini :
# 0 = Do not block UDP/TCP scans.
# 1 = Block UDP/TCP scans.
# 2 = Run external command only (KILL_RUN_CMD)
BLOCK_UDP="0"
BLOCK_TCP="0"
Ubah menjadi :
BLOCK_UDP="1"
BLOCK_TCP="1"
Dan juga pastikan baris ini aktif :
KILL_ROUTE="/sbin/route add -host $TARGET$ reject"
Setelah itu IP Target mengaktifkan service portsentry yang sudah di install tadi :
$ sudo /etc/init.d/portsentry start
Nah sekarang, si IP Scanner mencoba kembali melakukan scanning terhadap IP Target yang sudah dipasang PortSentry :
# nmap -sS -vv -P0 -sV 10.10.10.1
# nmap -sS -vv -P0 -sV 10.10.10.1
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2011-10-18 16:45 WIT
Initiating ARP Ping Scan against 10.10.10.1 [1 port] at 16:45
The ARP Ping Scan took 0.01s to scan 1 total hosts.
DNS resolution of 1 IPs took 0.01s.
Initiating SYN Stealth Scan against 10.10.10.1 [1680 ports] at 16:45
Discovered open port 32774/tcp on 10.10.10.1
Discovered open port 32773/tcp on 10.10.10.1
Discovered open port 143/tcp on 10.10.10.1
Discovered open port 79/tcp on 10.10.10.1
Discovered open port 32771/tcp on 10.10.10.1
Discovered open port 1/tcp on 10.10.10.1
Discovered open port 139/tcp on 10.10.10.1
Discovered open port 111/tcp on 10.10.10.1
Discovered open port 54320/tcp on 10.10.10.1
Discovered open port 15/tcp on 10.10.10.1
Discovered open port 445/tcp on 10.10.10.1
Discovered open port 27665/tcp on 10.10.10.1
Discovered open port 119/tcp on 10.10.10.1
Discovered open port 12345/tcp on 10.10.10.1
Discovered open port 31337/tcp on 10.10.10.1
Discovered open port 1524/tcp on 10.10.10.1
Discovered open port 1080/tcp on 10.10.10.1
Discovered open port 2000/tcp on 10.10.10.1
Discovered open port 6667/tcp on 10.10.10.1
Discovered open port 12346/tcp on 10.10.10.1
Discovered open port 322/tcp on 10.10.10.1
Discovered open port 32772/tcp on 10.10.10.1
Discovered open port 540/tcp on 10.10.10.1
Discovered open port 11/tcp on 10.10.10.1
Discovered open port 635/tcp on 10.10.10.1
The SYN Stealth Scan took 0.14s to scan 1680 total ports.
Initiating service scan against 25 services on 10.10.10.1 at 16:45
--- Berhenti sampai disini karena IP Scanner sudah terblokir secara otomatis oleh portsentry yang ada pada IP Target ---
Kalau dilihat sekarang, PortSentry ini banyak membuat daemon/service palsu pada server IP Target, sehingga tentunya akan menyulitkan bagi si IP Scanner untuk mencari lebih dalam dari port yang ada pada IP Target, dan juga saat ini IP Scanner telah masuk kedalam blokir atau blacklist dari portsentry yang ada di IP Target.
PortSentry ini melakukan deteksi terhadap IP yang melakukan scanning dan kemudian melakukan blocking terhadap IP tersebut. hal ini bisa dilihat pada log yang ada di IP Target dimana portsentry berada :
# tail -f /var/log/syslog
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Connect from host: 10.10.10.2/10.10.10.2 to TCP port: 79
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Host: 10.10.10.2 is already blocked. Ignoring
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Connect from host: 10.10.10.2/10.10.10.2 to TCP port: 111
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Host: 10.10.10.2 is already blocked. Ignoring
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Connect from host: 10.10.10.2/10.10.10.2 to TCP port: 119
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Host: 10.10.10.2 is already blocked. Ignoring
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Connect from host: 10.10.10.2/10.10.10.2 to TCP port: 143
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Host: 10.10.10.2 is already blocked. Ignoring
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Connect from host: 10.10.10.2/10.10.10.2 to TCP port: 540
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Host: 10.10.10.2 is already blocked. Ignoring
PortSentry ini melakukan bloking terhadap IP Scanner dan memasukannya kedalam file /etc/hosts.deny dan juga membuat routing ke IP Scanner menjadi null routing atau Network is unreachable.
Jika dilihat routingnya dari IP Target seperti ini jadinya :
$ route -n
10.10.0.0 0.0.0.0 255.255.0.0 U 1 0 0 eth0
10.10.10.2 - 255.255.255.255 !H 0 - 0 -
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 eth0
Pertanyaannya sekarang adalah bagaimana cara nya untuk merelease atau membuka blokir yang dilakukan oleh portsentry??
Caranya pertama-tama adalah membuang IP Scanner (IP yang terblokir) dari /etc/hosts.deny dan setelah itu hapus juga routing null nya di IP Target (dimana portsentry di install) :
$ sudo route del 10.10.10.2
Lakukan juga restart service portsentry nya :
# /etc/init.d/portsentry stop
Stopping anti portscan daemon: portsentry.
# /etc/init.d/portsentry start
Starting anti portscan daemon: portsentry in tcp & udp mode.
Jika kita ingin menambahkan whitelist di portsentry ini dapat di masukan block IP nya kedalam file yang ada pada :
/etc/portsentry/portsentry.ignore
IP yang ditambahkan pada file tersebut diatas maka akan di abaikan oleh portsentry.
selesai semoga bermanfaat . .
0 Response to "Cara mengamankan server ubuntu dengan portsentry"
Post a Comment