Aus LinuxUser 02/2014

Netzwerkscannern offene Ports mit falschen Signaturen servieren

© Marco Uliana, 123RF

Fliegenfalle

Das Internet ist ein rauer Ort – vor allem für öffentlich erreichbare Rechner. Das kleine Programm Portspoof macht für Angreifer den unabdingbaren Portscan zu einer echten Herausforderung.

In aller Herren Länder – allen voran in Rotchina, der USA, Thailand und Deutschland – scheint es ein Volkssport zu sein, Server zu scannen und zu versuchen, sie auch gleich zu kapern (Abbildung 1). Dagegen helfen Firewalls sowie Intrusion-Detection/Prevention-Systeme, doch wer sich dermaßen schützt, verrät potenziellen Angreifern mitunter immer noch eine Menge über das System.

Abbildung 1: Unter Beschuss: Die Standorte der Rechner, von denen innerhalb zweier Monate unautorisierte Login-Versuche auf den Server des Autors ausgingen.
Abbildung 1: Unter Beschuss: Die Standorte der Rechner, von denen innerhalb zweier Monate unautorisierte Login-Versuche auf den Server des Autors ausgingen.

Jedem Angriff gehen in der Regel Reconnaissance und Scanning voraus, also die Phasen, in denen die Angreifer Informationen über ein System sammeln. Viele scannen ausschließlich, was dank neckischer Werkzeuge wie Nmap gut automatisiert funktioniert. Wer hier auf Firewall und Konsorten trifft, kann in der Regel gut erraten, auf welche Ports und Dienste eine Attacke lohnt.

An dieser Stelle lassen sich Bösewichte mit dem kleinen Werkzeug Portspoof (http://portspoof.org) aufhalten und verwirren. Das Tool wird seit Mitte 2012 von Piotr Duszynski entwickelt, der sein Programm ein „Service Emulator und Frontend Exploitation Framework“ nennt. Die Anwendung steht unter der GPLv2 und wurde in C++ implementiert.

Portspoof konzentriert sich darauf, Angreifer zu verwirren, die einen Netzwerkrechner systematisch abklopfen. Dazu präsentiert es an einigen oder allen verfügbaren Ports verschiedene Dienstesignaturen, sodass sich aus der Ferne nur schwierig feststellen lässt, welche Dienste auf dem Rechner wirklich laufen. Die Anwendung kann zur Zeit auf über 8000 Signaturen zurückgreifen und verfügt über die Möglichkeit, einem scannenden Rechner einige Exploits in den Rachen zu werfen.

Nach dem Start lauscht Portspoof nur an einem Port, in der Vorgabe am Port 4444. Alle anderen Ports, denen Angreifer auf den Leim gehen sollen, leitet es mithilfe einer Iptables-Regel um.

Installation

Portspoof liegt momentan in der Version++1.0 vor. Sie laden es als ZIP-Archiv oder via Git (Listing 1, Zeile 1) auf den heimischen Rechner.

Nach dem Entpacken beziehungsweise Klonen wechseln Sie in das neu entstandene Verzeichnis portspoof[-master], um die Anwendung per Dreisatz (Listing 1, Zeile 2) zu installieren. Standardmäßig landet Portspoof dabei in /usr/local/. Um hier ein anderes Ziel anzusteuern, übergeben Sie ./configure den Parameter --prefix samt Wunschverzeichnis.

Listing 1

$ git clone https://github.com/drk1wi/portspoof.git
$ ./configure && make && sudo make install

Nach der Installation prüfen Sie kurz mittels portspoof -h, ob bisher alles geklappt hat. Ist das der Fall, können Sie Portspoof nun in Betrieb nehmen.

Kleben und kleben lassen

Vor dem Start von Portspoof müssen Sie Iptables noch klarmachen, welche Ports zukünftig „klebrig“ ausfallen sollen. Um alle Ports am fröhlichen Treiben teilnehmen zu lassen, verwenden Sie folgende Direktive:

# iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 1:65535 -j REDIRECT --to-ports 4444

Laufen dagegen seriöse Dienste auf dem Rechner, lassen Sie die entsprechenden Ports tunlichst aus, indem Sie die Option --dport durch --match multiport --dports ersetzen. Beispielsweise würde folgendes Kommando alle Ports bis auf 22 und 80 weiterleiten:

# iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp -m multiport --dports 1:21,23:79,81:65535 -j REDIRECT --to-ports 4444

Iptables Multiport-Feature kann maximal mit 15 Port-Bereichen umgehen. Nun kommt es gelegentlich vor, dass es gut beschäftigte Server gibt – etwa solche in kleinen Unternehmen, denen alles von DNS, FTP und SSH über Mail und Web bis hin zu Filesharing aufgehalst wurde. Hier ist möglicherweise eine kleine Schleife nötig, um die IP-Bereiche komfortabel setzen und verwalten zu können.

Ein Beispiel liefert set-spoofports.sh (Listing 2). Sie müssen das Skript mit chmod 755 set-spoofports.sh ausführbar machen, um es bequem aufrufen zu können. Mittels iptables -L -t nat kontrollieren Sie anschließend kurz, ob es die Firewall-Regeln auch brav eingetragen hat.

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 5 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
KAUFEN
LinuxUser 02/2014 KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS
Deutschland

Hinterlasse einen Kommentar

  E-Mail Benachrichtigung  
Benachrichtige mich zu: