Sélectionner une page

WS-Shield Honeypot for port scanner

ASSUREZ LA SECURITE DE VOS SERVEURS ET POSTES DE TRAVAIL WINDOWS

Les stratégies couramment conseillées en matière de ports ouverts visent à fermer ceux qui sont inutiles. WS-Shield va à l’encontre de ces pratiques et ouvre ces ports derrière lesquels aucun service n’est en fonction. La copie d’écran ci-dessous provient d’un Windows 10 placé chez OVH. Les scans de ports sont monnaie courante chez cet hébergeur qui ne les filtre pas. Le seul port qui n’a pas été coché dans cet exemple est le port 3389, car la machine est joignable via l’accès à distance et le protocole RDS. Sur la gauche de l’écran, WS-Shield liste les IP qu’il trappe lors d’une demande de connection sur l’un de ces ports ouverts en guise de honeypot. Une requête WHOIS réalisée par WS-Shield vous informe du potentiel pays d’origine du pirate qui opère. WS-Shield conserve les 400 dernières IP dans la règle du pare-feu Windows qu’il crée et gère. Un clic sur la colonne Country liste les pays par ordre alphabétique et vous permet d’avoir une idée des pays les plus intrusifs. Dernièrement, on peut observer une forte présence du Brésil dans les logs, de la Chine, des USA et du Japon. A tout moment, vous pouvez vider le pare-feu des IP qui s’y trouvent bloquées en cliquant sur le bouton Reset Honeypot firewall rules en bas de la fenêtre sous la liste. Les trois cases à cocher Network security vous donne la possibilité de compléter vos mesures de sécurité en désactivant le protocole IPv6 et les partages administratifs, puis en masquant la présence de l’ordinateur dans le voisinage réseau. Chaque modification sera validée par un clic sur le bouton Apply setting. Quant au honeypot lui-même, son activité ou sa désactivation se fait par le bouton ad hoc. Le honeypot est par défaut inactif. Même si vous ne cochez aucun port, en activant cette fonction, WS-Shield exploite les ports de 1 à 10. Il n’est pas nécessaire de tout décocher avant d’inactiver le honeypot.

Le honeypot sur un serveur web

ASSUREZ LA SECURITE DE VOS SERVEURS ET POSTES DE TRAVAIL WINDOWS

Nous voilà sur un serveur Windows 2012r2 qui publie un contenu html sous WAMP et WordPress. Apache, MySQL, PHP et WordPress font l’objet de recherches poussées de la part des cybercriminels en quête de failles de sécurités. Ce que le scan de la machine rapporte au pirate est la connaissance de l’OS, de sa version, et il en est de ainsi pour chaque programme composant ce serveur web. Muni de ces informations, le pirate lance sa tentative d’intrusion en connaissant les failles de sécurité des versions logiciels. Le programme qui réalise le scan peut agir en multithread, très rapidement, voir en UPD dans un premier temps. Dans ce cas, il est fort probable qu’il récupère les informations recherchées. Mais à la deuxième passe d’armes, l’adresse IP du pirate sera bloquée et ce dernier ne pourra pas déterminer avec certitude la raison du blocage et quels services en définitif sont en fonction sur cet ordinateur. Notez, si cela n’est déjà fait, que le port 135 ne figure pas dans les options. En vérité, toutes les tentatives réalisées sous Windows 10 et 2016 pour désactiver l’écoute sur ce port et le remplacer par une écoute venant de WS-Shield se sont soldées par un résultat catastrophique: la machine devient inexploitable, il ne lui est plus possible de booter correctement. Les tutos qui indiquent de manière plus ou moins complète comment faire cette opération ne sont plus d’actualité. Notez de même la présence de cette option qui propose une écoute sur les ports 4444, 9004 et 9005. Est-ce un choix au hasard? Non, ces trois ports font l’objet d’attaques spécifiques de la part des pirates qui cherchent parfois directement à savoir si ces ports sont ouverts, car ils sont en possession de moyens pour hacker Windows 10 ou Windows 2016 à moindre frais. N’hésitez pas à tendre cet appat à tout ceux qui se laisseront tenter, et ceci même sur un poste de travail intramuros, car il suffit d’une machine piratée pour mettre en péril un parc.

WS-Shield

WS-Shield

L