Hogyan rejtem el a TCP fingerprint-emet?

Security-all

Udv. mindenkinek!

Regota foglalkoztat a tema, vajon hogy lehetne elrejteni a gepem TCP fingerprint-jet amibol a passive os fingerprinting (p0f) modszerrel vissza lehet nezni az OS-t, uptime-ot, meg meg mast is akar. Keresgeltem csomot a neten, allitolag *BSD alatt PF "packet normalization"-je tud ilyet, de errol bovebben nem tudok semmit. Hogy oszinte legyek nekem linux-ra kellene valami, ami az ujjlenyomatot randomizalja/elrejti, valami kernel patch vagy ilyesmi. Ha tudtok ilyet, irjatok!

Koszi
mba

  • 1971 megtekintés

( Oscon | 2006. 12. 02., szo – 13:58 )

Hát van valami nmap_freak jellegű jó régi kernel patch, meg a grsecurity stealth patch (ehhez iptablest is kell pecselni.)...de áll. egyik sem igazán tökéletes.

Én megelégszem a rand_isns, meg a rand_id, (ha már ezekkel jött) a rand_rpc opciókkal. :)

/ TCP Sequence Prediction: Class=truly random
Difficulty=9999999 (Good luck!)
IPID Sequence Generation: Randomized /

mondjuk ez már megkeveri kissé a fingerprintet is. az nmap séma alapján nem ismeri fel (No exact OS), (bár az adatok látszanak, csak nem áll össze neki az egységes kép).

---------

Nem a zsömle kicsi, a pofátok nagy...

régi grsecurity opciók, kivették a patchből, többek között mert gond volt a randomizálással. de visszatettem mert nekem tetszett az opció, csak a random generáláshoz egy másik módszert kerítettem (amit szintén úgy találtam).A kettő ötvözete van most itt.

-----

Nem a zsömle kicsi, a pofátok nagy...

kétfélét. 2.4.27-eset. (ebben a régi random generátoros motyó van.)
2.6.18.2-t (ebben meg az "ötvözött").

nincs külön patchben meg, mivel kézzel integráltam be a grsec opciók közé. (ebből kifolyólag nincs meg külön patchben. és macera is volna megcsinálni, mivel grsec nélkül úgysem megy. olyat tudnék adni, hogy vanilla 2.4.27-eshez v. 2.6.18-ashoz komplett patch.

dobj majd egy mailt, és "feldobom" vhova...de te nem igazán ezt keresed / ettől még persze felteszem ha nagyon kell /. a fingerprint infok látszanak benne, csak nmap nem ismeri fel a rendszert az előregyártott sémái alapján. (ércsd: uptime és i686-linux-gnu látszik.)

-----------

Nem a zsömle kicsi, a pofátok nagy...

A használt rendszert elrejtheti vele, de egyebet nem. a nagyobb veszélyt a futó szolgáltatások feltérképezése jelentheti. (pl. nmap -A)

mondjuk ha találnak egy exim-et pl. (mondtam valamit), akkor úgyis hiába írja a fingerprint azt hogy Microsoft Windows :)))

-------

Nem a zsömle kicsi, a pofátok nagy...

( szaboat | 2006. 12. 02., szo – 16:03 )

megis mi a retekes faszer kene lerejteni
fogalom nelkul

( uid_2516 | 2006. 12. 02., szo – 16:53 )

grsec segit. valamint jol jon, ha a sysctl net parameterek kozott atallitod a ttl,window mereteket, icmp-t (joreszt), timestampet tiltod...

( Dwokfur v | 2006. 12. 02., szo – 18:43 )

Anno 2.4-es kernel-hez létezett egy kernel- és iptables patch combo, amit IP Personality-nek hívtak.
Szerintem te ilyenre gondoltál. Volt hozzá egy csomó OS-hez alap beállítás, de igény szerint bővíteni is lehetett. Ha bekonfigoltad rendesen az iptables-t, akkor után kívülről mondjuk mutathattad magad AmigaOS-nek. Meg lehetett azt is csinálni, hogy különböző irányokból másnak látszódjon a gép.

Sajnos egy ideje már nem igazán fejlesztik. Minden esetre szólj, ha találsz/csinálsz 2.6-os patch-et.

Üdv,
Dw.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

( leszkoven | 2006. 12. 02., szo – 21:01 )

A 2001. novemberi Linuxvilágban volt erről egy cikk. Talán segít!

--
Nem azt mondom, hogy Bill Gates a Sátán! Csak azt, hogy ha Bill találkozna a Sátánnal nem lennének nyelvi problémáik!

( rigidus | 2006. 12. 03., v – 01:04 )

Ezt a fingerprintet mibol allapitja meg, sracok? Valaszidokbol?

Minél korszakalkotóbb ötlettel állsz elő, annál több hülyén kell átverekedned magadat.