AA_123rf-13291475_MarcoUliana_123RF.jpg

© Marco Uliana, 123RF

Netzwerkscannern offene Ports mit falschen Signaturen servieren

Fliegenfalle

Das Internet ist ein rauer Ort – vor allem für öffentlich erreichbare Rechner. Das kleine Programm Portspoof macht für Angreifer den unabdingbaren Portscan zu einer echten Herausforderung.

In aller Herren Länder – allen voran in Rotchina, der USA, Thailand und Deutschland – scheint es ein Volkssport zu sein, Server zu scannen und zu versuchen, sie auch gleich zu kapern (Abbildung 1). Dagegen helfen Firewalls sowie Intrusion-Detection/Prevention-Systeme, doch wer sich dermaßen schützt, verrät potenziellen Angreifern mitunter immer noch eine Menge über das System.

Abbildung 1: Unter Beschuss: Die Standorte der Rechner, von denen innerhalb zweier Monate unautorisierte Login-Versuche auf den Server des Autors ausgingen.

Jedem Angriff gehen in der Regel Reconnaissance und Scanning voraus, also die Phasen, in denen die Angreifer Informationen über ein System sammeln. Viele scannen ausschließlich, was dank neckischer Werkzeuge wie Nmap gut automatisiert funktioniert. Wer hier auf Firewall und Konsorten trifft, kann in der Regel gut erraten, auf welche Ports und Dienste eine Attacke lohnt.

An dieser Stelle lassen sich Bösewichte mit dem kleinen Werkzeug Portspoof (http://portspoof.org) aufhalten und verwirren. Das Tool wird seit Mitte 2012 von Piotr Duszynski entwickelt, der sein Programm ein "Service Emulator und Frontend Exploitation Framework" nennt. Die Anwendung steht unter der GPLv2 und wurde in C++ implementiert.

Portspoof konzentriert sich darauf, Angreifer zu verwirren, die einen Netzwerkrechner systematisch abklopfen. Dazu präsentiert es an einigen oder allen verfügbaren Ports verschiedene Dienstesignaturen, sodass sich aus der Ferne nur schwierig feststellen lässt, welche Dienste auf dem Rechner wirklich laufen. Die Anwendung kann zur Zeit auf über 8000 Signaturen zurückgreifen und verfügt über die Möglichkeit, einem scannenden Rechner einige Exploits in den Rachen zu werfen.

Nach dem Start lauscht Portspoof nur an einem Port, in der Vorgabe am Port 4444. Alle anderen Ports, denen Angreifer auf den Leim gehen sollen, leitet es mithilfe einer Iptables-Regel um.

Installation

Portspoof liegt momentan in der Version++1.0 vor. Sie laden es als ZIP-Archiv oder via Git (Listing 1, Zeile 1) auf den heimischen Rechner.

Nach dem Entpacken beziehungsweise Klonen wechseln Sie in das neu entstandene Verzeichnis portspoof[-master], um die Anwendung per Dreisatz (Listing 1, Zeile 2) zu installieren. Standardmäßig landet Portspoof dabei in /usr/local/. Um hier ein anderes Ziel anzusteuern, übergeben Sie ./configure den Parameter --prefix samt Wunschverzeichnis.

Listing 1

$ git clone https://github.com/drk1wi/portspoof.git
$ ./configure && make && sudo make install

Nach der Installation prüfen Sie kurz mittels portspoof -h, ob bisher alles geklappt hat. Ist das der Fall, können Sie Portspoof nun in Betrieb nehmen.

