[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: Re: camuffare il sistema ai fingerprint tcp/ip
Mittente: lorenzo martignoni
Data: 21 Feb 2001 09:12:22 -0000
Igor Falcomata' <igor@infosec.it> wrote:
> allora.. innanzitutto una buon metodo e' quello di non fornire risposte per
> le porte chiuse, i pacchetti icmp e i pacchetti udp (ovvero usare il keep
> state di ipf per le connessioni in uscita e per le eventuali porte verso
> l'esterno). Se hai delle porte aperte e filtri quelle chiuse (se hai solo
> porte chiuse, la macchina e' "morta" direttamente e aloha) un trucco sporco
> e veloce potrebbe essere quello di disabilitare il supporto per l'rfc 1323
> (sysctl -w net.inet.tcp.rfc1323=0 e/o modificando /etc/sysctl.conf). Se fai
> cosi' nmap riconosce la macchina come Solaris 2.x e queso non ricordo (ma
> non bsd), mentre netcraft da unknow. Non ho provato tecniche di passive
> fingerprint con questa cosa.
> Questo tra le altre cose disabilita anche la possibilita' di "sgamare"
> l'uptime della macchina grazie ai timestamp, come per esempio e' in grado di
> fare netcraft.com, e (IMHO) migliora un pelo le prestazioni di rete, visto
> che quelle estensioni alle velocita' italiane sono pressoche' inutili.
> 
> Altrimenti devi andare a smanacciare nei sorgenti del kernel e cambiare un
> tot di valori di default, etc. (una buona base puo' essere guardare cosa
> cambiano le patch per linux o freebsd e fare altrimenti, vedi articoli e
> tool su BFi di pigpen e cyrax -> www.s0ftpj.org)

ho fatto un po` di test con ipfilter, non rispondendo con rst alle
connessioni su porte chiuse (o meglio firewallate) nmap non riesce a
risalire al tipo di sistema! Come soluzione non mi piace molto. Provero`
a guardare cosa succede disabilitando il supporto per l'rfc 1323.
Ho dato un'occhiata al file nmap-os-fingerprints e da li si capisce che
test fa nmap e che risposte danno i vari OS.  Mi sono messo a guardare
10 minuti i sorgenti di ipfilter e non sembra difficile modificare le
risposte. Camuffare il sistema non e` un problema, il problema e`
spacciarlo per un altro.

Ho gia` dato una guardata all'articolo di cyrax, ma non sapevo
esistessero delle patch anche per FreeBSD, le cerchero`.

grazie

lorenzo

--
L o r e n z o         |   It's easy to get on the internet and 
M a r t i g n o n i   |   forget you have a life
                      |              -- Topic on #LinuxGER

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005