Portsentry

설명

Honey Pot을 통하여 해당 포트(tcp:32774)에 접근시 Port Scanning으로 판단하는 프로그램.

Port Scanning으로 판단시 Shell 스크립트를 실행하도록 설정 가능.

 

기본적으로 route add -host [ip] reject를 통한 라우팅 테이블을 통한 응답 거부 및 TCP Wrapper를 통한 접근 제어 가능.

 

TCP Wrapper는 IP 및 도메인 호스트 기반 ACL으로  /etc/hosts.deny, /etc/hosts.allow파일이 존재.

 

설치

apt-get install portsentry -y

 

설정 옵션

/etc/postsentry/postsentry.conf에 있음.

# 감지할 포트
TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,12346,20034,27665,31337,32771,32772,32773,32774,40421,49724,54320"
UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,37444,34555,31335,32770,32771,32772,32773,32774,31337,54321"

# 감지 시작 포트
ADVANCED_PORTS_TCP="1024"
ADVANCED_PORTS_UDP="1024"

# 스캔 탐지를 무시할 호스트가 작성된 파일
IGNORE_FILE="/etc/portsentry/portsentry.ignore"
# Log를 기록할 위치
HISTORY_FILE="/var/lib/portsentry/portsentry.history"
# 시작시 Block할 호스트가 존재하는 파일
BLOCKED_FILE="/var/lib/portsentry/portsentry.blocked"

# 차단 규칙 실행 여부
# 0 = Do not block UDP/TCP scans.
# 1 = Block UDP/TCP scans.
# 2 = Run external command only (KILL_RUN_CMD)

BLOCK_UDP="1"
BLOCK_TCP="1"

# 쉘 명령을 통한 차단규칙. 아래는 라우팅 테이블에서 호스트가 존재하지 않다고 정의하여 차단
KILL_ROUTE="/sbin/route add -host $TARGET$ reject"

# TCP Wrapper 차단 규칙 
KILL_HOSTS_DENY="ALL: $TARGET$ : DENY"

 

 

Log 파일

1732176671 - 11/21/2024 17:11:11 Host: 172.16.20.15/172.16.20.15 Port: 7 UDP Blocked
1732177149 - 11/21/2024 17:19:09 Host: 172.16.13.9/172.16.13.9 Port: 111 TCP Blocked
1732178071 - 11/21/2024 17:34:31 Host: 172.16.13.9/172.16.13.9 Port: 79 TCP Blocked
1732178262 - 11/21/2024 17:37:42 Host: 172.16.13.9/172.16.13.9 Port: 119 TCP Blocked
1732178373 - 11/21/2024 17:39:33 Host: 172.16.13.9/172.16.13.9 Port: 111 TCP Blocked
1732178536 - 11/21/2024 17:42:16 Host: 172.16.20.15/172.16.20.15 Port: 143 TCP Blocked
1732179891 - 11/21/2024 18:04:51 Host: 172.16.20.15/172.16.20.15 Port: 111 TCP Blocked
1732179896 - 11/21/2024 18:04:56 Host: 172.16.13.9/172.16.13.9 Port: 111 TCP Blocked

 

 

라우팅 테이블 및 /etc/hosts.deny

# 라우팅 테이블

root@Ubuntu:/etc# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         172.16.0.1      0.0.0.0         UG    100    0        0 ens37
0.0.0.0         172.16.0.1      0.0.0.0         UG    101    0        0 ens38
0.0.0.0         172.16.0.1      0.0.0.0         UG    102    0        0 ens33
172.16.0.0      0.0.0.0         255.255.0.0     U     100    0        0 ens37
172.16.0.0      0.0.0.0         255.255.0.0     U     101    0        0 ens38
172.16.0.0      0.0.0.0         255.255.0.0     U     102    0        0 ens33
172.16.20.15    -               255.255.255.255 !H    0      -        0 -

 

라우팅 테이블 flag에 !H로 등록됨.

시스템이 재시작 될 시 이는 삭제되는 라우팅 테이블임

 

# /etc/hosts.deny

# ALL: PARANOID
ALL: 172.16.20.15 : DENY