Portspoof: Tüm 65535 TCP portunda geçerli hizmetleri emüle eden teknik

 (github.com/drk1wi)
1 puan yazan GN⁺ 2024-12-26 | 1 yorum | WhatsApp'ta paylaş

  • Portspoof yazılımına genel bakış

    • Portspoof, işletim sistemi güvenliğini güçlendirmek için kullanılan bir yazılımdır.
    • Tüm 65535 TCP portunu her zaman açık tutarak saldırganın port durumunu tespit edememesini sağlar.
    • Port taraması sırasında tüm portları OPEN durumda göstererek stealth port taramasını etkisiz hale getirir.
    • Her açık TCP portu, hizmet emülasyonu yoluyla sahte banner'lar üretip tarayıcıları yanıltır.
    • Dinamik hizmet imza veritabanı kullanarak hizmet problarına geçerli imzalarla yanıt verir.
    • Saldırganların sistemin gerçek port numaralarını belirlemesini zorlaştırır.

  • Saldırı savunmasının sanatı

    • Portspoof, sistemi saldırganın araçları ve exploit'lerinden yararlanarak agresif biçimde dönüştürebilir.
    • Hafif, hızlı, taşınabilir ve güvenli bir güvenlik duvarı sisteminin ek bir bileşeni olarak tasarlanmıştır.
    • Saldırganın keşif aşamasını yavaş ve zahmetli hale getirerek sistem güvenliğini artırır.
    • Kullanıcı düzeyinde çalışan bir yazılım olduğu için root yetkisi gerektirmez.
    • Her çalışan örnek başına yalnızca bir TCP portuna bind edilir.
    • iptables kuralları üzerinden kolayca özelleştirilebilir.
    • CPU ve bellek kullanımı düşüktür ve çok iş parçacığı desteği sunar.
    • 9000'den fazla dinamik hizmet imzası sağlayarak saldırganın tarama yazılımını şaşırtır.

  • Yazar

    • Piotr Duszyński (@drk1wi).

  • Ticari kullanım

    • Portspoof belirli bir lisans altında sunulur ve ticari kullanım için yazarla lisans görüşmesi yapılması gerekir.

İlgili okumalar

1 yorum

 
GN⁺ 2024-12-26
Hacker News yorumları
  • Port 0'ın bazı işletim sistemlerinde internet üzerinden erişilebilen servis ana makinesi olarak kullanıldığı belirtiliyor
  • MariaDB'nin varsayılan ayarının veritabanını port 0'da dinleyecek şekilde olması nedeniyle, internet erişimini engelleme girişiminin birçok sistemde etkili olmadığı söyleniyor
  • Bilgisayar güvenliğinin "aktif savunma" yönünde evrileceği görüşü var
    • Bağışıklık sisteminin karmaşıklığı ve çok katmanlı yapısı, bilgisayar ve ağ güvenliğine benzetiliyor
  • E-posta toplayan spam botlarını engellemek için rastgele e-posta adresleri üreten bir web sayfası yapmış olma deneyimi paylaşılıyor
  • Sunucunun hackerlar ya da botlar tarafından daha fazla taranma veya trafiğinin artma ihtimali gündeme getiriliyor
    • Çoğu script kiddie'nin potansiyel honeypot'ları filtrelemeyeceğinden şüphe ediliyor
  • Bir DoS yükselteci olma ihtimali gündeme getiriliyor
    • Doğru spoof edilmiş paketler gönderildiğinde çok sayıda paketin gerçek kaynağa geri döndürülüp döndürülemeyeceği soruluyor
  • Her çalışan örneğin yalnızca tek bir TCP portuna bind edilmesi konusunda soru işareti dile getiriliyor
    • Tüm portları kapsamak için 65535 örnek çalıştırmak gerekip gerekmediği soruluyor
  • "Honeypot" kelimesinin kullanılmamış olması olumlu bulunuyor
    • Geçmişte "gerçek" bir honeypot devraldığında 30 portun açık olmasına şaşırdığı deneyimi paylaşılıyor
  • Port tarama hızını artırmak için işi farklı IP'lerdeki sistemlere bölmenin mümkün olabileceği öneriliyor
  • Güvenlik açıklarını duyurup bir kara liste tutarak bunu gerçek sisteme firewall geri bildirimi olarak verme yaklaşımının doğal bir evrimi olduğundan bahsediliyor
  • İki tekniğin birlikte kullanılması hâlinde saldırganların gerçek servisleri tespit etmesinin zorlaşacağı görüşü dile getiriliyor
    • Bunun güvenlik için belirsizlikten yararlanmak olup olmadığı sorgulanıyor
  • Sistemin keşif aşamasının düzgün yapılabilmesi için 8 saatten fazla süre ve 200 MB veri gerektiği belirtiliyor
    • Bunun güvenlik için belirsizlikten yararlanmak olup olmadığı sorgulanıyor
  • Bilgi güvenliği konusunda yeterli bilgiye sahip olunmayabileceği belirtilse de, sistemin açıkta duran bir Redis örneği nedeniyle daha fazla ilgi çekip çekmeyeceği soruluyor