The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"OpenNews: Защита FreeBSD от удаленного определения типа ОС"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"OpenNews: Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от opennews (?), 10-Ноя-06, 12:30 
Aleksandr S. Goncharov подготовил статью (https://www.opennet.ru/base/sec/freebsd_fingerprint.txt.html) с описанием процесса защиты от удаленного определения типа ОС  (OS Fingerprinting ), используя возможности пакетного фильтра PF.


URL: https://www.opennet.ru/base/sec/freebsd_fingerprint.txt.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=8777

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от klalafuda (?), 10-Ноя-06, 12:30 

простите, а зачем собственно?

// wbr

Ответить | Правка | Наверх | Cообщить модератору

4. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от hostmaster (??), 10-Ноя-06, 12:57 
дополнительный фактор защиты
Ответить | Правка | Наверх | Cообщить модератору

9. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от citrinemail (ok), 10-Ноя-06, 15:07 
security by obscurity is no security at all

Сервер должен быть таким, чтоб даже зная о нем все нельзя было его сломать.
А если это так, что зачем тратить усилия на скрытие типа ОС. Лучше потратить их на более эффекивные меры защиты.
Впрочем если делать совсем нечего, то можно и подобной фигней пострадать.

Ответить | Правка | Наверх | Cообщить модератору

11. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от Anonim (?), 10-Ноя-06, 15:20 
"security by obscurity is no security at all" - это тогда и только тогда, когда "obscurity" является единственным "средством" защиты. Так что Вы не правы, вообще говоря.
Ответить | Правка | Наверх | Cообщить модератору

12. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от Andrew Kolchoogin (?), 10-Ноя-06, 15:54 
Нет, в оригинальном источнике (он здесь (на OpenNet'е) есть в русском переводе) слов про "только" не было. И ему (источнику) я больше доверяю, чем комментариям анонима.
"Security throught obscurity is a lack of security". :)
Ответить | Правка | Наверх | Cообщить модератору

15. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от hostmaster (??), 10-Ноя-06, 17:53 
кому доверять а кому нет вы решаете сами исходя из своего опыта и квалификации

предыдущий автор сказал вам совершенно правильно, в данном случае это дополнительный фактор.

к тому же вы не правильно понимаете что имется в виду когда говорят об STP, а чтобы обсуждение было предметным рекомендую указать какую статью вы подразумеваете. Например Jay Beale в справедливо указывает на то что "Obscurity isn't always bad. We're usually just talking about how strong the obscurity is and how easily it can be defeated."
http://www.bastille-linux.org/jay/obscurity-revisited.html

Ответить | Правка | Наверх | Cообщить модератору

16. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от _Nick_email (ok), 11-Ноя-06, 03:09 
+5
двумя руками за

сокрытие дыры - есть костыль

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

17. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от Anonim (?), 11-Ноя-06, 12:08 
FreeBSD - это не дыра. Зря вы так.
Ответить | Правка | Наверх | Cообщить модератору

24. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от _Nick_email (ok), 12-Ноя-06, 23:49 
я не конкретно о бзде.

в принципе

Ответить | Правка | Наверх | Cообщить модератору

2. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от VecHemail (ok), 10-Ноя-06, 12:49 
Лучше скажите как это сделать сидя в консоли и зная только IP исследуемого
Ответить | Правка | Наверх | Cообщить модератору

3. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от Aquarius (?), 10-Ноя-06, 12:49 
RTFM fingerprint
RTFM passive fingerprint
читаем статью
думаем
делаем выводы
P.S. прошу прощения за жесткую подачу
Ответить | Правка | Наверх | Cообщить модератору

6. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от klalafuda (?), 10-Ноя-06, 14:29 

а это случаем не проявление паранои :-?

// wbr

Ответить | Правка | Наверх | Cообщить модератору

13. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от ZANSWERemail (ok), 10-Ноя-06, 16:12 
> а это случаем не проявление паранои :-?

МяФ!:) ну сие проявление в любом случае занимает в совокупности не более 15 минут работы, а всё же даёт защиту от всякого рода _кул хацкеров_ обчитавшихся Хакера... я думаю любая защита не будет лишней, тем более за такой короткий срок...!!!IMXO!!!

