next up previous
Next: Removiendo direcciones marcadas como Up: Uso diario Previous: Uso diario

Registro en las bitácoras

El simple hecho de que Portsentry evite ciertos ataques al sistema es de por sí muy bueno y deseable. Sin embargo, para que ésto nos sea realmente útil, tenemos que analizar nuestras bitácoras y llevar registro de quién y cuándo intentó barrer nuestros puertos. Además, sólo leyendo las bitácoras sabremos si estamos limitando de más, bloqueando el acceso de máquinas legítimas.

Afortunadamente, Portsentry utiliza syslog para reportar toda la información que el administrador debe saber, por lo cual todo lo que necesitamos estará típicamente en el archivo /var/log/messages, o donde se lo hayamos especificado en el syslogd.conf. La detección de un barrido hecho por nmap en un sistema Linux se ve así: 


Sep 27 20:10:48 hostname portsentry[14722]: attackalert: SYN/Normal scan from host: ejemplo.dominio.com/192.168.1.3 to TCP port: 1019
Sep 27 20:10:48 hostname portsentry[14722]: attackalert: Host 192.168.1.3 has been blocked via wrappers with string: "ALL: 192.168.1.3"
Sep 27 20:10:48 hostname portsentry[14722]: attackalert: Host 192.168.1.3 has been 
                                           blocked via dropped route using command: "/sbin/ipchains -I input -s 192.168.1.3 -j DENY -l"
Sep 27 20:10:48 hostname portsentry[14722]: attackalert: SYN/Normal scan from host: ejemplo.dominio.com/192.168.1.3 to TCP port: 70
Sep 27 20:10:48 hostname portsentry[14722]: attackalert: Host: ejemplo.dominio.com/192.168.1.3 is already blocked Ignoring
Sep 27 20:10:48 hostname portsentry[14722]: attackalert: SYN/Normal scan from host: ejemplo.dominio.com/192.168.1.3 to TCP port: 934
Sep 27 20:10:48 hostname portsentry[14722]: attackalert: Host: ejemplo.dominio.com/192.168.1.3 is already blocked Ignoring
Sep 27 20:10:48 hostname portsentry[14722]: attackalert: SYN/Normal scan from host: ejemplo.dominio.com/192.168.1.3 to TCP port: 267
Sep 27 20:10:48 hostname portsentry[14722]: attackalert: Host: ejemplo.dominio.com/192.168.1.3 is already blocked Ignoring
Sep 27 20:10:48 hostname portsentry[14722]: attackalert: SYN/Normal scan from host: ejemplo.dominio.com/192.168.1.3 to TCP port: 202
Sep 27 20:10:48 hostname portsentry[14722]: attackalert: Host: ejemplo.dominio.com/192.168.1.3 is already blocked Ignoring
Sep 27 20:10:48 hostname portsentry[14722]: attackalert: SYN/Normal scan from host: ejemplo.dominio.com/192.168.1.3 to TCP port: 613
(...)


Gunnar Wolf
2000-09-28