Kleben und kleben lassen

Vor dem Start von Portspoof müssen Sie Iptables noch klarmachen, welche Ports zukünftig "klebrig" ausfallen sollen. Um alle Ports am fröhlichen Treiben teilnehmen zu lassen, verwenden Sie folgende Direktive:

# iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 1:65535 -j REDIRECT --to-ports 4444

Laufen dagegen seriöse Dienste auf dem Rechner, lassen Sie die entsprechenden Ports tunlichst aus, indem Sie die Option --dport durch --match multiport --dports ersetzen. Beispielsweise würde folgendes Kommando alle Ports bis auf 22 und 80 weiterleiten:

# iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp -m multiport --dports 1:21,23:79,81:65535 -j REDIRECT --to-ports 4444

Iptables Multiport-Feature kann maximal mit 15 Port-Bereichen umgehen. Nun kommt es gelegentlich vor, dass es gut beschäftigte Server gibt – etwa solche in kleinen Unternehmen, denen alles von DNS, FTP und SSH über Mail und Web bis hin zu Filesharing aufgehalst wurde. Hier ist möglicherweise eine kleine Schleife nötig, um die IP-Bereiche komfortabel setzen und verwalten zu können.

Ein Beispiel liefert set-spoofports.sh (Listing 2). Sie müssen das Skript mit chmod 755 set-spoofports.sh ausführbar machen, um es bequem aufrufen zu können. Mittels iptables -L -t nat kontrollieren Sie anschließend kurz, ob es die Firewall-Regeln auch brav eingetragen hat.

Listing 2

# set-spoofports.sh
# Firewall-Regeln für Portspoof
#! /bin/bash
# Ports 20-22, 25, 53, 80, 110, 111, 123, 443, 465, 587, 892, 2049, 8080, 32803 sind "vernünftig", alle anderen "klebrig"
spoofPorts="1:19 23:24 26:52 54:79 81:109 112:122 124:442 444:464 466:586 588:891 893:2048 2050:8079 8081:32800 32801:65535"
for prange in ${spoofPorts}; do
  iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport ${prange} -j REDIRECT --to-ports 4444
done

Sobald Iptables alle Ports an den Zielport weiterleitet, können Sie Portspoof starten. Das kleine Werkzeug bietet eine Menge Funktionen an. So setzen Sie Portspoof beispielsweise mit der Option -v im quasselsüchtigen Verbose-Modus in Gang und erfreuen sich live, wenn "Besuch" kommt. Alternativ starten Sie das Programm mit -D als Daemon, der seine Arbeit im Hintergrund verrichtet.

Rufen Sie Portspoof ohne zusätzliche Parameter auf, arbeitet es im sogenannten Open-Port-Modus. Wie der Name schon vermuten lässt, zeigt es dann lediglich alle weitergeleiteten Ports als offen an. Das ist zwar schön, aber es geht deutlich fieser. Probieren Sie einmal folgenden Befehl aus:

# portspoof -c /Pfad/zu/portspoof.conf -s /Pfad/zu/portspoof_signatures -D

Nun liefert der "Service Emulator" auf Anfragen hin haufenweise Signaturen oder gar Exploits zurück, die dem Angreifer das Auswerten der Ergebnisse erheblich erschweren (Abbildung 2). Sowohl portspoof.conf als auch portspoof_signatures liegen standardmäßig im Verzeichnis /usr/local/etc. Die Datei portspoof_signatures enthält vorbereitete Signaturen.

Abbildung 2: Dienst oder kein Dienst? Portspoof greift auf 8000 Signaturen zurück, um Portscanner gründlich zu verwirren.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Heft-DVD-Inhalt 02/2014
  • Nachgeladen
    Dem Linux-Paketfilter Iptables fehlt eine einfache Möglichkeit, die Filterregeln nach einem Systemneustart automatisch zu laden. Die lässt sich aber durchaus nachrüsten – sogar auf mehreren Wegen.
  • Feuerfest
    Steht dem PC das Tor zum Internet offen, sollte man einen Wächter engagieren, der unerwünschte Gäste draußen hält. Iptables ist solch ein qualifizierter Türsteher.
  • Paketfilter-Firewall
    Eine Firewall sollte heutzutage zum unverzichtbaren Sicherheitsrepertoire jedes vernetzten Computers gehören. Aktuelle Linux-Distributionen liefern die Software dazu mit – man muss sie nur benutzen können.
  • Klopf, klopf
    Rechner mit Internetzugang gilt es, gegen Angreifer abzusichern. Eine ebenso faszinierend einfache wie auch effiziente Barriere schafft ein Portknocker.
Kommentare

Infos zur Publikation

LU 11/2017: Server für Daheim

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 3 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...