Ответить | Правка | Наверх | Cообщить модератору

21. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от mutronix (?), 12-Ноя-06, 05:20 
> МяФ!:) ну сие проявление в любом случае занимает в совокупности не более 15 минут работы, а всё же даёт защиту от всякого рода _кул хацкеров_ обчитавшихся Хакера...


<_<

Ответить | Правка | Наверх | Cообщить модератору

22. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от mutronix (?), 12-Ноя-06, 05:35 
>> а это случаем не проявление паранои :-?
>
>МяФ!:) ну сие проявление в любом случае занимает в совокупности не более
>15 минут работы, а всё же даёт защиту от всякого рода
>_кул хацкеров_ обчитавшихся Хакера... я думаю любая защита не будет лишней,
>тем более за такой короткий срок...!!!IMXO!!!


Почему-то здравый смысл мне подсказывает, что такого рода киндеры будут первым делом ломать борду на пыхпыхе. А на всякую хитрую задницу найдется свой netcraft. Лучше сразу IDS в тазик поставить, вместо того, чтобы прикрывать задницу фиговым листочком, когда на улице -40.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

23. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от ZANSWERemail (ok), 12-Ноя-06, 10:46 
МяФ!:) да конечно, но всё же согласитесь, вторые штаны в мороз вам не мешают, а защиты не когда не бывает много, тем болие комплексная защита - это хотя бы что-то, IDS - это не спасение от всего...!!!IMXO!!!:-\
Ответить | Правка | Наверх | Cообщить модератору

5. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от ZANSWERemail (ok), 10-Ноя-06, 14:06 
МяФ!:) имммммммммммммммммммм... ну данное можно было понечно почерпнуть из мана по PF, но за то что на русском спасибо, для начинающих самое то, хоть конечно не от всех типов сканирования спасёт всёравно...:(
Ответить | Правка | Наверх | Cообщить модератору

7. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от ReWire (??), 10-Ноя-06, 14:45 
Подкрутив немного sysctl вводим в заблуждение анализатор. Nmap после этого считает что у меня не FreeBSD, а AIX :)
Ответить | Правка | Наверх | Cообщить модератору

8. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от VecHemail (ok), 10-Ноя-06, 15:05 
>Подкрутив немного sysctl вводим в заблуждение анализатор. Nmap после этого считает что
>у меня не FreeBSD, а AIX :)
а можно поподробней что и где для новичка пож.
Ответить | Правка | Наверх | Cообщить модератору

14. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от pavlinuxemail (??), 10-Ноя-06, 16:45 
Сделай всё наоборот (но чтоб только работало) как тут написано http://insecure.org/nmap/osdetect/
Ответить | Правка | Наверх | Cообщить модератору

10. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от dawnshadeemail (?), 10-Ноя-06, 15:15 
>Подкрутив немного sysctl вводим в заблуждение анализатор. Nmap после этого считает что
>у меня не FreeBSD, а AIX :)


новый nmap так уже не считает.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

20. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от Аноним (-), 11-Ноя-06, 19:05 
Народ, а похожей статьи, только для Linux`а никто не знает?
Ответить | Правка | Наверх | Cообщить модератору

25. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от _Nick_email (ok), 12-Ноя-06, 23:51 
"Сделай всё наоборот (но чтоб только работало) как тут написано http://insecure.org/nmap/osdetect/"  (c) by pavlinux
Ответить | Правка | Наверх | Cообщить модератору

26. "OpenNews: Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от скептик (?), 13-Ноя-06, 19:51 
По мне так лучше выставить напоказ, что у тебя FreeBSD, а не линух 7.3 или винда.
Еслиб только скрипт киддис на это внимания обращали.
А то ломятся например пароли рута по ссхе перебирать, и бестолку, рута-то не пускает. При том, что ссха говорит, что она на Фре работает.

