GN⁺: Portspoof: 모든 65535 TCP 포트에서 유효한 서비스를 에뮬레이트하는 기술
(github.com/drk1wi)-
Portspoof 소프트웨어 개요
- Portspoof는 운영 체제 보안을 강화하기 위한 소프트웨어임.
- 모든 65535개의 TCP 포트를 항상 열어두어 공격자가 포트 상태를 확인할 수 없게 함.
- 포트 스캔 시 모든 포트를 OPEN 상태로 보고하여 스텔스 포트 스캔을 무력화함.
- 각 열린 TCP 포트는 서비스 에뮬레이션을 통해 가짜 배너를 생성하여 스캐너를 속임.
- 동적 서비스 서명 데이터베이스를 사용하여 서비스 프로브에 유효한 서명으로 응답함.
- 공격자가 시스템의 실제 포트 번호를 파악하기 어렵게 만듦.
-
공격 방어의 예술
- Portspoof는 공격자의 도구와 익스플로잇을 활용하여 시스템을 공격적으로 변환할 수 있음.
- 가볍고 빠르며 포터블하고 안전한 방화벽 시스템의 추가 요소로 설계됨.
- 공격자의 정찰 단계를 느리고 번거롭게 만들어 시스템의 보안을 강화함.
- 사용자 레벨 소프트웨어로 루트 권한이 필요하지 않음.
- 실행 인스턴스당 하나의 TCP 포트에만 바인딩됨.
- iptables 규칙을 통해 쉽게 사용자 정의 가능함.
- CPU와 메모리 사용량이 적으며 멀티스레드 지원함.
- 9000개 이상의 동적 서비스 서명을 제공하여 공격자의 스캐닝 소프트웨어를 혼란시킴.
-
저자
- Piotr Duszyński (@drk1wi).
-
상업적 사용
- Portspoof는 특정 라이선스 하에 제공되며, 상업적 사용 시 저자와의 라이선스 협의가 필요함.
Hacker News 의견
- 포트 0은 일부 운영 체제에서 인터넷을 통해 접근 가능한 서비스 호스트로 사용됨
- MariaDB의 기본 설정이 포트 0에서 데이터베이스를 듣도록 하여 인터넷 접근을 차단하려는 시도가 많은 시스템에서 효과적이지 않음
- 컴퓨터 보안이 "능동적 방어"로 진화할 것이라는 의견이 있음
- 면역 시스템의 복잡성과 다층 구조를 컴퓨터 및 네트워크 보안에 비유함
- 이메일 크롤러 스팸봇을 막기 위해 무작위 이메일 주소를 생성하는 웹 페이지를 만들었던 경험이 있음
- 서버가 해커나 봇에 의해 더 많이 조사되거나 트래픽이 증가할 가능성을 제기함
- 대부분의 스크립트 키디들이 잠재적 허니팟을 필터링하지 않을 것이라고 의심함
- DoS 증폭기가 될 가능성을 제기함
- 올바른 스푸프 패킷을 보내면 많은 패킷을 원래 출처로 반환할 수 있는지에 대한 질문을 제기함
- 실행 인스턴스당 하나의 TCP 포트에만 바인딩된다는 점에 대해 의문을 제기함
- 모든 포트를 커버하기 위해 65535개의 인스턴스를 실행해야 하는지에 대한 질문을 제기함
- "허니팟"이라는 단어가 사용되지 않은 점을 좋게 평가함
- 과거에 "진짜" 허니팟을 상속받았을 때 30개의 포트가 열려 있어 당황했던 경험을 공유함
- 포트 스캔 속도를 높이기 위해 다양한 IP의 시스템을 사용하여 작업을 분할할 수 있음을 제안함
- 보안 구멍을 광고하고 블랙리스트를 유지하여 실제 시스템에 방화벽으로 피드백하는 접근법의 자연스러운 진화를 언급함
- 두 가지 기술을 함께 사용하면 공격자가 실제 서비스를 식별하기 어려워질 것이라는 의견을 제시함
- 보안을 위해 불투명성을 사용하는 것인지에 대한 의문을 제기함
- 시스템의 정찰 단계를 제대로 수행하려면 8시간 이상과 200MB의 데이터가 필요하다는 점을 언급함
- 보안을 위해 불투명성을 사용하는 것인지에 대한 의문을 제기함
- 정보 보안에 대한 충분한 지식이 없을 수도 있지만, 시스템이 노출된 Redis 인스턴스로 인해 더 많은 관심을 끌 수 있는지에 대한 질문을 제기함