Portspoof: tecnología que emula servicios válidos en los 65535 puertos TCP

 (github.com/drk1wi)
1 puntos por GN⁺ 2024-12-26 | 1 comentarios | Compartir por WhatsApp

  • Resumen del software Portspoof

    • Portspoof es un software para reforzar la seguridad del sistema operativo.
    • Mantiene abiertos permanentemente los 65,535 puertos TCP para impedir que un atacante pueda verificar el estado de los puertos.
    • Durante un escaneo de puertos, reporta todos los puertos como OPEN, neutralizando los escaneos de puertos sigilosos.
    • Cada puerto TCP abierto genera banners falsos mediante emulación de servicios para engañar a los escáneres.
    • Usa una base de datos dinámica de firmas de servicios para responder a las sondas con firmas válidas.
    • Hace más difícil que un atacante identifique los números de puerto reales del sistema.

  • El arte de defenderse de los ataques

    • Portspoof puede convertir el sistema en algo agresivo aprovechando las herramientas y exploits de los atacantes.
    • Está diseñado como un elemento adicional de un sistema de firewall ligero, rápido, portable y seguro.
    • Refuerza la seguridad del sistema al volver más lenta y engorrosa la fase de reconocimiento del atacante.
    • Es software de nivel de usuario y no requiere privilegios de root.
    • Solo se vincula a un puerto TCP por cada instancia en ejecución.
    • Puede personalizarse fácilmente mediante reglas de iptables.
    • Tiene bajo consumo de CPU y memoria, y admite multihilo.
    • Ofrece más de 9,000 firmas dinámicas de servicios para confundir el software de escaneo de los atacantes.

  • Autor

    • Piotr Duszyński (@drk1wi).

  • Uso comercial

    • Portspoof se ofrece bajo una licencia específica, y para uso comercial es necesario acordar la licencia con el autor.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-12-26
Opiniones en Hacker News
  • El puerto 0 se usa en algunos sistemas operativos como host de servicios accesible a través de Internet
  • La configuración predeterminada de MariaDB hace que la base de datos escuche en el puerto 0, por lo que el intento de bloquear el acceso desde Internet no es efectivo en muchos sistemas
  • Hay quienes opinan que la seguridad informática evolucionará hacia una "defensa activa"
    • Se compara la complejidad y la estructura multicapa del sistema inmunológico con la seguridad de computadoras y redes
  • Alguien cuenta que creó una página web que generaba direcciones de correo aleatorias para frenar a los spambots rastreadores de email
  • Se plantea la posibilidad de que el servidor sea más sondeado por hackers o bots, o que aumente el tráfico
    • Sospechan que la mayoría de los script kiddies no filtrarán posibles honeypots
  • Se menciona la posibilidad de que se convierta en un amplificador de DoS
    • Se pregunta si, al enviar paquetes falsificados correctos, podría devolver muchos paquetes a la fuente original
  • Se cuestiona que solo se vincule a un puerto TCP por instancia en ejecución
    • Se pregunta si haría falta ejecutar 65535 instancias para cubrir todos los puertos
  • Se valora positivamente que no se haya usado la palabra "honeypot"
    • Comparte que una vez heredó un honeypot "de verdad" y se sorprendió al ver 30 puertos abiertos
  • Se sugiere que, para acelerar el escaneo de puertos, se puede dividir el trabajo usando sistemas con distintas IP
  • Se menciona la evolución natural de un enfoque que anuncia agujeros de seguridad y mantiene una lista negra para retroalimentarla como firewall en sistemas reales
  • Se plantea que usar ambas técnicas juntas dificultaría que un atacante identifique los servicios reales
    • Se cuestiona si esto equivale a usar seguridad por oscuridad
  • Se menciona que, para realizar correctamente la fase de reconocimiento del sistema, se necesitan más de 8 horas y 200 MB de datos
    • Se cuestiona si esto equivale a usar seguridad por oscuridad
  • Puede que no tenga suficiente conocimiento sobre seguridad de la información, pero plantea si el sistema podría atraer más atención debido a una instancia de Redis expuesta