Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Informe PortSentry
Indice
Conceptos Bsicos: .............................................................................................................................. 3
Instalacin: .......................................................................................................................................... 3
Pruebas:............................................................................................................................................... 5
Prueba escaneo con nmap: ................................................................................................................. 7
Prueba Ping: ........................................................................................................................................ 6
Prueba SSH: ......................................................................................................................................... 8
Conceptos Bsicos:
Portsentry: es un sistema de deteccin de intrusiones para detectar ataques, registrarlos, ayudar a
trazar el origen del ataque e incluso con la posibilidad de detener el ataque.
Modos de configuracin:
Antes de entrar en materia tenemos que conceptualmente diferenciar tres modos con los que
podemos configurar portsentry
Basic: Este es el que se utiliza por defecto, si no has ledo esto primero te da la sensacin que al
arrancar el demonio estamos peor que antes, puesto que el primer nmap que hacemos para
probar vemos ms puertos abiertos de lo normal; esto es el comportamiento habitual se hace para
dar la falsa impresin de que estamos ofreciendo servicios en los puertos indicados en TCP y UDP,
de modo que tenemos entretenido al supuesto atacante.
Stealth: En este modo portsentry escucha en los sockets de los puertos en lugar de simularlo. Este
modo puede detectar una amplia variedad de tcnicas de escaneo (strobe-style, SYN, FIN, NULL,
XMAS and UDP scans), pero es ms sensitivo y puede producir falsas alarmas.
Advanced Stealth: Este modo ofrece el mismo nivel de deteccin que el stealh pero en lugar de
monitorizar un nmero de puertas seleccionadas lo hace con un rango (1024 por defecto).
Instalacin:
Se trabaj bajo un sistema operativo Linux, distribucin Ubuntu 14.04.
Previo a la instalacin se ley las guas que estn en uvirtual, apartado IDS. Donde una de ellas
explica detalladamente en consiste portsentry y un resumen de como instalarlo. Otro link que
explica la receta detallada de como instalarlo.
Se descarg la versin de portsentry que estaba en uvirtual y se procedi a seguir la receta:
tar zxvf portsentry-1.2.tar.gz
cd portsentry_beta
3
make linux
Al ejecutar esta lnea dio error debido a que en el script portsentry.c haba una lnea errnea.
Lnea 1584. Al arreglar esta lnea se termin la instalacin con el siguiente comando:
make install
Luego
de
esto
se
abrio,
pero
no
modifico
el
porsentry.conf,
ubicado
en
/usr/local/psionic/portsentry/.
Para hacer la ejecucin del porsentry se cre un script en /etc/inti.d diferente al de la receta que
fue el siguiente:
#!/bin/bash
case "$1" in
start)
echo "Starting Portsentry..."
ps ax | grep -iw '/usr/local/psionic/portsentry/portsentry -atcp' | grep -iv 'grep' > /dev/null
if [ $? != 0 ]; then
/usr/local/psionic/portsentry/portsentry -atcp
fi
ps ax | grep -iw '/usr/local/psionic/portsentry/portsentry -audp' | grep -iv 'grep' > /dev/null
if [ $? != 0 ]; then
/usr/local/psionic/portsentry/portsentry -audp
fi
echo "Portsentry is now up and running!"
;;
stop)
echo "Shutting down Portsentry..."
array=(`ps ax | grep -iw '/usr/local/psionic/portsentry/portsentry' | grep -iv 'grep' \
| awk '{print $1}' | cut -f1 -d/ | tr '\n' ' '`)
element_count=${#array[@]}
index=0
while [ "$index" -lt "$element_count" ]
do
kill -9 ${array[$index]}
let "index = $index + 1"
done
echo "Portsentry stopped!"
;;
4
restart)
$0 stop && sleep 3
$0 start
;;
*)
echo "Usage: $0 {start|stop|restart}"
exit 1
esac
exit 0
Si se quiere modificar el modo de ejecucin, el script debe cambiar donde se encuentra resaltado.
Luego se le dio permiso para ejecucin chmod 755 /etc/init.d/portsentry
Y para iniciar portsentry se aplica: /etc/init.d/portsentry start
En esta imagen se puede observar que el proceso se est ejecutando y que ya fue instalado el
programa.
Pruebas:
Previo a las pruebas se instal el servicio ssh en la mquina que recibe el ataque y nmap a la
maquina atacante usando apt-get install nmap y apt-get install ssh. Sin hacerles ningn cambio
de configuracin a las instalaciones se procede a hacer la prueba de ataque.
Las pruebas se realizaron con dos mquinas Ubuntu 14.04 y una Windows 10 (solo ping), a
continuacin se muestra la ip de cada una.
Prueba Ping:
Esto se debe a que no se hace escaneo de puertos, ya que el ping se hace por protocolo icmp, el
escaneo de puertos por TCP/UDP.
Este resultado fue el mismo en los dos archivos. En esta parte de la prctica se torna interesante el
ambiente. Con lo que pasa ms adelante
Prueba SSH:
Desde la maquina atacante se hizo el intento de conexin de la siguiente manera: ssh v
Silverio@192.168.80.139, pero la conexin no se realizaba y daba el siguiente resultado:
Despues de esto se retom el manual de portsentry donde deca como podamos remover los
intrusos, llegando as al archivo host.deny, donde se encontraba lo siguiente:
La mquina atacante fue totalmente bloqueada. Se modific el archivo, borrando la nica lnea
que haba y se intent de nuevo hacer la prueba con el servicio ssh, dando un resultado exitoso.
Para finalizar la practica portsentry es una buena opcin para deteccin de intrusos, ya que con el
desarrollo de la prctica se pudo observar su funcionalidad y como configurar segn nuestras
necesidades.
10