M81 : Détection d’intrusion
Préambule : CentOS n’est plus maintenue !
portspoof
, un outil pour décevoir
Portspoof
est un outil permettant de simuler des services. Il ne
requiert pas de privilèges pour fonctionner et peut être mis en œuvre
de manière à la fois attirer, ralentir et désemparer les acteurs de la
menace lors d’un scan de ports.
Pour réaliser ce TP, travailler en binôme : la machine A présente le pot de miel, la machine B est sous le contrôle d’un acteur de la menace. À la fin du TP, inverser les rôles et recommencer.
- Depuis la machine B, mesurer le temps (
time
) requis pour scanner (nmap
), en identifiant la version du service (-sV
), les 10 — voire les 100 — ports les plus populaires (--top-ports
) de la passerelle. - Sur la machine A :
- installer
portspoof
:- cloner le dépôt
- installer les dépendances (paquetage
build-essential
) - configurer la compilation :
./configure
- compiler le programme :
make
- l’installer :
sudo make install
- Le lancer en tâche de fond :
portspoof -c /usr/local/etc/portspoof.conf -s /usr/local/etc/portspoof_signatures &
- Examiner la liste des ports ouverts
Expliquer la commande suivante puis la lancer sur la passerelle
for port in 21 23 25 80 110 139 443 445 3389 do sudo iptables -t nat -I PREROUTING -p tcp -m tcp --dport $port \ -j REDIRECT --to-ports 4444 done
- installer
- Depuis la machine B, relancer la mesure initiale.
- Imaginer l’effet avec
port in $(seq 1 65535)
et conclure.