Un faux serveur SSH a-t-il un objectif en matière de sécurité?
Je suis tombé sur ce sshesame logiciel qui semble imiter un serveur SSH acceptant n'importe quel nom d'utilisateur/mot de passe, mais au lieu d'exécuter les commandes Shell suivantes, il les enregistre dans un fichier.
Ce que je ne peux pas comprendre, c'est quelle utilisation possible cet outil pourrait avoir (en plus de l'éducation). En tant que tel, il n'attire l'attention indésirable sur le serveur qu'en raison des tentatives de connexion SSH réussies, et il ne protégera aucun autre port contre les attaques (y compris le vrai SSH), il ne fait donc qu'aggraver la situation.
Ai-je oublié quelque chose?
Les raisons d'avoir de tels faux serveurs SSH sont multiples. Ils comprennent notamment:
- déterminer si vous êtes attaqué
- connaître les utilisateurs et les mots de passe devinés (qui peuvent afficher les informations dont dispose l'attaquant)
- pour voir les actions d'intérêt de l'attaquant
- pour voir les tentatives d'exploitation du serveur (peut révéler 0 jours ou backdoors)
- pour étudier comment l'attaquant tente d'approcher le système et ainsi de suite.
- tester le logiciel client, y compris les outils d'audit/test/attaque pendant le développement (merci à Mołot )
Vous ne devriez pas envisager de mettre en place un faux serveur SSH sur votre système si vous avez quelque chose de valeur sur le serveur, car le faux serveur peut également être sujet à des vulnérabilités - un port fermé est mieux que un service ouvert .
Il peut être utilisé comme pot de miel/recherche pour collecter les tentatives de mot de passe les plus utilisées et similaires.
Sinon, je suis d'accord avec votre appréciation, c'est une nuisance attractive.
Si vous recherchez des mécanismes de protection réels, je recommande "Fail2Ban".
Une bonne utilisation pour un serveur ssh ouvert et faux comme celui-ci est de le configurer sur un LAN d'entreprise comme un pot de miel. Donnez-lui un nom d'hôte attrayant (mais pas forcément faux), configurez le transfert syslog vers votre SIEM et voyez si quelqu'un s'y connecte et ce qu'il essaie de faire. Personne légitime ne devrait y fouiller (sauf si vous avez une équipe de chasse ou une opération d'équipe rouge en cours).