Portspoof est un outil permettant de simuler des services. Il ne requiert pas de privilèges pour fonctionner et peut être mis en œuvre de manière à la fois attirer, ralentir et désemparer les acteurs de la menace lors d’un scan de ports.

Pour réaliser ce TP, travailler en binôme : la machine A présente le pot de miel, la machine B est sous le contrôle d’un acteur de la menace. À la fin du TP, inverser les rôles et recommencer.

1. Depuis la machine B, mesurer le temps (time) requis pour scanner (nmap), en identifiant la version du service (-sV), les 10 — voire les 100 — ports les plus populaires (--top-ports) de la passerelle.
2. Sur la machine A :
   1. installer portspoof :
      • cloner le dépôt
      • installer les dépendances (paquetage build-essential)
      • configurer la compilation : ./configure
      • compiler le programme : make
      • l’installer : sudo make install
   2. Le lancer en tâche de fond : portspoof -c /usr/local/etc/portspoof.conf -s /usr/local/etc/portspoof_signatures &
   3. Examiner la liste des ports ouverts

   4. Expliquer la commande suivante puis la lancer sur la passerelle

      for port in 21 23 25 80 110 139 443 445 3389
      do sudo iptables -t nat -I PREROUTING -p tcp -m tcp --dport $port \
              -j REDIRECT --to-ports 4444
      done
      

3. Depuis la machine B, relancer la mesure initiale.
4. Imaginer l’effet avec port in $(seq 1 65535) et conclure.