Portspoof : la technique qui émule des services valides sur les 65 535 ports TCP

 (github.com/drk1wi)
1 points par GN⁺ 2024-12-26 | 1 commentaires | Partager sur WhatsApp

  • Aperçu du logiciel Portspoof

    • Portspoof est un logiciel conçu pour renforcer la sécurité du système d’exploitation.
    • Il maintient en permanence ouverts les 65 535 ports TCP afin d’empêcher un attaquant de déterminer l’état des ports.
    • Lors d’un scan de ports, il signale tous les ports comme OPEN, ce qui neutralise les scans de ports furtifs.
    • Chaque port TCP ouvert génère une fausse bannière via l’émulation de service afin de tromper les scanners.
    • Il utilise une base de données dynamique de signatures de services pour répondre aux sondes de service avec des signatures valides.
    • Il rend plus difficile pour un attaquant d’identifier les véritables numéros de port du système.

  • L’art de la défense contre les attaques

    • Portspoof peut transformer le système en s’appuyant de manière offensive sur les outils et exploits des attaquants.
    • Il est conçu comme un composant additionnel d’un système de pare-feu léger, rapide, portable et sûr.
    • Il renforce la sécurité du système en rendant la phase de reconnaissance de l’attaquant lente et fastidieuse.
    • C’est un logiciel en espace utilisateur qui ne nécessite pas de privilèges root.
    • Une instance en cours d’exécution ne se lie qu’à un seul port TCP.
    • Il peut être facilement personnalisé via des règles iptables.
    • Il consomme peu de CPU et de mémoire, et prend en charge le multithreading.
    • Il fournit plus de 9 000 signatures de services dynamiques pour semer la confusion dans les logiciels de scan des attaquants.

  • Auteur

    • Piotr Duszyński (@drk1wi).

  • Usage commercial

    • Portspoof est fourni sous une licence spécifique, et tout usage commercial nécessite une discussion de licence avec l’auteur.

À lire aussi

1 commentaires

 
GN⁺ 2024-12-26
Avis Hacker News
  • Le port 0 est utilisé sur certains systèmes d’exploitation comme hôte de service accessible via Internet
  • La configuration par défaut de MariaDB fait écouter la base de données sur le port 0, si bien que les tentatives de blocage de l’accès depuis Internet ne sont pas efficaces sur de nombreux systèmes
  • Certains estiment que la sécurité informatique va évoluer vers une « défense active »
    • La complexité et la structure multicouche du système immunitaire sont comparées à la sécurité des ordinateurs et des réseaux
  • Quelqu’un raconte avoir créé une page web générant des adresses e-mail aléatoires pour bloquer les spambots qui moissonnent les e-mails
  • L’idée est soulevée que le serveur pourrait être davantage sondé par des hackers ou des bots, ou voir son trafic augmenter
    • Il est jugé probable que la plupart des script kiddies ne filtrent pas les honeypots potentiels
  • La possibilité que cela devienne un amplificateur de DoS est évoquée
    • La question est posée de savoir si l’envoi de paquets usurpés appropriés pourrait faire renvoyer de nombreux paquets vers la source d’origine
  • Des doutes sont exprimés sur le fait qu’une seule instance d’exécution ne se lie qu’à un seul port TCP
    • La question est posée de savoir s’il faut exécuter 65535 instances pour couvrir tous les ports
  • Le fait que le mot « honeypot » ne soit pas utilisé est apprécié
    • Une personne partage sa surprise passée en ayant hérité d’un « vrai » honeypot avec 30 ports ouverts
  • Il est suggéré qu’on peut répartir le travail en utilisant des systèmes sur différentes IP afin d’accélérer le scan de ports
  • Il est fait mention d’une évolution naturelle consistant à annoncer les failles de sécurité, à maintenir une liste noire et à la réinjecter comme pare-feu sur les systèmes réels
  • L’avis est donné qu’utiliser les deux techniques ensemble rendrait plus difficile pour un attaquant d’identifier les services réels
    • La question est posée de savoir s’il s’agit d’utiliser l’obscurité comme mécanisme de sécurité
  • Il est mentionné qu’effectuer correctement la phase de reconnaissance du système nécessite plus de 8 heures et 200 Mo de données
    • La question est posée de savoir s’il s’agit d’utiliser l’obscurité comme mécanisme de sécurité
  • Il est demandé, avec la réserve de ne pas avoir forcément assez de connaissances en sécurité informatique, si le système pourrait attirer davantage l’attention à cause d’une instance Redis exposée