URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 35942
[ Назад ]

Исходное сообщение
"OpenNews: Защита FreeBSD от удаленного определения типа ОС"
Отправлено opennews , 10-Ноя-06 12:30

Aleksandr S. Goncharov подготовил статью (http://www.opennet.dev/base/sec/freebsd_fingerprint.txt.html) с описанием процесса защиты от удаленного определения типа ОС (OS Fingerprinting ), используя возможности пакетного фильтра PF.

URL: http://www.opennet.dev/base/sec/freebsd_fingerprint.txt.html
Новость: http://www.opennet.dev/opennews/art.shtml?num=8777

Содержание

Защита FreeBSD от удаленного определения типа ОС,klalafuda, 12:30 , 10-Ноя-06
- Защита FreeBSD от удаленного определения типа ОС,hostmaster, 12:57 , 10-Ноя-06
  - Защита FreeBSD от удаленного определения типа ОС,citrin, 15:07 , 10-Ноя-06
    - Защита FreeBSD от удаленного определения типа ОС,Anonim, 15:20 , 10-Ноя-06
      - Защита FreeBSD от удаленного определения типа ОС,Andrew Kolchoogin, 15:54 , 10-Ноя-06
        
        Защита FreeBSD от удаленного определения типа ОС,hostmaster, 17:53 , 10-Ноя-06
    - Защита FreeBSD от удаленного определения типа ОС,_Nick_, 03:09 , 11-Ноя-06
      - Защита FreeBSD от удаленного определения типа ОС,Anonim, 12:08 , 11-Ноя-06
        
        Защита FreeBSD от удаленного определения типа ОС,_Nick_, 23:49 , 12-Ноя-06
Защита FreeBSD от удаленного определения типа ОС,VecH, 12:49 , 10-Ноя-06
Защита FreeBSD от удаленного определения типа ОС,Aquarius, 12:49 , 10-Ноя-06
- Защита FreeBSD от удаленного определения типа ОС,klalafuda, 14:29 , 10-Ноя-06
  - Защита FreeBSD от удаленного определения типа ОС,ZANSWER, 16:12 , 10-Ноя-06
    - Защита FreeBSD от удаленного определения типа ОС,mutronix, 05:20 , 12-Ноя-06
    - Защита FreeBSD от удаленного определения типа ОС,mutronix, 05:35 , 12-Ноя-06
      - Защита FreeBSD от удаленного определения типа ОС,ZANSWER, 10:46 , 12-Ноя-06
Защита FreeBSD от удаленного определения типа ОС,ZANSWER, 14:06 , 10-Ноя-06
Защита FreeBSD от удаленного определения типа ОС,ReWire, 14:45 , 10-Ноя-06
- Защита FreeBSD от удаленного определения типа ОС,VecH, 15:05 , 10-Ноя-06
  - Защита FreeBSD от удаленного определения типа ОС,pavlinux, 16:45 , 10-Ноя-06
- Защита FreeBSD от удаленного определения типа ОС,dawnshade, 15:15 , 10-Ноя-06
Защита FreeBSD от удаленного определения типа ОС,Аноним, 19:05 , 11-Ноя-06
- Защита FreeBSD от удаленного определения типа ОС,_Nick_, 23:51 , 12-Ноя-06
OpenNews: Защита FreeBSD от удаленного определения типа ОС,скептик, 19:51 , 13-Ноя-06
- OpenNews: Защита FreeBSD от удаленного определения типа ОС,scum, 14:02 , 16-Ноя-06
  - OpenNews: Защита FreeBSD от удаленного определения типа ОС,scum, 19:00 , 16-Ноя-06
Защита FreeBSD от удаленного определения типа ОС,enceladusspace, 07:56 , 20-Янв-21

Сообщения в этом обсуждении

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено klalafuda , 10-Ноя-06 12:30

простите, а зачем собственно?
// wbr

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено hostmaster , 10-Ноя-06 12:57

дополнительный фактор защиты

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено citrin , 10-Ноя-06 15:07

security by obscurity is no security at all
Сервер должен быть таким, чтоб даже зная о нем все нельзя было его сломать.
А если это так, что зачем тратить усилия на скрытие типа ОС. Лучше потратить их на более эффекивные меры защиты.
Впрочем если делать совсем нечего, то можно и подобной фигней пострадать.

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено Anonim , 10-Ноя-06 15:20

"security by obscurity is no security at all" - это тогда и только тогда, когда "obscurity" является единственным "средством" защиты. Так что Вы не правы, вообще говоря.

