Portspoof est un programme conçu pour améliorer la sécurité des systèmes d’exploitation à travers l’émulation de signatures de services légitimes sur des ports qui sont supposés être fermés.
Le but étant de fournir de fausses informations à toute personne qui tenterait de s’introduire au système, et lui faire perdre un temps énorme en le menant vers de fausses pistes.
Concrètement, c’est un programme qui vous permettra de faire croire à vos attaquants que certains ports sont ouverts alors qu’ils ne le sont pas réalité. Toute chose qui peut prêter à confusion.
Ce programme écrit en C++ peut être considéré comme un supplément aux logiciels de sécurité déjà en place sur une infrastructure (IDS/IPS, pare-feu, etc.).

Lorsqu’il est lancé, Portspoof reste à l’écoute sur un seul port (le port 4444 par défaut). Grâce aux règles d’iptables, il vous sera possible de rediriger toutes les requêtes sur les ports fermés du système vers le port utilisé par Portspoof. Celui-ci se chargera à son tour de faire croire que ces ports sont ouverts.

Portspoof dispose de plus de 8000 signatures qui vous permettront de confondre les scanneurs de port.

Voyons à présent en pratique comment cet outil fonctionne.

Installation

Pour installer Portspoof, clonez tout d’abord le repo de l’outil:

# git clone https://github.com/drk1wi/portspoof.git

Puis, compilez le programme:

# ./configure
# make
# sudo make install

Ci-dessous le menu d’aide de Portspoof:

Exemple d’utilisation

Passons à la configuration de notre machine stormy:

A travers la table Nat d’iptables, nous redirigerons toutes les requêtes sur l’ensemble des ports de 1 à 1023 vers le port 1024 qui sera utilisé par Portspoof. Seuls les ports 80 et 443 (utilisés par Apache) et le port 222 (utilisé par OpenSSH) _ des ports utilisés par des services légitimes du serveur _ seront disponibles.

# iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp -m multiport --dports 1:79,81:221,223:442,444:1023 -j REDIRECT --to-ports 1024

Lançons Portspoof à présent sur le port 1024.

# portspoof -p 1024

A partir de notre machine Kali, réalisons un simple scan avec nmap.

Le résultat du scan nous informe que tous les ports de 1 à 1024 sont ouverts.

Pour permettre Portspoof de répondre aux requêtes avec des fausses signatures de services, il faudra lui passer en paramètres un fichier de configuration et un autre fichier contenant les fausses signatures. Ces fichiers sont contenus dans le dossier portspoof/tools.

# portspoof -c portspoof/tools/portspoof.conf -s portspoof/tools/portspoof_signatures

Un scan de nmap pour déterminer les versions des services sur la machine ciblée nous retourne le résultat suivant.

Il est clair que tels résultats pourront confondre toute personne qui tenterait d’accéder à votre serveur.

Happy Hacking !

mdestroy

The post Comment tromper les pirates avec Portspoof ? appeared first on Homputer Security.