Ответить | Правка | Наверх | Cообщить модератору

27. "OpenNews: Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от scum (??), 16-Ноя-06, 14:02 
>место того, чтобы прикрывать задницу фиговым листочком
Это отнюдь не фиговый листочек. Если замена параметров через sysctl и вправду является решением "для бедных", то использование средств os fingerprinting в pf является очень мощным средством, дающим атакуемому очень даже неплохую фору перед атакующим. Если, конечно, он знает, как и что надо делать.
Вот пример навскидку:
block in quick from any to my_addr port ssh os nmap
pass in quick from any to my_addr port ssh

Ответить | Правка | Наверх | Cообщить модератору

28. "OpenNews: Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от scum (??), 16-Ноя-06, 19:00 
Вот что получилось.

# ./nmap -sS -O 192.168.110.4

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2006-11-16 18:19 MSK
Interesting ports on 192.168.110.4:
Not shown: 1674 closed ports
PORT    STATE SERVICE
13/tcp  open  daytime
21/tcp  open  ftp
22/tcp  open  ssh
37/tcp  open  time
80/tcp  open  http
113/tcp open  auth
Device type: general purpose
Running: OpenBSD 3.X
OS details: OpenBSD 3.5 - 3.9

Nmap finished: 1 IP address (1 host up) scanned in 64.466 seconds

Теперь прописываем на 192.168.110.4
/etc/pf.os:
1024:64:0:44:M1460:                     *NMAP:scum:1:NMAP scan
2048:64:0:44:M1460:                     *NMAP:scum:2:NMAP scan
3072:64:0:44:M1460:                     *NMAP:scum:3:NMAP scan
4096:64:0:44:M1460:                     *NMAP:scum:4:NMAP scan

/etc/pf.conf:
rdr on pcn0 proto tcp from any os nmap to any -> (pcn0) port ssh

Вот что получилось:
# ./nmap -O -p 80 192.168.110.4

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2006-11-16 18:38 MSK
Warning:  OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
Insufficient responses for TCP sequencing (0), OS detection may be less accurate
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
Insufficient responses for TCP sequencing (0), OS detection may be less accurate
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
WARNING:  RST from port 80 -- is this port really open?
Insufficient responses for TCP sequencing (0), OS detection may be less accurate
Interesting ports on 192.168.110.4:
PORT   STATE SERVICE
80/tcp open  http
MAC Address: 00:0C:29:4A:A5:1F (VMware)
Device type: general purpose|load balancer
Running (JUST GUESSING) : Microsoft Windows NT/2K/XP (97%), Novell NetWare 5.X|6.X (93%), HP HP-UX 11.X (89%), Foundry IronWare (89%), Linux 2.6.X (89%), Sun Solaris 10 (89%)
Aggressive OS guesses: Microsoft Windows Longhorn eval build 4051 (97%), NetWare 5.1 SP3 (93%), Novell NetWare 5.1 SP8 or 6.5 SP3 (93%), Novell NetWare 5.1-6.0 (93%), Novell NetWare 5.1SP4 - 6.0 (93%), Novell NetWare 5.1SP5 - 6.5 (93%), Novell NetWare 6 SP1 (93%), Novell NetWare 6 SP2 (93%), Novell NetWare 6.0 SP3 (91%), Novell Netware 6.0 SP4 (90%)
No exact OS matches for host (test conditions non-ideal).

Nmap finished: 1 IP address (1 host up) scanned in 54.435 seconds

Здесь я оставил только один порт (80), иначе долго пришлось бы ждать результатов скана - теперь все порты ведь открыты. Результат, как мне кажется, очень интересный: nmap явно растерян, сканирующий чешет репу. А ведь это была только шутка. А если серьезно, пишем в /etc/pf.conf
block in quick from any os nmap to any

и вот что получаем:
# ./nmap -sS -O 192.168.110.4

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2006-11-16 18:47 MSK
Warning:  OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
All 1680 scanned ports on 192.168.110.4 are filtered
MAC Address: 00:0C:29:4A:A5:1F (VMware)
Device type: general purpose
Running: Maxim-IC TiniOS, Novell NetWare 3.X|4.X|5.X|6.X
Too many fingerprints match this host to give specific OS details

Nmap finished: 1 IP address (1 host up) scanned in 88.151 seconds

Ответить | Правка | Наверх | Cообщить модератору

29. "Защита FreeBSD от удаленного определения типа ОС"  +/
Сообщение от enceladusspace (ok), 20-Янв-21, 07:56 
Доброго времени суток, как применить данный способ к Debian 10?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру