Otras opciones de configuración

Tras haber especificado los puertos que deseamos escuchar, hay algunos parámetros adicionales que debemos especificar:

IGNORE_FILE

es el nombre del archivo que incluye la lista de direcciones en las que confiamos y por tanto no queremos bloquear si intentan accesar un puerto bloqueado. Por ejemplo, sería muy molesto que quisiéramos correr nmap contra uno de nuestros servidores para asegurarnos de que no haya servicios abiertos que no requiramos y que nosotros mismos nos bloqueáramos por ello.

HISTORY_FILE

contiene la lista de direcciones que Portsentry ha detectado intentando accesar puertos monitoreados.

BLOCKED_FILE

es equivalente a HISTORY_FILE, pero relevante únicamente a la sesión actual de Portsentry.

BLOCK_TCP

especifica qué hacer cuando un barrido de puertos TCP es detectado. Tiene tres posibles valores: 0 (sólo registrar el intento), 1 (bloquear la dirección que intentó averiguar acerca de nosotros) y 2 (correr un comando externo especificado en KILL_RUN_CMD).

BLOCK_UDP

es equivalente a BLOCK_TCP para barridos de puertos UDP.

KILL_ROUTE

guarda el comando utilizado para descartar toda la comunicación con una dirección. En los Unixes que no incluyen un paquete que permita manejar reglas de filtrado de paquetes tipo firewall sugiere hacerlo creando una ruta estática hacia dicho host por una interfaz por la que nunca podremos llegar a él (una dirección IP falsa o localhost), evitando toda posible respuesta. En un sistema que incluya un filtro de paquetes (por ejemplo, ipchains en Linux o ipf en los *BSD) es muy preferible manejar una regla bloqueando la conexión.

KILL_HOSTS_DENY

tiene la línea que deberá ser agregada a /etc/hosts.deny para que la dirección atacante sea bloqueada por TCPwrappers. Es conveniente activarlo, pues a diferencia de las reglas manejadas por KILL_ROUTE éste archivo sobrevivirá a la baja del sistema. Claro, no hay que confiarse - TCPwrappers sólo maneja determinados servicios, y si sólo nos protegemos con él, el sistema podrá seguir proporcionando información importante a nuestro atacante.

KILL_RUN_CMD

puede guardar un comando a ser ejecutado de ser detectada una intrusión. No recomendamos utilizar esta opción, ya que puede fácilmente llevar a una negación de servicio. Hay administradores que sugieren utilizar esta opción para lanzar un contraataque contra el atacante. Nosotros categóricamente les indicamos que esto es una muy mala idea -- La mejor defensa es tener nuestro sistema seguro, no atacar al enemigo. Al atacar al enemigo, lo más probable es que centre más su atención en nosotros y, con el paso del tiempo, logre penetrar nuestra seguridad. Es mucho mejor aparentar que nada ocurrió o simplemente tirar la conexión que atacar de vuelta.

SCAN_TRIGGER

indica qué tan rápido marcar una intento fallido de conexión como un ataque. Probablemente, si a la primera bloqueamos toda comunicación con el presunto atacante, dejaremos fuera a muchos usuarios legítimos que por casualidad hicieron la conexión equivocada. Sin embargo, si ponemos un número muy alto nos exponemos a dar más información de la que hubiéramos querido. Un valor de 1 o 2 es recomendado, aunque los muy paranóicos querrán mantenerlo en 0.