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено Andrew Kolchoogin , 10-Ноя-06 15:54

Нет, в оригинальном источнике (он здесь (на OpenNet'е) есть в русском переводе) слов про "только" не было. И ему (источнику) я больше доверяю, чем комментариям анонима.
"Security throught obscurity is a lack of security". :)

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено hostmaster , 10-Ноя-06 17:53

кому доверять а кому нет вы решаете сами исходя из своего опыта и квалификации
предыдущий автор сказал вам совершенно правильно, в данном случае это дополнительный фактор.
к тому же вы не правильно понимаете что имется в виду когда говорят об STP, а чтобы обсуждение было предметным рекомендую указать какую статью вы подразумеваете. Например Jay Beale в справедливо указывает на то что "Obscurity isn't always bad. We're usually just talking about how strong the obscurity is and how easily it can be defeated."
http://www.bastille-linux.org/jay/obscurity-revisited.html

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено _Nick_ , 11-Ноя-06 03:09

+5
двумя руками за
сокрытие дыры - есть костыль

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено Anonim , 11-Ноя-06 12:08

FreeBSD - это не дыра. Зря вы так.

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено _Nick_ , 12-Ноя-06 23:49

я не конкретно о бзде.
в принципе

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено VecH , 10-Ноя-06 12:49

Лучше скажите как это сделать сидя в консоли и зная только IP исследуемого

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено Aquarius , 10-Ноя-06 12:49

RTFM fingerprint
RTFM passive fingerprint
читаем статью
думаем
делаем выводы
P.S. прошу прощения за жесткую подачу

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено klalafuda , 10-Ноя-06 14:29

а это случаем не проявление паранои :-?
// wbr

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено ZANSWER , 10-Ноя-06 16:12

> а это случаем не проявление паранои :-?
МяФ!:) ну сие проявление в любом случае занимает в совокупности не более 15 минут работы, а всё же даёт защиту от всякого рода _кул хацкеров_ обчитавшихся Хакера... я думаю любая защита не будет лишней, тем более за такой короткий срок...!!!IMXO!!!

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено mutronix , 12-Ноя-06 05:20

> МяФ!:) ну сие проявление в любом случае занимает в совокупности не более 15 минут работы, а всё же даёт защиту от всякого рода _кул хацкеров_ обчитавшихся Хакера...

<_<

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено mutronix , 12-Ноя-06 05:35

>> а это случаем не проявление паранои :-?
>
>МяФ!:) ну сие проявление в любом случае занимает в совокупности не более
>15 минут работы, а всё же даёт защиту от всякого рода
>_кул хацкеров_ обчитавшихся Хакера... я думаю любая защита не будет лишней,
>тем более за такой короткий срок...!!!IMXO!!!

Почему-то здравый смысл мне подсказывает, что такого рода киндеры будут первым делом ломать борду на пыхпыхе. А на всякую хитрую задницу найдется свой netcraft. Лучше сразу IDS в тазик поставить, вместо того, чтобы прикрывать задницу фиговым листочком, когда на улице -40.

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено ZANSWER , 12-Ноя-06 10:46

МяФ!:) да конечно, но всё же согласитесь, вторые штаны в мороз вам не мешают, а защиты не когда не бывает много, тем болие комплексная защита - это хотя бы что-то, IDS - это не спасение от всего...!!!IMXO!!!:-\

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено ZANSWER , 10-Ноя-06 14:06

МяФ!:) имммммммммммммммммммм... ну данное можно было понечно почерпнуть из мана по PF, но за то что на русском спасибо, для начинающих самое то, хоть конечно не от всех типов сканирования спасёт всёравно...:(

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено ReWire , 10-Ноя-06 14:45

Подкрутив немного sysctl вводим в заблуждение анализатор. Nmap после этого считает что у меня не FreeBSD, а AIX :)

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено VecH , 10-Ноя-06 15:05

>Подкрутив немного sysctl вводим в заблуждение анализатор. Nmap после этого считает что
>у меня не FreeBSD, а AIX :)
а можно поподробней что и где для новичка пож.

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено pavlinux , 10-Ноя-06 16:45

Сделай всё наоборот (но чтоб только работало) как тут написано http://insecure.org/nmap/osdetect/

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено dawnshade , 10-Ноя-06 15:15

>Подкрутив немного sysctl вводим в заблуждение анализатор. Nmap после этого считает что
>у меня не FreeBSD, а AIX :)

новый nmap так уже не считает.

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено Аноним , 11-Ноя-06 19:05

Народ, а похожей статьи, только для Linux`а никто не знает?

