Alternatív port kopogtatás OpenBSD pf és OSFP-vel

OpenBSD

Az OpenBSD Journal oldalain jelent meg egy cikk, amelyben arról írnak, hogy poplix @ papuasia . org egy alternatív port-kopogtatási módszert talált ki. Előnye a korábbi megoldásokhoz képest az, hogy szerver oldalon nem kell semmilyen külső program hozzá, elegendő az OpenBSD kernelben levő pf és annak passzív operációs rendszer ujjlenyomatoló (fingerprinter) képessége.

Az elképzelés a következő:

pass in proto tcp from any os "Windows 2000"

A fenti sort megadva a pf csak a Windows 2000 operációs rendszerekkel való kapcsolatot engedélyez. Ilyen módszerrel megoldható, hogy minden bejövő csomag eldobásra kerüljön, kivéve azok, amelyek egy megadott operációs rendszertől jönnek.
Az poplix azt találta ki, hogy az OS ujjlenyomatok használhatók lennének kulcsként. A felhasználó kitalálna egy speciális szekveciát, amely azonosítaná a fake operációs rendszerét, és azt hozzáadná az operációs rendszer ujjlenyomat adatbázisához. Csatlakozás idején ezt a szekvenciát küldené el a szervernek, amely lehetővé tenné az "azonosítás" után a csatlakozást. Szerinte ezzel a gépet teljesen rejtetté lehetne tenni a portscan-ek elől, de a tulajdonos mégis kapcsolatot tudna létesíteni a géppel.

A kliens oldalon szükség van egy segédprogramra (vagy esetleg kernel patch-re) ahhoz, hogy a speciális szekvenciát el tudjuk küldeni. A proof-of-concept megvalósításban példát is ír OpenBSD szerver és Linux kliens kapcsolatra.

Az ötlet itt.

A megoldás sokak szerint jó, sokak szerint pedig felesleges bonyolítás, újabb SPF, mert a komoly támadók ellen nem véd, igazábol csak a script kiddie-k ellen lehet hatásos. A másik oldal azzal védekezik, hogy ez egy újabb réteg lehet a biztonsági mechanizmusban, és már akkor is érdemes használni, ha a támadások egy részét kiszűri.

( briwe | 2006. 02. 20., h – 12:26 )

Az otlet szamomra nem uj, mivel kb fel eve vetettem fel egyik baratomnak ezt az elkepzelest. Teljesen ugyanez volt a koncepcio, szoval kicsit meglepett, hogy hupon olvashatom vissza :)

Amugy elegge megtudja neheziteni a tamado dolgat ez a technika, kepzeljunk el teszem azt egy sshd-t valami 5 szamjegyu porton, ami csak a megfelelo fingerprinttel rendelkezo gepet enged csatlakozni, tobbinek tolja az rst -t. Nyilvan nem egy kijatszhatatlan dolog, de a szolgaltatas elleni tamadasokat kellokeppen minimalizalja.

Engem az zavar ebben a megközelítésben, hogy egy egzotikus kopogtató csomag fabrikáláshoz egy átlagos felhasználónak nincs jogosultsága. Másrészt ez éppúgy sniffelhető, mint a "hagyományos" kopogtatás.

Üdv,
Dw.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Másrészt ez éppúgy sniffelhető, mint a "hagyományos" kopogtatás.

Csakhogy nekem is naponta próbálnak scriptekkel, szótáras loginokkal belépni ssh-val a gépemre. Nem mondom, hogy komoly esélyük van, viszont sokkal megnyugtatóbb ha már az ssh terminálig sem jutnak el ami azért is fontos mert egy komolyabb behatolás nyoma kevésbé tud "megbújni" a sok scriptkiddies dolog közt.

Ha meg már valaki sniffelni tud, az ab start nem kispályás, viszont jóval kisebb tolongásból tudod kiszúrni.