Bonjour, > J'essaye de configurer Portsentry sur un firewall (ipchains) pour qu'il > protege un reseau local. > Lors d'un nmap externe vers l'une des interfaces du firewall, Portsentry > reagit bien en bloquant l'adresse IP de l'attaquant. > Mais il ne fait rien pour les scans vers le reseau local.
cf portsentry.conf et portsentry.ignore ###################### # Configuration Files# ###################### # # Hosts to ignore IGNORE_FILE="/usr/local/psionic/portsentry/portsentry.ignore" [...] # Generic Linux KILL_ROUTE="/sbin/route add -host $TARGET$ gw 333.444.555.666" [...] KILL_ROUTE="/sbin/ipchains -I input -s $TARGET$ -j DENY -l" [...] KILL_HOSTS_DENY="ALL: $TARGET$" [EMAIL PROTECTED] ]$ cat portsentry.ignore # Put hosts in here you never want blocked. This includes the IP addresses # of all local interfaces on the protected host (i.e virtual host, mult-home) # Keep 127.0.0.1 and 0.0.0.0 to keep people from playing games. > Je n'ai trouve aucunes options pour indiquer l'ensemble des adresses a > proteger !? Portsentry reagit aux scans adress�s � la machine sur laquelle il tourne. Ce soft est destin� � prot�ger une machine et non un r�seau. D'autres softs (snort me vient � l'esprit, mais ce n'est pas le seul), correspondent sans doutes plus � tes besoins si tu veux s�curiser un r�seau. Donc il est normal que portsentry ne r�agisse pas aux scans "r�seaux", a moins q'une des machines scannees ne fassent tourner portsentry. > D'autre part, il y a t'il une temporisation au bout de laquelle une > adresse blacklistee est de nouveau autorisee ? Portsentry peut "out of the box" ajouter une regle IPchains et/ou une entree dans /etc/hosts.deny A priori, les regles IPchains seront r�initialis�es au prochain boot. Seul l'entr�e dans /etc/hosts.deny restera effective apr�s un reboot. Je ne pense pas qu'il soit pr�vu de temporisation au niveau des r�gles IPchains. <rant> Par ailleurs, Portsentry est un excellent logiciel, mais il peut tres facilement �tre utilis� pour des attaques de type DoS, s'il est plac�e sur une machine fournissant des services. Il reste donc � utiliser avec pr�cautions AMHA, et ne doit pas remplacer un bon param�trage pr�alable de la machine qui l'h�berge (sans parler du r�seau). </rant> A+ Amaury