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено _Nick_ , 12-Ноя-06 23:51

"Сделай всё наоборот (но чтоб только работало) как тут написано http://insecure.org/nmap/osdetect/" (c) by pavlinux

"OpenNews: Защита FreeBSD от удаленного определения типа ОС"
Отправлено скептик , 13-Ноя-06 19:51

По мне так лучше выставить напоказ, что у тебя FreeBSD, а не линух 7.3 или винда.
Еслиб только скрипт киддис на это внимания обращали.
А то ломятся например пароли рута по ссхе перебирать, и бестолку, рута-то не пускает. При том, что ссха говорит, что она на Фре работает.

"OpenNews: Защита FreeBSD от удаленного определения типа ОС"
Отправлено scum , 16-Ноя-06 14:02

>место того, чтобы прикрывать задницу фиговым листочком
Это отнюдь не фиговый листочек. Если замена параметров через sysctl и вправду является решением "для бедных", то использование средств os fingerprinting в pf является очень мощным средством, дающим атакуемому очень даже неплохую фору перед атакующим. Если, конечно, он знает, как и что надо делать.
Вот пример навскидку:
block in quick from any to my_addr port ssh os nmap
pass in quick from any to my_addr port ssh

"OpenNews: Защита FreeBSD от удаленного определения типа ОС"
Отправлено scum , 16-Ноя-06 19:00

Вот что получилось.
# ./nmap -sS -O 192.168.110.4
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2006-11-16 18:19 MSK
Interesting ports on 192.168.110.4:
Not shown: 1674 closed ports
PORT    STATE SERVICE
13/tcp  open  daytime
21/tcp  open  ftp
22/tcp  open  ssh
37/tcp  open  time
80/tcp  open  http
113/tcp open  auth
Device type: general purpose
Running: OpenBSD 3.X
OS details: OpenBSD 3.5 - 3.9
Nmap finished: 1 IP address (1 host up) scanned in 64.466 seconds
Теперь прописываем на 192.168.110.4
/etc/pf.os:
1024:64:0:44:M1460:                     *NMAP:scum:1:NMAP scan
2048:64:0:44:M1460:                     *NMAP:scum:2:NMAP scan
3072:64:0:44:M1460:                     *NMAP:scum:3:NMAP scan
4096:64:0:44:M1460:                     *NMAP:scum:4:NMAP scan
/etc/pf.conf:
rdr on pcn0 proto tcp from any os nmap to any -> (pcn0) port ssh
Вот что получилось:
# ./nmap -O -p 80 192.168.110.4
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2006-11-16 18:38 MSK
Warning:  OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
Insufficient responses for TCP sequencing (0), OS detection may be less accurate
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
Insufficient responses for TCP sequencing (0), OS detection may be less accurate
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
Insufficient responses for TCP sequencing (0), OS detection may be less accurate
Interesting ports on 192.168.110.4:
PORT   STATE SERVICE
80/tcp open  http
MAC Address: 00:0C:29:4A:A5:1F (VMware)
Device type: general purpose|load balancer
Running (JUST GUESSING) : Microsoft Windows NT/2K/XP (97%), Novell NetWare 5.X|6.X (93%), HP HP-UX 11.X (89%), Foundry IronWare (89%), Linux 2.6.X (89%), Sun Solaris 10 (89%)
Aggressive OS guesses: Microsoft Windows Longhorn eval build 4051 (97%), NetWare 5.1 SP3 (93%), Novell NetWare 5.1 SP8 or 6.5 SP3 (93%), Novell NetWare 5.1-6.0 (93%), Novell NetWare 5.1SP4 - 6.0 (93%), Novell NetWare 5.1SP5 - 6.5 (93%), Novell NetWare 6 SP1 (93%), Novell NetWare 6 SP2 (93%), Novell NetWare 6.0 SP3 (91%), Novell Netware 6.0 SP4 (90%)
No exact OS matches for host (test conditions non-ideal).
Nmap finished: 1 IP address (1 host up) scanned in 54.435 seconds
Здесь я оставил только один порт (80), иначе долго пришлось бы ждать результатов скана - теперь все порты ведь открыты. Результат, как мне кажется, очень интересный: nmap явно растерян, сканирующий чешет репу. А ведь это была только шутка. А если серьезно, пишем в /etc/pf.conf
block in quick from any os nmap to any
и вот что получаем:
# ./nmap -sS -O 192.168.110.4
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2006-11-16 18:47 MSK
Warning:  OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
All 1680 scanned ports on 192.168.110.4 are filtered
MAC Address: 00:0C:29:4A:A5:1F (VMware)
Device type: general purpose
Running: Maxim-IC TiniOS, Novell NetWare 3.X|4.X|5.X|6.X
Too many fingerprints match this host to give specific OS details
Nmap finished: 1 IP address (1 host up) scanned in 88.151 seconds

"Защита FreeBSD от удаленного определения типа ОС"
Отправлено enceladusspace , 20-Янв-21 07:56

Доброго времени суток, как применить данный способ к Debian 10?