Portsentry

Portsentry adalah sebuah perangkat lunak yang dirancang untuk mendeteksi adanya port scanning & merespon secara aktif jika ada port scanning. Port scan adalah proses scanning berbagai aplikasi servis yang dijalankan di server Internet. Port scan adalah langkah  paling awal sebelum sebuah serangan dilakukan. Terus terang, cara merespon portsentry cukup  sadis, jika ada mesin yang tertangkap basah melakukan port scan terhadap Server yang kita miliki maka secara aktif akan memblokir mesin penyerang agar tidak dapat masuk & melakukan transaksi dengan Server kita. Bagi mesin yang sial tersebut, maka jangan berharap untuk melakukan hubungan ke Server yang kita miliki. 

Salah satu fungsi portsentry ialah memasukkan IP address komputer yang melakukan scanning ke dalam file/etc/hosts. deny. File/etc/hosts.deny ini akan diakses oleh sistem untuk mengecek IP address komputer mana saja yang tidak diperbolehkan mengakses ke dalam sistem. Ketika seseorang melakukan scanning port maka secara otomatis IP addressnya akan dimasukkan ke dalam /etc/hosts.deny. Sebelum IP address tersebut dihapus dari /etc/hosts.deny, selamanya tidak dapat mengakses ineternet  service komputer kita.

Beberapa fitur utama dari portsentry: 

• Berjalan di atas soket TCP & UDP untuk mendeteksi scan port ke sistem kita.
• Mendeteksi stealth scan, seperti SYN/half-open, FIN, NULL, X-MAS.
• Portsentry akan bereaksi secara real-time (langsung) dengan cara memblokir IP address si penyerang. Hal ini dilakukan dengan menggunakan ipchains/ipfwadm dan memasukan ke file /etc/host.deny secara otomatis oleh TCP Wrapper.
• Portsentry mempunyai mekanisme untuk mengingat mesin / host mana yang pernah connect ke dia. Dengan cara itu, hanya mesin / host yang terlalu sering melakukan sambungan (karena melakukan scanning) yang akan diblokir.
• Portsentry akan melaporkan semua pelanggaran melalui syslog dan mengindikasikan nama system, waktu serangan, IP mesin penyerang, TCP / UDP port tempat serangan dilakukan. Jika hal ini di integrasikan dengan Logcheck maka administrator system akan memperoleh laporan melalui e-mail.

Dengan adanya berbagai fitur di atas maka system yang kita gunakan tampaknya seperti hilang dari pandangan penyerang. Hal ini biasanya cukup membuat kecut nyali penyerang. 

Penggunaan portsentry sendiri sangat mudah sekali, bahkan untuk penggunaan biasa saja praktis semua instalasi default tidak perlu di ubah apa-apa dapat langsung digunakan. Instalasi portsentry di Linux Mandrake 8.0 dapat dilakukan pada saat instalasi awal dengan memilih paket portsentry, atau setelah Linux di install dengan cara menggunakan Software Manager di desktop untuk menambahkan portsentry. 

Yang mungkin perlu ditune-up sedikit adalah file konfigurasi portsentry yang semuanya berlokasi di /etc/portsentry. Untuk mengedit file konfigurasi tersebut anda membutuhkan privilige sebagai root. Pengalaman saya selama ini, tidak banyak yang perlu ditune-up. Beberapa hal yang mungkin perlu diset adalah: 

• file/etc/portsentry/portsentry.conf merupakan konfigurasi utama portsentry. Disini secara bertahap diset port mana saja yang perlu di monitor, respon apa yang harus dilakukan ke mesin yang melakukan portscan, mekanisme menghilangkan mesin dari routing table, masukan ke host.deny. Proses setting sangat mudah hanya dengan membuka atau menutup tanda pagar (#) saja. Pada kenyataannya, jika kita ambil dari distribusi Linux Mandrake, semua option di portsentry.conf yang ada kita diamkan saja portsentry sudah berjalan dengan baik.
• pada file /etc/ portsentry /always_ignore masukan semua IP address di LAN yang harus selalu di abaikan oleh portsentry. Saya biasanya memasukan IP address desktop / laptop administrator LAN ke sini, agar tidak terblokir secara tidak sengaja.
• Pada file /etc/ portsentry / portsentry.ignore isikan IP address yang perlu di abaikan sama dengan isi file /etc/ portsentry /always_ignore.
• Pada file /etc/ portsentry.modes kita dapat menset mode deteksi yang dilakukan portsentry. Semakin baik mode deteksi yang dipilih (advanced stealth TCP/UP scanning), biasanya portsentry akan semakin sensitif & semakin rewel karena sedikit-sedikit akan memblokir mesin.