PortSpoof, un outil d'obfuscation complexifiant et ralentissant les scans de ports

Par Rédaction, secuobs.com
Le 09/08/2012

---

Résumé : PortSpoof est un outil open source d'obfuscation permettant de simuler des signatures de services pour des ports réseau qui ne sont pas ouverts. Ce procédé permettant d'une part de ralentir les scans de ports et d'autre part d'en complexifier l'interprétation des résultats finaux. - Lire l'article



Un nouvel outil de sécurisation, PortSpoof, vient d'être publié sous licence open source. En se basant sur le principe de la sécurisation par l'obfuscation, il vise à améliorer la sécurité des systèmes compatibles en simulant des signatures légitimes de services pour des ports réseau qui sont en réalité fermés. Par là-même, il permet aussi de complexifier la compréhension des scans de ports.

Huit cents secondes ont ainsi été requises pour effectuer un scan de ports à l'encontre d'un système d'exploitation utilisant Portspoof et cela à l'aide d'outils comme NMAP ou Unicornscan dont l'efficacité habituelle n'est plus à prouver. Cette durée devant être comparée aux vingt secondes uniquement nécessaires sur le même système ciblé lorsque PortSpoof n'était pas encore activé.

En s'attaquant directement aux étapes de reconnaissance préalable des services réseau présents sur une cible, PortSpoof rend donc la tâche plus ardue pour un attaquant devant discerner quels sont les ports réseau qui sont réellement ouverts sur le système d'exploitaiton ciblé. D'autant que la base de signatures de PortSpoof, un fichier à plat, contient déjà plus de 1 866 signatures bien distinctes.

PortSpoof se caractérise par ailleurs par le peu de ressources système que son utilisation requière, environ un demi pourcent d'utilisation CPU et 0,3 pourcents en ce qui concerne la mémoire système lors des tests menés au préalable par le développeur de PortSpoof. A savoir que cet outil supporte d'ailleurs le «  Multithread », une valeur de 10 threads étant fixée dans la configuration par défaut.

PortSpoof peut dès à présent être installé, configuré et exécuté sur une multitude de systèmes d'exploitation différents incluant tous les systèmes de type BSD ou GNU/Linux. Bien que prévu pour le développement des futures versions, il est cependant important de noter que les systèmes Apple Mac OS X et Microsoft Windows ne sont pas encore supportés par PortSpoof à l'heure actuelle.

Efficace face à la plupart des scanners de ports disponibles, cet outil d'obfuscation sera par défaut en écoute sur le seul port 4444 et cela sur toutes les interfaces réseau actives du système d'exploitation utilisé. Par l'intermédiaire d'une solution de filtrage comme Iptables, il sera dès lors aisé d'ajouter des règles de redirection afin de définir les ports qui devront être « spoofés » ou ceux qui ne le seront pas.

Télcharger PortSpoof 0.1 sur GitHub ( lien )
Le site officiel de PortSpoof ( lien )
Nmap ( lien )
Unicornscan ( lien )
Netfilter/Iptables ( lien )

Source :

« Portspoof A Service Signature Obfuscator » sur PenTestIT ( lien )